파워포인트 자막(라이브 캡션) 안될 때 1분 진단과 완전 해결 가이드

날짜:

EFS 파일 접근 거부 해결: 암호화된 파일 복호화·복구 방법 총정리

날짜:

이 글의 목적은 Windows 10·Windows 11에서 EFS(Encrypting File System)로 암호화된 파일이 복호화되지 않아 “액세스가 거부되었습니다” 오류가 발생할 때, 실질적으로 가능한 복구 옵션과 사전에 해두어야 할 예방 조치를 체계적으로 정리하여 현장에서 바로 활용할 수 있도록 돕는 것이다.

1. EFS 파일 접근 거부 오류 개요

EFS(Encrypting File System)는 NTFS 파일 시스템에서 제공하는 파일·폴더 단위 암호화 기능이다.

일반적으로 파일을 우클릭하여 속성에서 “고급”의 “데이터 보호를 위해 내용 암호화” 옵션을 체크하면 EFS 암호화가 적용된다.

이때 암호화·복호화에 사용되는 핵심 요소는 사용자 계정의 EFS 인증서와 개인 키이다.

복호화되지 않은 EFS 파일에 접근하려 할 때 다음과 같은 증상이 나타나는 경우가 많다.

  • 파일을 열면 “액세스가 거부되었습니다.” 메시지가 표시된다.
  • 복사·이동·압축 시에도 동일한 접근 거부 오류가 발생한다.
  • 파일 아이콘이 녹색으로 표시되지만 어느 계정으로도 열리지 않는다.
  • 이전 OS에서 암호화한 후 새로 설치한 Windows에서는 전혀 열리지 않는다.

이러한 상황은 대부분 암호화에 사용된 EFS 인증서·개인 키 손실 또는 계정 SID 변경으로 인해 발생한다.

2. EFS 동작 원리와 복구의 원칙

2.1 EFS 암호화 구조 이해

EFS는 파일 내용을 직접 사용자 비밀번호로 암호화하지 않는다.

대신 다음과 같은 절차로 동작한다.

  1. 파일마다 고유한 FEK(File Encryption Key)를 생성하여 대칭키 알고리즘으로 내용을 암호화한다.
  2. FEK를 사용자의 EFS 인증서의 공개키로 비대칭 암호화하여 파일 메타데이터에 저장한다.
  3. 파일을 열 때는 사용자 계정 프로필에 저장된 EFS 개인 키(비공개 키)로 FEK를 복호화한 후 파일 내용을 해독한다.

따라서 EFS 파일을 복구할 수 있는 기본 전제는 “해당 파일을 암호화할 때 사용한 EFS 개인 키를 보유하고 있어야 한다”이다.

2.2 복구 가능·불가능의 경계

다음 조건 중 하나라도 충족하면 복구 가능성이 있다.

  • 예전에 내보내어 백업해 둔 EFS 인증서(.pfx 파일)를 보유하고 있다.
  • 암호화 당시의 사용자 프로필이 포함된 시스템 이미지·디스크 백업이 있다.
  • 도메인 환경에서 EFS 복구 에이전트(DRA)가 설정되어 있으며 도메인 관리자에게 요청할 수 있다.
  • 파일 히스토리·백업 프로그램·클라우드 동기화 등으로 비암호화된 원본 또는 이전 버전을 보유하고 있다.

반대로 다음과 같은 경우는 사실상 복구가 불가능하다.

  • 해당 계정을 삭제하거나 Windows를 초기화·재설치했으며, EFS 인증서 백업이 전혀 없다.
  • 디스크만 분리해서 다른 PC에 연결했는데 암호화 당시 계정 정보를 전혀 가져오지 못한다.
  • 도메인 복구 에이전트도 설정되어 있지 않고, EFS 개인 키가 저장된 백업이 존재하지 않는다.
주의 : EFS는 강력한 암호화 기술을 사용하기 때문에 개인 키 없이 임의로 복호화하는 것은 현실적으로 불가능하다. 인터넷에 있는 “EFS 암호화 해제 프로그램” 중 상당수는 효과가 없거나 악성 코드일 수 있으므로 주의해야 한다.

3. 현재 상태 점검: 정말 EFS 문제인지 확인하기

3.1 파일이 EFS로 암호화된 상태인지 확인

  1. 문제가 되는 파일 또는 폴더를 우클릭한다.
  2. “속성”을 선택한다.
  3. “일반” 탭에서 “고급” 버튼을 클릭한다.
  4. “데이터 보호를 위해 내용을 암호화”에 체크가 되어 있는지 확인한다.

체크되어 있다면 EFS 암호화 파일이다.

또한 탐색기 옵션에서 “암호화되거나 압축된 NTFS 파일을 색으로 표시”를 켜면, EFS 파일은 기본적으로 녹색으로 표시된다.

3.2 명령 프롬프트에서 cipher 명령으로 확인

관리자 권한 명령 프롬프트 또는 PowerShell에서 해당 폴더로 이동하여 다음 명령을 실행한다.

cipher /c "암호화된파일경로\파일명.ext"

결과에 “암호화됨” 또는 “E” 표시가 있으면 EFS 암호화 파일이다.

3.3 현재 로그인한 계정의 EFS 인증서 존재 여부 확인

  1. Win + R 키를 누르고 certmgr.msc를 입력한 후 Enter를 누른다.
  2. 좌측 트리에서 “개인” → “인증서”를 선택한다.
  3. 오른쪽 목록에서 “파일 복구” 또는 “Encrypting File System” 관련 용도의 인증서가 있는지 확인한다.

관련 인증서가 전혀 없다면 해당 계정에서 EFS 파일을 복호화할 수 있는 가능성은 매우 낮다.

4. EFS 인증서 백업 파일(.pfx)로 복구하기

4.1 .pfx 백업 파일 찾기

과거에 EFS 사용 중 안내에 따라 인증서를 내보내어 USB 드라이브, 외장하드, 네트워크 드라이브 등에 백업해둔 경우가 있다.

일반적으로 파일 이름은 다음과 같이 되어 있는 경우가 많다.

  • myefskey.pfx
  • username-efs-backup.pfx
  • certificate.pfx

백업 미디어에서 .pfx, .p12 확장자의 파일을 우선적으로 검색한다.

4.2 인증서 가져오기 절차

복구하려는 EFS 파일이 있는 Windows에서 다음 순서로 인증서를 가져온다.

  1. Win + R 키를 누르고 certmgr.msc를 입력한다.
  2. “개인” 노드를 우클릭하고 “모든 작업” → “가져오기”를 선택한다.
  3. 인증서 가져오기 마법사에서 “다음”을 클릭한다.
  4. “찾아보기”를 클릭하여 백업해 둔 .pfx 파일을 선택한다.
  5. 백업 시 설정한 암호를 입력한다.
  6. “인증서를 다음 저장소에 배치”에서 “개인”을 선택한다.
  7. 마법사를 완료한 후 Windows를 로그오프 또는 재부팅한다.

이후 다시 EFS 파일을 열어보고 접근이 가능한지 확인한다.

주의 : 백업된 .pfx 파일의 비밀번호를 잊어버렸다면 해당 백업으로도 복구가 불가능하다. 비밀번호는 원래 key를 암호화한 또 하나의 보호 계층이기 때문이다.

5. 이전 시스템 이미지·디스크 백업에서 키 추출하기

5.1 백업 형태별 가능성

다음과 같은 백업을 보유하고 있다면 EFS 개인 키를 추출할 수 있는 가능성이 있다.

  • Windows 전체 시스템 이미지(복구용 .vhdx, 디스크 이미지 등)이다.
  • OS가 설치된 파티션을 그대로 클론한 디스크 백업이다.
  • 이전 PC에서 OS를 포함해 디스크 전체를 그대로 보관 중이다.

이 경우, 해당 이미지 또는 디스크에서 원래 계정의 사용자 프로필 폴더를 마운트하여 EFS 키 파일을 확보할 수 있다.

5.2 사용자 프로필 내에서 EFS 키 위치

OS 버전에 따라 경로가 조금 다르지만 일반적으로 EFS 개인 키는 다음 경로 아래에 포함된다.

C:\Users\사용자이름\AppData\Roaming\Microsoft\SystemCertificates C:\Users\사용자이름\AppData\Roaming\Microsoft\Crypto\RSA

이 디렉터리를 포함한 전체 프로필을 해당 사용자 계정의 동일한 경로로 되돌리면 EFS 복호화가 가능해지는 경우가 있다.

주의 : 단순히 파일만 복사하는 것만으로는 권한 문제와 SID 불일치 문제로 인해 바로 작동하지 않을 수 있다. 일반 사용자에게는 전체 시스템 이미지를 원래 PC로 복원하는 것이 더 현실적인 방법인 경우가 많다.

5.3 시스템 전체 복원으로 접근권 회복

가능하다면 암호화 당시의 Windows 상태로 시스템 전체를 복원하여 EFS 파일에 접근한 후, 즉시 파일을 다른 드라이브에 비암호화 상태로 복사하는 방법이 가장 안전하다.

  1. 시스템 이미지 복원 또는 디스크 클론을 이용해 암호화 당시와 같은 상태로 부팅한다.
  2. 문제가 되는 EFS 파일을 열어 접근이 되는지 확인한다.
  3. 접근이 가능하다면, 다른 드라이브 또는 외장하드로 복사하기 전에 먼저 암호화를 해제한다.
1) 파일 우클릭 → 속성 2) 고급 → "데이터 보호를 위해 내용 암호화" 체크 해제 3) 확인 → 적용

이후 비암호화된 파일을 안전한 위치로 복사·백업한다.

6. 도메인 환경에서 EFS 복구 에이전트(DRA) 활용

6.1 기업·기관 도메인에서의 EFS

조직에서 Active Directory 도메인을 사용하고 있으며, 그룹 정책으로 EFS 복구 에이전트(DRA)를 설정해 둔 경우 관리자가 암호화된 파일을 복구할 수 있다.

이 경우 일반 사용자는 스스로 복구할 수 있는 권한을 가지지 않을 수 있으므로 IT 부서 또는 보안 담당자에게 요청해야 한다.

6.2 복구 요청 시 전달해야 할 정보

  • 문제가 되는 파일의 전체 경로이다.
  • 암호화된 드라이브의 정보와 PC 이름이다.
  • 오류 메시지(스크린샷)를 첨부하면 좋다.
  • 파일이 암호화된 시점(대략적인 날짜·시간)이다.

관리자는 도메인 복구 에이전트의 인증서를 사용하여 해당 파일에 대한 복구 조치를 수행할 수 있다.

7. 백업·클라우드·이전 버전에서 데이터 복구

7.1 파일 히스토리 및 백업 소프트웨어 활용

EFS 복호화 자체가 불가능하더라도, 다른 경로로 동일한 데이터를 보유하고 있을 수 있다.

  • Windows 파일 히스토리 또는 이전 버전 기능이다.
  • 전용 백업 프로그램(Acronis, Macrium, 기타 상용·무료 백업 툴)이다.
  • NAS 또는 외장하드에 정기적으로 복사한 백업이다.

이전 버전 또는 백업이 비암호화 상태였다면 해당 버전으로부터 파일을 복구할 수 있다.

7.2 클라우드 동기화 서비스

다음과 같은 클라우드 저장소를 사용하는 경우를 고려한다.

  • OneDrive
  • Google Drive
  • Dropbox 등이다.

일반적으로 EFS 암호화된 파일이라도 동기화 프로그램이 로컬에서 복호화된 상태를 서버에 업로드한 적이 있다면, 클라우드 상에는 비암호화 상태로 저장되어 있는 경우도 있다.

클라우드 웹 인터페이스에서 파일을 다운로드해 실제로 열리는지 반드시 확인한다.

8. 현실적으로 복구가 불가능한 경우 정리

다음과 같은 경우에는 사용자 수준에서 복구가 불가능하다고 보는 것이 현실적이다.

  • Windows를 재설치하거나 PC를 초기화하면서 EFS 인증서 백업을 하지 않았다.
  • 암호화했던 계정을 삭제했으며 도메인 환경도 아니다.
  • 시스템 이미지·디스크 전체 백업이 없다.
  • 클라우드·파일 히스토리·NAS 등 어떤 형태의 다른 백업도 없다.

이 경우 남아 있는 선택지는 암호화된 파일을 아카이브 수준으로 보관하거나, 완전히 폐기하는 정도이다.

주의 : EFS는 강도 높은 암호화를 사용하므로, 암호 해독을 시도한다는 명목으로 의심스러운 제3자에게 파일을 전달하는 것은 매우 위험하다. 개인정보·기업 기밀 유출 위험이 있으므로 신뢰할 수 있는 공식 지원 경로 외에는 파일을 공유하지 않는 것이 안전하다.

9. 앞으로의 피해를 막기 위한 EFS 사용 수칙

9.1 EFS 인증서 정기 백업

EFS를 계속 사용할 계획이라면 다음 절차로 인증서를 정기적으로 백업하는 것이 필수이다.

  1. Win + R 키를 누르고 certmgr.msc 실행이다.
  2. “개인” → “인증서” 에서 EFS 용도의 인증서를 찾는다.
  3. 해당 인증서를 우클릭하고 “모든 작업” → “내보내기”를 선택한다.
  4. 개인 키 내보내기를 허용하고, .pfx 형식으로 저장한다.
  5. 강력한 암호를 설정한 후, USB 메모리 등 오프라인 매체에 보관한다.

이 백업 파일이 향후 EFS 파일 접근 거부 상황에서 유일한 구명줄이 될 수 있다.

9.2 OS 재설치·PC 교체 전 체크리스트

항목 확인 방법 조치 내용
EFS 암호화된 파일 존재 여부 녹색 파일·폴더, cipher /u /n 등으로 검색 중요 파일은 암호화 해제 또는 별도 위치에 복사
EFS 인증서 백업 여부 certmgr.msc에서 EFS 인증서 확인 .pfx로 내보내기 후 외장 매체에 저장
전체 시스템 백업 백업 소프트웨어 또는 Windows 백업 확인 필수 데이터 포함 시스템 이미지 생성
클라우드·NAS 동기화 상태 마지막 동기화 날짜 확인 중요 폴더 수동 동기화 실행

9.3 일반 사용자를 위한 권장 전략

일반 가정·소규모 사업장 사용자는 다음과 같은 전략이 안전하다.

  • 가능하면 EFS 대신 전체 디스크 암호화(BitLocker 등)를 사용하는 방안을 우선 검토한다.
  • 굳이 EFS를 사용해야 한다면, EFS 인증서 백업 및 시스템 이미지 백업을 필수 절차로 포함한다.
  • 암호화가 꼭 필요한 파일만 최소 범위로 적용하고, 나머지는 일반 백업 체계를 유지한다.

10. EFS 문제 해결을 위한 실무 절차 요약

실무에서 EFS 파일 접근 거부 문제가 발생했을 때 따라야 할 기본 절차를 단계별로 정리한다.

  1. EFS 여부 확인이다.
    • 파일 속성의 고급 설정에서 암호화 여부 확인이다.
    • cipher /c 명령으로 상태 재확인이다.
  2. 현재 계정 인증서 확인이다.
    • certmgr.msc에서 개인 인증서 목록 확인이다.
    • EFS 관련 인증서가 있는지 확인이다.
  3. .pfx 백업 파일 탐색이다.
    • USB, 외장하드, NAS, 메일 보관함 등에서 .pfx 파일 검색이다.
    • 발견 시 가져오기 마법사로 가져와 테스트이다.
  4. 시스템 이미지·옛 디스크 확보 여부 확인이다.
    • 암호화 당시의 OS 전체 백업 또는 디스크가 있는지 점검이다.
    • 있다면 별도 테스트 환경에서 복원 후 EFS 파일을 비암호화로 복사이다.
  5. 도메인 환경 여부 확인이다.
    • 회사·기관 도메인 PC라면 IT 부서에 EFS 복구 에이전트 설정 여부 문의이다.
    • 복구 가능할 경우 공식 지원 절차를 따른다.
  6. 클라우드·백업에서 대체 파일 복구이다.
    • OneDrive, Google Drive, NAS, 파일 히스토리 등에서 이전 버전 확인이다.
    • 비암호화된 버전을 찾으면 이를 사용한다.
  7. 완전 복구 불가 시 향후 전략 수립이다.
    • 향후 동일 문제 방지를 위해 EFS 사용 정책을 재검토이다.
    • 디스크 암호화·백업 전략·인증서 백업 프로세스를 정립이다.

FAQ

EFS 암호화된 파일을 다른 PC로 그냥 복사하면 왜 열리지 않는가?

EFS는 파일 내용 자체를 파일마다 생성된 FEK 키로 암호화하고, 이 키를 암호화 당시 계정의 EFS 공개키로 다시 암호화한다. 다른 PC로 파일을 복사하면 파일 내용과 FEK는 그대로지만, 해당 PC에는 FEK를 복호화할 수 있는 EFS 개인 키가 없기 때문에 “액세스가 거부되었습니다” 오류가 발생한다.

Windows를 다시 설치하면 EFS 파일은 모두 쓸 수 없게 되는가?

EFS 인증서·개인 키를 사전에 .pfx 파일로 내보내어 백업해두었다면, 재설치 후에도 인증서를 가져와서 다시 사용할 수 있다. 그러나 아무런 백업 없이 OS를 재설치한 경우에는 이전 EFS 파일을 복호화할 방법이 사실상 없다.

파일 소유자를 관리자 계정으로 바꾸면 복호화가 가능한가?

파일 소유권과 NTFS 권한은 EFS 암호화와 별개의 개념이다. 관리자 계정이 파일 소유권을 가져오고 모든 권한을 부여받더라도, EFS 복호화에 필요한 개인 키가 없으면 파일 내용을 해독할 수 없다. 따라서 소유자 변경만으로는 문제가 해결되지 않는다.

인터넷에 있는 ‘EFS 복구툴’로 정말 복호화가 가능한가?

정상적인 툴이라면 EFS 개인 키 또는 복구 에이전트 키를 활용해 작업을 자동화해줄 수는 있지만, 키 자체가 없는 상황에서 암호를 깨 주는 것은 불가능하다. 키 없이 복호화를 보장한다는 프로그램은 신뢰할 수 없으며, 악성 코드일 가능성도 있기 때문에 사용을 권장하지 않는다.

앞으로는 EFS 대신 무엇을 사용하는 것이 안전한가?

일반 사용자나 소규모 사업장은 전체 디스크 암호화(BitLocker 등)를 활용하는 것이 관리 측면에서 더 단순하고 안전한 경우가 많다. 개별 파일 수준 암호화가 꼭 필요하다면 EFS를 사용하되, 반드시 인증서 백업과 정기적인 시스템 백업을 병행해야 한다.

추천·관련글