DetailPage-MSS-KB

기술 자료

기술 자료: 223316 - 마지막 검토: 2007년 10월 26일 금요일 - 수정: 12.1

이 페이지에서

요약

Microsoft Windows에는 다른 사용자가 데이터를 사용할 수 없도록 NTFS 파일 시스템을 사용하는 볼륨에서 데이터를 직접 암호화하는 기능이 포함되어 있습니다. 개체의 속성 대화 상자에서 특성을 설정하여 파일과 폴더를 암호화할 수 있습니다.

암호화/암호 해독 프로세스가 사용자에게 투명하기 때문에 파일 암호화를 사용하려는 조직에서는 사용법에 대한 강력한 지침을 완벽하게 홍보하는 것이 중요합니다.

추가 정보

다음은 표준 방법 목록입니다.
  • 인증서와 개인 키를 이동식 미디어로 내보내고 사용하지 않을 때는 미디어를 안전하게 보관하도록 합니다. 최상의 보안을 위해 컴퓨터를 사용하지 않을 때는 컴퓨터에서 개인 키를 제거해야 합니다. 이렇게 하면 공격자가 실제로 컴퓨터에 접근하여 개인 키에 액세스하는 것이 방지됩니다. 암호화된 파일에 액세스해야 할 경우 이동식 미디어에서 개인 키를 쉽게 가져올 수 있습니다.
  • 모든 사용자의 내 문서 폴더(User_profile\My Documents)를 암호화합니다. 이렇게 하면 대부분의 문서가 저장되는 개인 폴더가 기본적으로 암호화됩니다.
  • 폴더는 암호화하고 개별 파일은 암호화하지 않도록 합니다. 프로그램은 다양한 방식으로 파일에 대한 작업을 수행합니다. 폴더 수준에서 파일을 일관성 있게 암호화하면 파일이 예기치 않게 해독되는 것이 방지됩니다.
  • 복구 인증서와 관련된 개인 키는 매우 중요합니다. 이러한 키를 실제로 안전한 컴퓨터에서 생성하거나, 해당 인증서를 .pfx 파일로 내보내어 강력한 암호로 보호하고 실제로 안전한 위치에 보관되는 디스크에 저장해야 합니다.
  • 복구 에이전트 인증서는 다른 목적으로 사용되지 않는 특별한 복구 에이전트 계정에 할당해야 합니다.
  • 복구 에이전트를 변경할 때 복구 인증서나 개인 키를 제거하지 않습니다. 에이전트는 주기적으로 변경됩니다. 복구 인증서나 개인 키로 암호화된 파일이 모두 업데이트될 때까지 해당 복구 인증서나 개인 키를 보관합니다.
  • OU(조직 구성 단위)의 크기에 따라 각 OU에 대해 복구 에이전트 계정을 두 개 이상 지정합니다. 복구용 컴퓨터를 둘 이상(지정된 복구 에이전트 계정에 대해 각각 하나씩) 지정합니다. 복구 에이전트 계정을 사용할 적절한 관리자에게 권한을 부여합니다. 파일 복구에 중복성을 제공하기 위해 두 개의 복구 에이전트 계정을 갖고 있는 것이 좋습니다. 암호화 키가 있는 컴퓨터가 두 대 있으면 손실된 데이터를 복구할 수 있는 중복성이 향상됩니다.
  • 오래된 복구 키를 사용하여 암호화된 파일을 복구할 수 있도록 복구 에이전트 보관 프로그램을 구현합니다. 복구 인증서와 개인 키는 안전하고 통제된 방식으로 내보내고 저장해야 합니다. 모든 보안 데이터와 마찬가지로 접근이 통제된 장소에 보관해야 하며 마스터와 백업 두 가지를 보관해야 합니다. 마스터는 사이트 내부 위치에 유지하고 백업은 안전한 사이트 외부 위치에 보관합니다.
  • 인쇄 서버 아키텍처에서 인쇄 스풀 파일을 사용하는 것을 피하거나 인쇄 스풀 파일이 암호화된 폴더에 생성되도록 합니다.
  • 파일 시스템 암호화는 사용자가 파일을 암호화하고 해독할 때마다 CPU에 약간의 오버헤드를 발생시키므로 서버 사용을 적절하게 계획해야 합니다. EFS(파일 시스템 암호화)를 사용하는 클라이언트가 많을 때는 서버의 부하를 분산시키십시오.

파일 시스템 암호화의 파일 공유 기능을 설정하는 방법

Microsoft Windows XP에서 EFS는 여러 사용자 간에 암호화된 파일을 공유할 수 있도록 지원합니다. 이 기능을 통해 암호화된 파일에 액세스하는 개별 사용자에게 사용 권한을 부여할 수 있습니다. 그러나 개별 파일에 대해서만 사용자를 추가할 수 있습니다. Microsoft Windows 2000 또는 Windows XP에서는 폴더에 대한 여러 사용자의 지원이 제공되지 않습니다. 또한 EFS에서는 암호화된 파일에 대한 그룹의 사용도 지원하지 않습니다.

파일을 암호화한 후 파일 공유는 사용자 인터페이스의 새 단추를 통해 설정됩니다. 사용자를 추가하려면 먼저 파일을 암호화한 다음 저장해야 합니다. 사용자가 EFS에 대한 유효한 인증서를 갖고 있으면 Active Directory 디렉터리 서비스나 로컬 컴퓨터에서 사용자를 추가할 수 있습니다. 그러나 개별 파일에 대해서만 사용자를 추가할 수 있습니다. EFS로 암호화된 폴더에서는 여러 사용자에 대한 지원이 제공되지 않습니다. 또한 개별 사용자만 파일에 추가할 수 있습니다. EFS에서는 암호화된 파일에 대한 그룹의 사용을 지원하지 않습니다.

폴더와 파일에 대해 EFS 암호화를 설정하는 방법에 대한 자세한 내용은 "파일 시스템 암호화를 사용하여 암호화하고 해독하는 방법" 절을 참조하십시오.

여러 사용자에 대해 파일을 암호화하는 방법

참고 이 절차는 Windows XP에만 적용됩니다. Windows 2000에서는 여러 사용자에 대해 파일을 암호화할 수 없습니다.

여러 사용자에 대해 파일을 암호화하려면 다음과 같이 하십시오.
  1. Microsoft Windows 탐색기를 열고 사용자를 추가할 암호화된 파일을 선택합니다.
  2. 암호화된 파일을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  3. 고급을 눌러 EFS 설정에 액세스합니다.
  4. 자세히를 눌러 사용자를 추가합니다.
  5. 추가를 누릅니다. 추가 대화 상자가 개인 저장소에 있는 EFS 가능한 다른 인증서를 표시하거나 "다른 사람" 및 "신뢰된 게시자" 인증서 저장소에 있을 수 있는 다른 사용자의 인증서를 표시합니다.

    추가할 사용자가 표시되지 않으면 사용자 찾기를 눌러 Active Directory를 검색합니다. 사용자 선택 창이 나타납니다. 대화 상자에 검색 기준에 따라 Active Directory의 유효한 EFS 인증서가 표시됩니다. 해당 사용자에 대한 유효한 인증서가 발견되지 않으면 선택한 사용자에 대한 적절한 인증서가 없다는 메시지가 표시됩니다. 이 경우 가져올 인증서의 복사본을 추가될 사용자가 보내 주어야 합니다. 그러면 암호화된 파일에 해당 사용자를 추가할 수 있습니다.
  6. 추가할 사용자의 인증서를 선택한 다음 확인을 누릅니다. 자세히 탭으로 돌아가면 암호화된 해당 파일에 대한 액세스 권한과 사용자 EFS 인증서를 갖게 될 여러 사용자가 표시됩니다.
  7. 원하는 사용자가 모두 추가될 때까지 이 과정을 반복합니다. 확인을 눌러 변경 내용을 등록하고 계속합니다.
참고 파일을 해독할 수 있는 사용자가 파일에 대한 쓰기 권한도 있으면 다른 사용자를 제거할 수도 있습니다.

파일 시스템 암호화를 사용하여 암호화하고 해독하는 방법

다음 단계에서는 파일 시스템 암호화를 사용하여 파일이나 폴더를 암호화하고 해독합니다.

참고 이 지침은 Windows 2000과 Windows XP에 적용됩니다.

폴더 암호화

파일을 개별적으로 암호화할 수도 있지만 암호화된 데이터를 저장할 특정 폴더를 지정하는 것이 좋습니다.

폴더 및 내용 암호화


파일을 개별적으로 암호화할 수 있지만, 암호화된 파일을 저장할 특정 폴더를 지정하고 해당 폴더를 암호화하는 것이 좋습니다. 이렇게 하면 이 폴더에서 만들거나 이 폴더로 이동하는 모든 파일이 자동으로 암호화된 특성을 얻게 됩니다.

폴더와 현재 내용을 암호화하려면 다음과 같이 하십시오.
  1. 암호화할 폴더를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  2. 속성 대화 상자에서 고급을 누릅니다.
  3. 고급 특성 대화 상자에 압축 및 암호화를 위한 특성 옵션이 표시됩니다. 이 대화 상자에는 보관 및 색인 특성도 포함되어 있습니다.

    참고 NTFS 파일 시스템은 압축과 암호화를 모두 지원하지만 동시에 두 가지를 모두 사용할 수는 없습니다. 즉, 한 번에 하나만 선택할 수 있고 파일이나 폴더를 동시에 암호화하고 압축할 수는 없습니다.

    폴더를 암호화하려면 데이터 보호를 위해 내용을 암호화 확인란을 선택한 다음 확인을 누릅니다.
  4. 확인을 눌러 고급 특성 대화 상자를 닫습니다.
  5. 1-3단계에서 암호화한 폴더에 이미 파일이 있을 경우 특성 변경 확인 대화 상자가 나타납니다.

    이후에 폴더로 이동하거나 이 폴더에서 만든 모든 파일이 암호화되도록 현재 폴더만 암호화할 수 있습니다. 현재 폴더의 모든 내용도 암호화하려면 현재 폴더, 하위 폴더 및 파일에 적용을 누른 다음 확인을 누릅니다.

폴더 해독

폴더를 해독하려면 기본적으로 동일한 프로세스를 역순으로 수행합니다.
  1. 해독할 폴더를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  2. 고급을 누릅니다.
  3. 데이터 보호를 위해 내용을 암호화 확인란 선택을 취소하여 데이터를 해독합니다.
  4. 확인을 눌러 고급 특성 대화 상자를 닫습니다.
  5. 확인을 눌러 속성 대화 상자를 닫습니다.
  6. 폴더에 파일이 들어 있으면 특성 변경 확인 대화 상자가 나타납니다. 현재 폴더만 해독하도록 선택할 수 있습니다. 그러나 이렇게 하면 현재 폴더에 들어 있는 파일은 해독되지 않습니다.

    현재 폴더의 모든 내용을 해독하려면 현재 폴더, 하위 폴더 및 파일에 적용을 누른 다음 확인을 누릅니다.

추가 정보

파일이 암호화되는 방식

파일은 데이터를 다시 배열하고 스크램블하고 인코딩하는 알고리즘을 통해 암호화됩니다. 첫 번째 파일을 암호화할 때 키 쌍이 임의로 생성됩니다. 이 키 쌍은 개인 키와 공개 키로 구성되어 있으며 암호화된 파일을 인코딩하고 디코딩하는 데 사용됩니다.

복구 에이전트를 지정하지 않은 경우 키 쌍이 손실되거나 손상되면 데이터를 복구할 수 없습니다.

인증서를 백업해야 하는 이유

손상되거나 손실된 인증서로 암호화된 데이터는 복구할 수 없으므로 인증서를 백업하여 안전한 장소에 보관하는 것이 좋습니다. 복구 에이전트를 지정할 수도 있습니다. 복구 에이전트는 데이터를 복원할 수 있습니다. 복구 에이전트의 인증서는 사용자의 인증서와는 다른 용도로 사용됩니다.

인증서를 백업하는 방법

인증서를 백업하려면 다음과 같이 하십시오.
  1. Microsoft Internet Explorer를 시작합니다.
  2. 도구 메뉴에서 인터넷 옵션을 누릅니다.
  3. 내용 탭의 인증서 구역에서 인증서를 누릅니다.
  4. 개인 탭을 누릅니다.

    참고 인증서를 설치한 목적에 따라 인증서가 여러 개 있을 수 있습니다.
  5. 인증서 용도 필드에 파일 시스템 암호화가 표시될 때까지 한 번에 한 인증서를 선택합니다. 이것은 첫 번째 폴더를 암호화했을 때 생성된 인증서입니다.
  6. 내보내기를 눌러 인증서 내보내기 마법사를 시작하고 다음을 누릅니다.
  7. 예, 개인 키를 내보냅니다.를 눌러 개인 키를 내보내고 다음을 누릅니다.
  8. 강력한 보호 사용을 누르고 다음을 누릅니다.
  9. 암호를 입력합니다. 개인 키를 보호하려면 암호가 있어야 합니다.
  10. 키를 저장할 경로를 지정합니다. 플로피 디스크, 하드 디스크의 다른 위치 또는 CD에 키를 저장할 수 있습니다. 하드 디스크에 결함이 있거나 다시 포맷할 경우 키와 백업이 손실됩니다. 플로피 디스크나 CD에 키를 백업하는 경우 해당 디스크나 CD를 안전한 장소에 보관해야 합니다.
  11. 대상을 지정하고 다음을 누릅니다.
EFS(파일 시스템 암호화)에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
Windows 2000용 파일 시스템 암호화
http://www.microsoft.com/korea/windows2000/techinfo/howitworks/security/encrypt.asp (http://www.microsoft.com/korea/windows2000/techinfo/howitworks/security/encrypt.asp)

Windows XP와 Windows Server 2003의 파일 시스템 암호화
http://www.microsoft.com/korea/technet/prodtechnol/winxppro/deploy/cryptfs.asp (http://www.microsoft.com/korea/technet/prodtechnol/winxppro/deploy/cryptfs.asp)




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹 (http://support.microsoft.com/newsgroups/default.aspx) 에 참여하시기 바랍니다.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
키워드: 
kbhowto kbinfo kbenv kbproductlink KB223316
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store