Contents
see List이번 영상은 Windows BitLocker YellowKey 제로데이와 함께 공개된 GreenPlasma 권한상승 이슈를 짧게 정리한 보안 뉴스입니다. BitLocker는 노트북 분실이나 도난 상황에서 디스크를 보호하는 대표적인 Windows 암호화 기능이지만, 이번 사례는 “암호화를 켰다”는 사실만으로 운영 리스크가 끝나지 않는다는 점을 보여줍니다.
BleepingComputer 보도에 따르면 YellowKey는 Windows 11과 Windows Server 2022/2025 환경에서 Windows Recovery Environment, 즉 WinRE 동작을 악용하는 방식으로 설명됐습니다. 공격자는 BitLocker 키를 정면으로 깨는 것이 아니라, 복구 환경에서 드라이브가 이미 열린 순간을 노리는 구조에 가깝습니다.
특히 TPM-only BitLocker 구성은 부팅 과정에서 사용자 입력 없이 드라이브를 자동으로 해제합니다. 사용자는 편하지만, 장비를 물리적으로 잡은 공격자에게는 이 자동화 과정이 공격 표면이 될 수 있습니다. 일부 보안 연구자는 공개된 PoC가 실제 동작한다고 확인했고, BitLocker PIN과 BIOS 비밀번호 같은 추가 보호 장치를 완화책으로 언급했습니다.
함께 언급된 GreenPlasma는 별도의 Windows 권한상승 취약점입니다. 공개된 설명만 보면 일반 사용자 권한에서 더 높은 권한을 얻는 흐름으로 이어질 수 있어, 단일 취약점보다 여러 취약점이 조합될 때 더 위험해질 가능성이 있습니다.
기업 입장에서 바로 확인할 부분은 명확합니다. 개발자, 임원, 재무 담당자처럼 민감한 자료를 들고 다니는 노트북부터 BitLocker 설정이 TPM-only에 머물러 있는지 확인해야 합니다. 분실 장비 대응 절차, BIOS/UEFI 비밀번호, 복구 환경 접근 통제, 부팅 PIN 정책, 원격 잠금과 키 회수 절차도 함께 점검하는 것이 좋습니다.
이번 이슈의 결론은 BitLocker를 쓰지 말자는 것이 아닙니다. 오히려 반드시 써야 하지만, 암호화 기능을 “켜기”에서 끝내지 말고 실제 운영 정책과 물리 보안까지 묶어서 관리해야 한다는 뜻입니다. 보안은 기능 하나가 아니라 설정, 절차, 패치, 사용자 습관이 함께 맞물릴 때 효과가 납니다.
소프트모아는 기업 홈페이지, ERP, 업무시스템, 서버 운영을 설계할 때 개발 이후의 보안 운영까지 함께 고려해야 한다고 봅니다. 계정 권한, 백업, 관리자 접근 제어, 장비 분실 대응 같은 기본 정책은 사고가 터진 뒤가 아니라 시스템을 구축할 때부터 문서화되어야 합니다.