BitLocker에 백도어(Backdoor)가? 보안 연구원의 충격적인 주장

Nightmare-Eclipse는 YellowKey를 통해 BitLocker의 전체 볼륨 암호화(Full-Volume Encryption)를 우회할 수 있다고 주장한다. 특히, FsTx 폴더를 조작하여 Windows 복구 환경(Windows Recovery Environment)에서 쉘 접근 권한을 얻는 방식을 사용한다. 이 취약점은 USB 드라이브 또는 EFI 파티션 조작을 통해 발생하며, PIN 인증(PIN Authentication)이 설정된 BitLocker에서도 우회가 가능하다는 주장이 제기되었으나, 아직 증명되지 않았다.

연구원은 YellowKey가 WinRE 이미지에서만 발견되는 특정 구성 요소에서 기인한다는 점을 들어 Microsoft가 의도적으로 백도어를 심었을 가능성을 제기했다. WinRE(Windows Recovery Environment)는 시스템 복구를 위한 중요한 환경이며, 이 환경 내에서 취약점이 발견되었다는 것은 심각한 문제로 이어진다. 또한, Windows 10에서는 해당 취약점이 발생하지 않고 Windows 11에서만 나타난다는 점도 의혹을 증폭시키는 요인으로 작용한다.

YellowKey는 Transactional NTFS 기능을 활용하여 USB 드라이브에 있는 파일을 조작하는 방식으로 작동한다. 공격자는 USB 드라이브를 통해 WinRE에 진입한 후, 특정 명령 시퀀스를 입력하여 쉘 접근 권한을 얻는다. 이 쉘을 통해 BitLocker로 보호된 볼륨에 접근하여 데이터 열람, 복사 등 다양한 파일 작업을 수행할 수 있다. EFI 파티션(EFI Partition) 조작을 통해 USB 드라이브 없이도 공격이 가능하다는 점은 공격 범위를 더욱 넓힌다.

커뮤니티에서는 BitLocker의 보안성에 대한 의문을 제기하며, 단일 암호화 시스템(Single Encryption System)에 의존하는 것을 지양하고, VeraCrypt와 같은 대안 암호화 솔루션(Alternative Encryption Solutions)을 사용하는 것을 권고한다. 또한, Microsoft 제품의 보안을 담당하는 역할에 대한 회의적인 시각도 존재하며, Microsoft의 기술 부채와 보안 문제에 대한 비판이 제기되었다. TPM(Trusted Platform Module)만 사용하는 BitLocker의 취약성에 대한 지적도 있었다.

Nightmare-Eclipse는 과거에도 Microsoft를 비판하며 여러 취약점을 공개한 이력이 있다. 이러한 과거 행적과 Microsoft와의 갈등으로 인해 YellowKey의 신뢰성에 대한 논란이 발생하고 있다. 특히, 연구자가 Microsoft에 의해 피해를 입었다고 주장하는 점은 백도어 의혹에 대한 주관적인 판단을 더할 수 있다는 우려를 낳는다. 하지만, 취약점의 재현 가능성(Reproducibility)이 확인되면서, 기술적인 측면에서의 분석과 대응이 중요해지고 있다.