MS, 사용자에게 비트로커 키 클라우드에 올리도록 유도
클라우드에 올린 키는 수사당국 영장 수색에서 자유롭지 않아

[보안뉴스 김형근 기자] 미국 연방수사국(FBI)은 2025년 초 괌의 코로나19 실업 지원금 프로그램에서 수백만 달러의 정부 자금이 조직적으로 탈취되고 있다는 첩보를 입수하고 수사에 착수했다.


[출차: 마이크로소프트]

FBI 수사팀은 괌 정부 관계자들이 연루된 정황을 포착, 용의자 거처를 급습해 결정적 증거가 담긴 것으로 의심되는 노트북 3대를 압수했다.

그러나 압수된 기기들은 마이크로소프트(MS) 비트로커(BitLocker) 암호화 기술로 잠겨 있어 수사가 난관에 부딪혔다. FBI 포렌식 팀은 최신 기술을 동원해 암호 해제를 시도했으나 자력으로는 해결이 불가능해 MS 본사에 복구 키를 요구하는 영장을 받았다.

MS는 자사 서버에서 용의자들이 윈도우 설정 과정에서 본인도 모르게 자동으로 클라우드에 업로드했던 복구 키를 찾아냈다. MS는 수색 영장에 응해 이 키를 수사 기관에 넘겨주었으며, 이 ‘마스터 키’를 얻은 FBI는 용의자 노트북 내부의 이메일과 금융 기록, 공모 정황을 확보해 수사를 진전시켰다.

그러나 MS가 수사당국의 법적 명령에 따라 개인의 암호화 키를 직접 제공해 수사를 도운 셈이라 논란이 되고 있다. MS는 매년 약 20건의 유사한 키 제공 요청에 응하고 있으며, 서버에 키가 보관된 경우 예외 없이 정부에 협조하고 있다는 사실을 확인해 주었다고 포브스가 보도했다.

MS가 사용자 편의를 핑계로 사실상 정부가 언제든 열어볼 수 있는 ‘설계된 백도어’를 시스템 내부에 방치해 왔다는 비판이 나온다.

애플과 메타가 정부의 키 제공 요청을 철저하게 거부하며 회사조차 알 수 없는 암호화 방식을 고수하는 것과 대조된다.

디지털 포렌식 분야에서 미국 내 최고 수준 기술력을 보유하고 있는 미국 이민세관집행국(ICE)은 현재 기술력으로 비트로커 암호를 강제 해제하는 것이 불가능함을 시인했으며, 이번 수사의 성공이 MS의 적극적 협조 덕분이었음을 인정했다.

론 와이든 미국 상원의원은 테크 기업이 사용자의 암호화 키를 정부에 몰래 넘겨주는 행위는 개인의 디지털 삶 전체를 위태롭게 만드는 심각하고 무책임한 행위라고 질타했다. 프라이버시 단체들은 이러한 구조가 인권 침해 우려가 있는 외국 정부에 의해서도 악용될 수 있다고 우려했다.

MS는 고객이 스스로 키 관리 방식을 결정할 수 있다고 해명했다. 하지만 윈도우의 기본 설정은 서버 저장을 철저하게 유도하는 방식으로 설계돼 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>