# MS는 FBI 요청 시 Windows PC 데이터 암호화 키를 제공함

> Clean Markdown view of GeekNews topic #26102. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=26102](https://news.hada.io/topic?id=26102)
- GeekNews Markdown: [https://news.hada.io/topic/26102.md](https://news.hada.io/topic/26102.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-01-25T09:40:24+09:00
- Updated: 2026-01-25T09:40:24+09:00
- Original source: [windowscentral.com](https://www.windowscentral.com/microsoft/windows-11/microsoft-bitlocker-encryption-keys-give-fbi-legal-order-privacy-nightmare)
- Points: 3
- Comments: 1

## Topic Body

- Windows 11은 **Microsoft 계정 연동을 강제**하며, 이로 인해 **BitLocker 암호화 키가 자동으로 클라우드에 백업**됨  
- Microsoft는 **법적 명령이 있을 경우 FBI에 해당 키를 제공**한다고 확인, 이는 PC 데이터 복호화와 접근을 가능하게 함  
- 실제로 2025년 **괌의 실업 보조금 사기 수사** 과정에서 FBI가 Microsoft로부터 BitLocker 키를 받아 장치를 해제한 사례가 있음  
- Microsoft는 연간 약 **20건의 키 요청을 받지만**, 대부분은 키가 클라우드에 업로드되지 않아 응답 불가라고 밝힘  
- 업로드된 키가 **클라우드 측에서 암호화되지 않은 상태**로 존재해, **사용자 프라이버시 위험**이 크다는 지적  

---

### Windows 11의 계정 구조와 BitLocker 키 백업
- Windows 11은 **Microsoft 계정 사용을 기본 설정**으로 강제하며, 이 계정에 **BitLocker 복구 키가 자동 연결**됨  
  - 사용자는 계정 연동 시 별도 설정 없이 키가 Microsoft 클라우드에 저장됨  
  - 이는 사용자가 잠금 해제 문제 발생 시 데이터를 복구할 수 있도록 설계된 기능임  
- 사용자는 이 기능을 **비활성화하고 로컬 저장소에 키를 보관**할 수 있으나, 기본값은 클라우드 업로드임  

### FBI 요청 시 암호화 키 제공 사례
- Microsoft는 **Forbes에 대한 공식 성명**에서, **유효한 법적 명령이 있을 경우 FBI에 BitLocker 키를 제공**한다고 확인  
  - 이 키는 Windows 장치의 데이터를 복호화하고 접근할 수 있게 함  
- Forbes 보도에 따르면, **2025년 초 괌에서 진행된 실업 보조금 사기 수사**에서 FBI가 Microsoft로부터 키를 받아 장치 접근에 성공함  
  - 해당 장치는 BitLocker 키가 클라우드에 저장된 상태였음  

### Microsoft의 입장과 연간 요청 규모
- Microsoft 대변인 **Charles Chamberlayne**은 “키 복구는 편리하지만 원치 않는 접근 위험이 있으며, 고객이 직접 관리 방식을 결정해야 한다”고 언급  
- Microsoft는 **FBI로부터 연간 약 20건의 BitLocker 키 요청**을 받는다고 밝힘  
  - 그러나 대부분의 경우 키가 클라우드에 업로드되지 않아 제공이 불가능함  

### 다른 기술 기업과의 비교
- **Apple**은 법 집행기관의 요청에도 **암호화 데이터 접근을 거부**해 온 사례가 있음  
  - 과거 FBI가 iPhone 백도어 제공을 요구했을 때 이를 공개적으로 거부함  
- **Meta** 등 일부 기업은 **제로 지식(Zero-Knowledge) 구조**를 사용해, 서버 측에서도 키를 볼 수 없도록 암호화함  

### 프라이버시 우려와 사용자 조치
- Microsoft 클라우드에 업로드된 BitLocker 키가 **서버 측 암호화 없이 저장**되어 있어, **프라이버시 침해 위험**이 존재함  
- 사용자는 자신의 장치가 Microsoft 서버에 키를 저장하고 있는지 **Microsoft 계정 웹사이트**에서 확인 가능  
  - 해당 페이지에서 키를 **삭제할 수 있는 옵션**도 제공됨  
- 기사에서는 이러한 상황이 **“프라이버시 악몽”** 으로 표현되며, **사용자들이 클라우드 백업을 재고해야 함**을 강조함

## Comments



### Comment 49885

- Author: neo
- Created: 2026-01-25T09:40:24+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=46743154) 
- 기사 제목이 오해를 불러일으킴  
  실제로는 Microsoft가 단순히 **요청받으면** 키를 제공하는 게 아니라, **유효한 법적 명령(valid legal order)** 을 받았을 때만 제공한다고 Forbes 기사에 명시되어 있음  
  법 집행기관의 단순 요청은 거부할 수 있지만, 법적 명령을 거부하면 형사 처벌을 받을 수 있음  
  다만 Microsoft가 기본적으로 사용자 키에 접근할 수 있다는 점은 큰 **보안 취약점**을 의미함  
  - 네가 세밀히 읽지 않은 것 같음. 이런 문구들은 항상 조심스럽게 작성되므로, **무엇이 언급되지 않았는지**를 읽는 게 더 중요함  
    “legal order”는 행정 소환장부터 사법 영장까지 포함하는 폭넓은 개념임. 단순한 “요청(request)”은 법적 효력이 없음  
    Microsoft는 연간 약 20건의 요청을 받고 그중 9건 이하에 응답한다고 함. Apple은 더 많은 요청을 받고 더 자주 응답함 ([Apple 투명성 보고서](https://www.apple.com/legal/transparency/us.html))  
    Forbes 기사에 등장한 Microsoft 대변인이 외부 위기 커뮤니케이션 컨설턴트라는 점도 이상함  
  - Microsoft가 여러 **법적 관할권**에서 운영되기 때문에 문제가 복잡해짐  
    어떤 국가는 자국 법이 전 세계에 적용된다고 주장함. 이런 상황에서 Microsoft가 각국의 요구를 모두 충족하려면, 특정 국가와의 **법적 분리**가 필요함  
  - “legal order”가 “warrant(영장)”은 아님을 주의해야 함  
    일부 정부 기관은 내부 지침으로 영장 없이도 시민을 **체포·구금**할 수 있다고 주장함  
  - FBI가 범죄자가 아닐 거라는 보장은 없듯, Microsoft 직원도 완전히 신뢰할 수 없음  
  - Microsoft의 이번 조치는 기술적 필요가 아니라 **법적 대비책**이었음  
    진정한 종단간 암호화를 적용했다면, 법 집행기관의 요청을 단순히 “불가능하다”고 답할 수 있었을 것임  

- 암호화 구조 논쟁을 떠나, Microsoft가 법적 요청을 거부할 수 있다고 생각하는 게 이해되지 않음  
  법적으로 증거 제출을 요구할 수 있는데, “계약상 의무 때문에 불응 가능”하다는 법을 어떻게 만들 수 있을까?  
  - Microsoft는 사용자의 **암호화 키를 클라우드에 업로드하기 전 동의**를 구할 수도 있었음  
    하지만 Windows 설정 과정에서 Microsoft 계정을 강제로 사용하게 하고, 키를 자동으로 업로드함  
  - 이런 경우에는 단순한 **소환장(subpoena)** 이 아니라 **영장(warrant)** 을 요구하도록 해야 함  
  - Windows 11은 로컬 계정을 없애고 기본적으로 키를 Microsoft에 전송함  
    LUKS 같은 시스템에서는 이런 일이 없으며, 이는 **보안 실패**임  
    사용자가 비밀번호를 잊었을 때 복구를 쉽게 하려는 의도겠지만, 결과적으로 누구나 악용할 수 있는 구조가 됨  
  - 사용자 비밀번호로 BitLocker 키를 암호화하는 등 다른 기술적 대안이 충분히 있음  

- 진정한 **자유**는 안전하게 생각할 수 있는 공간에서 시작됨  
  감시 사회가 확산되면서 사람들은 더 이상 마음 놓고 생각하거나 표현할 수 없게 됨  
  “숨길 게 없으면 괜찮다”는 논리는 오히려 자유로운 사고를 위축시킴  
  국가 권력은 장기적으로 신뢰할 수 없으며, **암호화 기술**은 자유로운 사고를 지키는 핵심 도구임  
  - 나도 그 감정을 이해함. 합법 이민자로서 단순히 농담으로 받은 선거 티셔츠 사진을 iCloud에서 보고도 삭제할까 고민했음  
    국경에서 누군가 그 사진을 보고 불이익을 줄까 두려웠음  
    이런 자기검열이 쌓이면 자유가 사라지는 것임. 마치 **소련 시절**로 돌아간 느낌임  

- Microsoft를 옹호하려는 건 아니지만, 일반 사용자 입장에서는 **기본 설정이 합리적**일 수도 있음  
  다만 사용자가 초기에 **클라우드 키 저장을 거부(opt-out)** 할 수 있어야 함  
  Intel Panther Lake에서는 BitLocker가 전용 SoC로 완전 하드웨어 가속될 예정이라 **전체 디스크 암호화(FDE)** 취약점이 줄어듦  
  하지만 여전히 개선할 점이 있음  
  - 설정 중 온라인 복구 키 저장을 선택적으로 허용  
  - TPM 기반 또는 비밀번호 기반 FDE 중 선택 가능  
  - KDF를 **메모리 집약적(memory-hard)** 알고리즘으로 변경  
  - PIN 제한(20자)을 없애고 영문+숫자 조합 허용  
  - TPM 매개변수 암호화 활성화  
  - 하지만 Intel 칩에 **백도어**가 있을 가능성을 우려하는 목소리도 있음  

- 법적 요청이 들어오면 Microsoft는 응할 수밖에 없음  
  BitLocker의 설계 자체가 기업이 원격으로 장치를 관리할 수 있도록 되어 있음  
  직원이 해고되거나 노트북을 잃어버렸을 때, 회사가 직접 **잠금 해제**할 수 있어야 하기 때문임  
  이런 구조는 새롭지 않으며, FBI든 중국이든 유럽이든 **모든 정부 요청**에 동일하게 대응함  
  - 미국 기관이 글로벌 데이터 접근에 더 큰 **영향력**을 가질 가능성은 있음  

- 누군가 체포되면 경찰은 **영장(warrant)** 으로 집을 수색할 수 있음  
  디지털 데이터도 물리적 증거와 동일한 수준의 접근이 허용되어야 하는가?  
  “요청”과 “법적 명령”의 표현 차이, 그리고 미국 내 법 해석의 불일치가 논란의 핵심임  
  디지털 영역에선 완전한 **사생활 보호**가 필요할까, 아니면 중간 지점이 있을까 고민됨  
  - 참고로 **subpoena**는 출석 명령이지 수색 영장이 아님  
  - “선의의 감시국가”가 정말 나쁜가? 범죄 예방이 목적이라면 **프라이버시보다 공공안전**이 더 중요할 수도 있음  

- 사용자가 디스크 잠금 해제 시 **암호나 키 장치**를 직접 사용하지 않는다면, 그 비밀은 어딘가 다른 곳에 존재함  
  즉, 제3자가 접근할 가능성이 있음  
  문제는 사용자가 그 사실을 명확히 인지하지 못한다는 점임  

- **Third Party Doctrine**(제3자 원칙)에 따르면, Microsoft는 법적 명령 없이도 데이터를 제공할 수 있음  
  이는 단지 관례일 뿐이며 언제든 바뀔 수 있음  
  우리가 일상적으로 수많은 제3자 서비스를 사용하는 현실에서, 이 원칙은 **폐지되어야 함**  
  ([Third-party doctrine 위키](https://en.wikipedia.org/wiki/Third-party_doctrine))  
  - 하지만 BitLocker의 경우 사용자가 정보를 **자발적으로 제공**했다고 볼 수 있는지 의문임  

- 기사 제목은 “요청 시 제공”이라 되어 있지만, 실제 내용은 “**유효한 법적 명령이 있을 때 제공**”임  
  즉, 제목은 **클릭베이트**에 불과함  
  - 핵심은 Microsoft가 **사용자 키를 보유**하고 있으며, 필요 시 **제공할 의무**가 있다는 사실임  
  - 이상적인 상황은 Microsoft가 기술적으로 키를 제공할 수 **없도록 설계**하는 것임  
  - “요청받았다”는 표현 자체는 문제없다고 보는 의견도 있음  

- **VeraCrypt**를 추천함 ([veracrypt.io](https://veracrypt.io/en/Home.html))  
  - 전신인 **TrueCrypt**가 갑자기 중단되며 BitLocker로의 이전을 권장했는데, 그 배경에는 여전히 의문이 많음  
  - Microsoft의 나쁜 날은 **Linux의 좋은 날**이라며 여러 배포판 링크를 공유함  
    [Linux Mint](https://linuxmint.com/), [Ubuntu](https://ubuntu.com/download/desktop), [Arch Linux](https://archlinux.org/), [Kali Linux](https://www.kali.org/get-kali/#kali-platforms), [Fedora](https://fedoraproject.org/)