USB 하나로 BitLocker가 열린다 — YellowKey가 드러낸 마이크로소프트의 '백도어 의혹'

윈도우 노트북을 잃어버려도 디스크가 BitLocker로 암호화돼 있으면 안심이라고들 하셨죠. 그런데 USB 하나만 꽂으면 그 잠금이 풀린다면 어떨까요. 며칠 전 해커뉴스 메인을 강타한 YellowKey 제로데이는 바로 그 시나리오가 현실이라는 걸 보여줬습니다.

YellowKey가 뭐길래 해커뉴스가 뒤집어졌나

5월 14일 해커뉴스에 올라온 “Microsoft BitLocker – YellowKey zero-day exploit” 글은 게시 몇 시간 만에 150포인트, 댓글 79개를 기록하며 1면을 차지했습니다. 전날 올라온 비슷한 주제의 글(“BitLocker-protected drives can now be opened using files on a USB stick”)까지 합치면, 보안 커뮤니티가 이 사안을 얼마나 무겁게 받아들였는지 짐작이 가실 겁니다.

핵심은 단 한 줄입니다. USB 스틱에 특정 파일들을 담아 꽂기만 하면, BitLocker로 잠긴 드라이브가 열린다는 것이죠. 익스플로잇 코드와 분석은 deadeclipse666 블로그에 1차 공개됐습니다.

“이게 이렇게 단순하다고?” — 공포는 단순함에서 온다

해커뉴스 댓글들의 톤은 거의 비슷했습니다. “Remarkable(놀랍다)”, “단순한 만큼 위험하다"는 반응이 줄을 이었는데요. 보안 업계에서 “단순한 익스플로잇"은 칭찬이 아닙니다. 그건 실전 악용 장벽이 거의 없다는 뜻이고, 곧 누구나 따라할 수 있다는 의미입니다.

BitLocker는 원래 TPM 칩과 결합돼 부팅 단계에서 무결성을 검증하도록 설계됐습니다. 이론상 USB로 들고 다니는 파일 몇 개에 뚫릴 물건이 아니어야 합니다. 그런데 뚫렸습니다. 그래서 더 충격이 큽니다.

“백도어 아니냐"는 의혹이 다시 고개를 든 이유

이번 사건이 단순한 버그 이상의 파장을 만든 이유가 있습니다. BitLocker를 둘러싼 백도어 의혹은 사실 어제오늘 일이 아닙니다. 2013년 스노든 폭로 이후 마이크로소프트가 미국 정부 기관에 협조해 암호화 제품에 우회 경로를 남겼다는 의심은 꾸준히 제기돼왔죠.

이번 YellowKey처럼 “USB 파일 몇 개로 풀린다"는 식의 익스플로잇이 등장하면, 보안 연구자들 사이에서 자연스럽게 나오는 질문이 있습니다. “이게 정말 단순 버그일까, 아니면 누군가가 의도적으로 남겨둔 통로일까.” 물론 단정할 수는 없지만, 설계 결함과 의도적 백도어를 외부에서 구분하기란 거의 불가능하다는 게 이 분야의 오랜 딜레마입니다.

당장 우리가 신경 써야 할 것들

기업 IT 담당자라면 머리가 지끈거릴 사안입니다. BitLocker는 한국에서도 노트북 분실·도난 대응의 사실상 표준 솔루션이거든요. 패치가 나오기 전까지 현실적으로 할 수 있는 일을 정리해보면 이렇습니다.

첫째, 물리적 접근 통제를 다시 보세요. YellowKey는 디바이스에 USB를 꽂을 수 있다는 전제 위에서 작동합니다. 분실 노트북이라면 이미 늦었지만, 사무실 단말이라면 USB 포트 정책부터 점검하는 게 먼저입니다.

둘째, PIN 또는 패스프레이즈 추가 인증을 켜두세요. TPM 단독 모드로 BitLocker를 쓰고 있다면, 부팅 시 PIN을 요구하도록 정책을 바꾸는 것만으로도 공격 난이도가 크게 올라갑니다.

셋째, 마이크로소프트의 공식 패치와 KB 공지를 주시하세요. 이렇게 빠르게 1차 공개된 익스플로잇은 보통 며칠 안에 패치 사이클이 돌아갑니다.

마치며

YellowKey 사건이 무서운 건 익스플로잇 그 자체가 아닙니다. “내 디스크는 안전하다"는 우리의 믿음이 얼마나 얇은 종이 위에 있었는지를 드러냈다는 점이 진짜 핵심입니다.

여러분의 노트북이 지금 책상 위에 잠겨 있다고 해서, 그 안의 데이터가 정말 잠겨 있는 걸까요. 이번 주말, BitLocker 설정 화면을 한 번쯤 다시 열어볼 이유가 생긴 것 같습니다.