EFS(파일 시스템 암호화)

EFS(파일 시스템 암호화)는 NTFS 파일 시스템 볼륨에 암호화된 파일을 저장하는 데 사용되는 핵심적인 파일 암호화 기술입니다. 암호화된 파일을 사용하려면 정보를 해독하는 데 필요한 키에 대한 액세스 권한이 있어야 합니다.

파일을 암호화한 사용자는 암호화된 파일의 암호를 수동으로 해독하지 않아도 사용할 수 있으며 평소와 마찬가지로 파일을 열고 변경할 수 있습니다. 파일이나 폴더를 암호화해도 다른 파일이나 폴더와 마찬가지로 암호화된 파일이나 폴더를 사용할 수 있습니다.

EFS를 사용하는 것은 파일과 폴더에 대한 사용 권한을 사용하는 것과 비슷합니다. 두 방법 모두 데이터에 대한 액세스를 제한하는 데 사용될 수 있습니다. 그러나 암호화된 파일이나 폴더에 침입자가 무단으로 실제 액세스하더라도 데이터를 읽을 수는 없습니다. 침입자가 암호화된 파일 또는 폴더를 열거나 복사하려고 하면 액세스 거부 메시지가 나타납니다. 파일과 폴더에 대한 사용 권한은 실제 무단 공격에 대비하여 파일과 폴더를 보호하지는 못합니다.

읽기 전용, 압축 또는 숨김 등의 다른 특성을 설정하듯이 폴더와 파일에 대한 암호화 속성을 설정하여 폴더 또는 파일을 암호화하거나 해독합니다. 폴더를 암호화하면 암호화된 폴더에 만들어지는 모든 파일과 하위 폴더도 자동으로 암호화됩니다. 폴더 수준에서 암호화하는 것이 좋습니다.

Cipher 명령을 사용하여 파일 또는 폴더를 암호화하거나 해독할 수도 있습니다.

암호화된 파일과 폴더를 사용할 때는 다음 사항을 고려해야 합니다.

• NTFS 볼륨의 파일과 폴더만 암호화할 수 있습니다. 그러나 NTFS에서도 작동하는 WebDAV(Web distributed authoring and versioning)를 사용하여 암호화된 형식으로 파일을 전송할 수 있습니다.
  
  
• 압축된 파일이나 폴더도 암호화할 수 없습니다. 사용자가 파일이나 폴더를 암호화하도록 표시하면 해당 파일이나 폴더의 압축이 풀립니다.
  
  
• NTFS 볼륨이 아닌 볼륨으로 암호화된 파일을 복사하거나 이동하면 파일의 암호가 해독됩니다.
  
  
• 암호화되지 않은 파일을 암호화된 폴더로 이동하면 이러한 파일은 새 폴더에서 자동으로 암호화됩니다. 그러나 암호화된 파일을 암호화되지 않은 폴더로 이동해도 파일의 암호가 자동으로 해독되지는 않습니다. 파일의 암호는 명시적으로 해독해야 합니다.
  
  
• 시스템 특성으로 표시된 파일이나 시스템 루트 디렉터리 구조의 파일은 암호화할 수 없습니다.
  
  
• 폴더나 파일을 암호화해도 파일이나 디렉터리의 삭제 또는 열거는 가능합니다. 적절한 사용 권한이 있으면 누구나 암호화된 폴더 또는 파일을 삭제하거나 열거할 수 있습니다. 따라서 NTFS 사용 권한과 함께 EFS를 사용하는 것이 좋습니다.
  
  
• 원격 암호화가 가능하도록 설정된 원격 컴퓨터에 있는 파일과 폴더를 암호화하거나 해독할 수 있지만 이 프로세스에서 네트워크를 통해 전송되는 데이터는 암호화되지 않습니다. 네트워크를 통해 데이터를 전송하는 동안 데이터를 암호화하려면 SSL/TLS(Secure Socket Layer/Transport Layer Security) 또는 IPsec(인터넷 프로토콜 보안) 등의 다른 프로토콜을 사용해야 합니다. 첫 번째 항목에서 설명한 대로 WebDAV를 사용하여 암호화된 형식으로 파일을 전송할 수도 있습니다.
  
  

EFS 정책 설정