이 글의 목적은 Windows 10·11에서 장치 암호화 옵션이 회색 처리되어 사용할 수 없을 때 TPM과 모던 스탠바이 지원 여부를 포함한 하드웨어·펌웨어·OS 조건을 체계적으로 점검하고, 실무 환경에서 안전하게 복구하거나 대체 방안을 선택할 수 있도록 안내하는 것이다.
1. 장치 암호화 기능과 회색 처리 증상 이해
Windows의 “장치 암호화”는 기본 제공 디스크 암호화 기능으로, 조건을 만족하면 자동으로 시스템 드라이브를 암호화하여 분실·도난 시 데이터를 보호하는 기능이다.
일반적으로 다음과 같은 증상이 나타나면 장치 암호화 관련 문제를 의심해야 한다.
- 설정 > 업데이트 및 보안 > 장치 암호화 메뉴에 들어가면 “장치 암호화” 스위치가 회색 처리되어 꺼짐 상태로 고정되어 있는 증상이다.
- 장치 암호화 메뉴 자체가 표시되지 않고, 대신 BitLocker 드라이브 암호화 메뉴만 보이는 증상이다.
- 새로 구매한 노트북임에도 “이 장치는 장치 암호화를 사용할 수 없다”라는 안내 문구가 나타나는 증상이다.
장치 암호화는 단순 소프트웨어 설정만으로 활성화되는 기능이 아니라, 특정 하드웨어·펌웨어·전원 관리 모드를 모두 만족해야 한다.
주의 : 장치 암호화는 기본적으로 자동·투명하게 동작하기 때문에, 지원 조건을 만족하지 못하면 스위치가 회색 처리되거나 메뉴가 숨겨지는 방식으로 비활성화되는 경우가 많다.
2. 장치 암호화 지원을 위한 필수 조건
장치 암호화가 활성화되려면 다음과 같은 조건을 만족해야 한다.
2.1 운영체제 및 에디션 조건
- Windows 10 또는 Windows 11이 설치되어 있어야 한다.
- 대부분의 최신 브랜드 노트북은 Home 에디션에서도 장치 암호화를 지원하도록 설계되어 있다.
- 장치 암호화 지원 여부와 별개로, Pro·Enterprise 에디션에서는 BitLocker를 통해 수동 암호화 구성이 가능하다.
즉, 장치 암호화가 회색 처리되어도 Pro 이상 에디션에서는 BitLocker를 통해 동일한 수준의 디스크 암호화를 구현할 수 있다.
2.2 하드웨어·펌웨어 필수 조건
장치 암호화가 기본적으로 요구하는 대표적인 하드웨어·펌웨어 조건은 다음과 같다.
| 구분 | 요구 사항 | 확인 포인트 |
|---|---|---|
| TPM | TPM 2.0(펌웨어 TPM 포함) 지원 및 사용 가능 상태여야 한다. | tpm.msc에서 TPM 버전과 사용 가능 여부를 확인한다. |
| 부팅 모드 | UEFI 부팅 모드와 GPT 디스크 파티션이 필요하다. | msinfo32와 디스크 관리에서 UEFI·GPT 여부를 확인한다. |
| 보안 부팅 | Secure Boot가 사용 가능 상태로 설정되어야 한다. | UEFI 펌웨어에서 Secure Boot Enabled 상태를 확인한다. |
| 전원 관리 | 모던 스탠바이(Modern Standby, S0 Low Power Idle) 지원이 권장된다. | powercfg /a 명령으로 S0 지원 여부를 확인한다. |
| 스토리지 | 일반적으로 SSD 기반 노트북 설계를 전제로 최적화되어 있다. | 제조사 사양에서 NVMe/SSD 구성 여부를 확인한다. |
2.3 계정 및 인증 조건
- 장치 암호화는 종종 Microsoft 계정 또는 Azure AD 계정을 기준으로 복구 키를 백업하도록 설계되어 있다.
- 순수 로컬 계정만 사용하는 환경에서는 장치 암호화 대신 BitLocker의 수동 구성으로 전환하는 것이 더 적합한 경우가 많다.
3. 지원 여부를 먼저 점검해야 하는 이유
장치 암호화가 회색 처리되어 있을 때 가장 먼저 할 일은 “이 장치가 설계적으로 장치 암호화를 지원하는지” 여부를 확인하는 것이다.
3.1 msinfo32로 장치 암호화 지원 항목 확인
시스템 정보 도구에서 장치 암호화 지원 상태를 직접 확인할 수 있다.
1. Win + R 키를 누른다. 2. 실행 창에 msinfo32 를 입력하고 Enter 키를 누른다. 3. 시스템 요약 화면에서 "장치 암호화 지원" 항목을 찾는다.해당 항목에 대표적으로 다음과 같은 메시지가 표시될 수 있다.
- “장치 암호화를 사용할 수 있습니다.”와 유사한 문구인 경우 설계상 지원하는 장치이다.
- “TPM을 사용할 수 없습니다” 또는 “UEFI, 보안 부팅, TPM이 필요합니다”와 같은 구체적인 제약 조건이 문자열로 표시되기도 한다.
- “이 장치는 장치 암호화를 지원하지 않습니다”와 같이 명확히 비지원으로 표시되면 회색 처리가 정상 동작에 가까운 결과이다.
주의 : msinfo32에서 장치 암호화 지원이 “지원하지 않음”으로 표시되면 Windows 설정에서 아무리 옵션을 찾아도 스위치가 활성화되지 않는다. 이 경우에는 BitLocker 등 대체 암호화 방식을 검토하는 것이 현실적인 해결책이다.
4. TPM 상태 점검 및 복구 절차
장치 암호화 회색 처리 원인 중 가장 빈도가 높은 항목이 TPM 비활성화 또는 문제 상태이다.
4.1 TPM 관리 콘솔 확인
Windows에서 TPM 상태를 확인하기 위한 절차는 다음과 같다.
1. Win + R 키를 누른다. 2. 실행 창에 tpm.msc 를 입력하고 Enter 키를 누른다. 3. "로컬 컴퓨터의 TPM 관리" 창에서 상태와 사양 버전을 확인한다.정상적인 경우 다음과 같은 사항을 확인할 수 있어야 한다.
- 상태에 “TPM을 사용할 준비가 되었습니다”와 비슷한 메시지가 표시되는지 확인한다.
- 오른쪽 창의 “사양 버전”이 최소 2.0인지 확인한다.
다음과 같은 경우에는 펌웨어 설정 또는 하드웨어 자체를 의심해야 한다.
- “호환되는 TPM을 찾을 수 없습니다”라는 메시지가 표시되는 경우이다.
- 사양 버전이 1.2 등 낮은 버전으로 표시되는 구형 시스템인 경우이다.
4.2 UEFI에서 TPM(PTT, fTPM) 활성화
요즘 메인보드는 별도 물리 TPM 모듈 없이도 펌웨어 기반 TPM을 제공하는 경우가 많다.
- Intel 플랫폼에서는 “Intel Platform Trust Technology(PTT)”라는 항목으로 노출되는 경우가 많다.
- AMD 플랫폼에서는 “AMD fTPM” 또는 “Firmware TPM” 등의 이름으로 제공된다.
일반적인 활성화 절차는 다음과 같다.
1. PC를 재부팅하고 제조사 로고가 뜰 때 F2, Del, F10 등 안내된 키로 UEFI 설정에 진입한다. 2. Security 또는 Advanced 메뉴에서 PTT, fTPM, TPM 항목을 찾는다. 3. Disabled 로 되어 있다면 Enabled 또는 Firmware TPM 등 사용 가능 상태로 변경한다. 4. 변경 내용을 저장(Save & Exit)하고 재부팅한다.주의 : TPM 초기화 또는 지우기(Clear TPM)를 실행하면 TPM에 저장된 키가 삭제되어 기존 BitLocker 볼륨의 복구 키 없이는 데이터에 접근할 수 없게 될 수 있다. 기업 환경이나 이미 암호화된 드라이브가 있는 경우 반드시 복구 키를 확보한 뒤 진행해야 한다.
5. 모던 스탠바이(Modern Standby) 지원 여부 점검
장치 암호화는 전원 관리 모델로 “모던 스탠바이(Modern Standby, S0 저전력 유휴)” 방식에 최적화되어 있다.
5.1 powercfg /a 명령으로 절전 상태 확인
현재 시스템이 어떤 절전 상태를 지원하는지 확인하려면 다음 명령을 사용한다.
1. 관리자 권한으로 명령 프롬프트 또는 PowerShell을 실행한다. 2. 아래 명령을 입력하고 Enter 키를 누른다.
powercfg /a대표적인 출력 해석은 다음과 같다.
- “다음 절전 상태가 이 시스템에서 사용할 수 있습니다: S0 낮은 전력 유휴(모던 스탠바이)”가 포함되어 있다면 모던 스탠바이 지원 장치이다.
- S0 항목 없이 “대기(S3)”만 나오는 경우 전통적인 절전 모드만 지원하는 시스템이다.
전통적인 S3 절전만 지원해도 BitLocker는 문제없이 사용할 수 있지만, 장치 암호화는 설계적으로 모던 스탠바이를 전제로 하는 경우가 많다.
5.2 모던 스탠바이 비지원 장치에서의 선택지
- 장치 암호화 메뉴는 회색 처리이거나 표시되지 않을 수 있다.
- 대신 제어판 또는 설정의 “BitLocker 드라이브 암호화”를 사용하여 동일한 수준의 암호화를 수동으로 구성할 수 있다.
- 새로운 하드웨어로 교체하기 전까지는 BitLocker를 표준 암호화 수단으로 사용하는 것이 현실적이다.
6. 부팅 모드·Secure Boot·GPT 파티션 점검
장치 암호화는 전통적인 BIOS·MBR 구성이 아닌 UEFI·GPT 구성을 요구한다.
6.1 msinfo32로 UEFI와 Secure Boot 상태 확인
시스템 정보 도구에서 다음 항목을 확인할 수 있다.
- “BIOS 모드”가 “UEFI”인지 확인한다.
- “보안 부팅 상태”가 “켜짐” 또는 사용 가능한 상태인지 확인한다.
만약 BIOS 모드가 Legacy 또는 CSM으로 되어 있다면 장치 암호화 지원이 제한될 수 있다.
6.2 디스크 파티션 방식 확인
디스크가 GPT인지 확인하는 방법은 다음과 같다.
1. Win + X 메뉴에서 "디스크 관리"를 연다. 2. 시스템 디스크(일반적으로 디스크 0)의 파티션 맵을 확인한다. 3. 디스크 0 레이블을 마우스 오른쪽 버튼으로 클릭하고 "속성"을 선택한다. 4. "볼륨" 탭에서 파티션 스타일이 "GUID 파티션 테이블(GPT)"인지 확인한다.MBR인 경우 UEFI + GPT 구성을 위해 전체 디스크를 재파티셔닝해야 하므로, 데이터 백업 후 OS 재설치를 검토해야 한다.
주의 : 운영체제가 설치된 디스크를 MBR에서 GPT로 변환하는 작업은 백업 없이 진행하면 데이터 손실 위험이 크다. 생산성이 중요한 업무용 장비라면 이미지 백업 후 계획적으로 변환 작업을 수행해야 한다.
7. 그룹 정책·도메인 정책에 의한 비활성화
기업 도메인에 가입된 PC에서는 보안 정책 때문에 장치 암호화 또는 BitLocker 설정 화면이 회색 처리될 수 있다.
7.1 로컬 그룹 정책 편집기 확인
Pro 이상 에디션에서는 로컬 그룹 정책 편집기로 일부 정책을 바로 확인할 수 있다.
1. Win + R 키를 누른다. 2. gpedit.msc 를 입력하고 Enter 키를 누른다. 3. 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > BitLocker 드라이브 암호화 관련 정책을 확인한다.장치 암호화와 직접적으로 연결된 정책은 제한적이지만, BitLocker 정책에 따라 자동 암호화 동작이나 UI 노출 방식이 달라질 수 있다.
7.2 도메인 환경에서의 한계
- 도메인 그룹 정책이 우선 적용되는 환경에서는 로컬에서 설정을 변경해도 즉시 다시 덮어써질 수 있다.
- 이 경우 장치 암호화 회색 처리 문제는 IT 관리자가 정의한 보안 정책의 결과일 수 있다.
- 사용자 권한으로 임의 해제하는 것은 보안 규정 위반이 될 수 있어, 정책 변경은 반드시 관리자와 협의해야 한다.
주의 : 회사·기관 PC에서 장치 암호화 상태를 임의로 변경하는 것은 내부 보안 규정을 위반할 수 있다. 특히 BitLocker 복구 키 저장 위치가 기업 인프라와 연계되어 있을 수 있으므로, 정책 변경은 담당 부서와 조율하는 것이 원칙이다.
8. 장치 암호화 회색 처리 시 실무 점검 체크리스트
실제 현장에서 문제를 해결할 때는 다음 체크리스트 순서대로 점검하는 것이 효율적이다.
| 순서 | 점검 항목 | 확인 방법 | 조치 방향 |
|---|---|---|---|
| 1 | 장치 암호화 지원 여부 | msinfo32 > 장치 암호화 지원 문자열 확인 | 지원 안됨이면 BitLocker 대체 사용을 검토한다. |
| 2 | TPM 2.0 상태 | tpm.msc로 상태·버전 확인 | UEFI에서 PTT/fTPM 활성화 또는 하드웨어 점검을 한다. |
| 3 | 모던 스탠바이 지원 | powercfg /a로 S0 지원 여부 확인 | S0 비지원이면 BitLocker 수동 구성을 표준으로 한다. |
| 4 | UEFI·Secure Boot·GPT | msinfo32와 디스크 관리에서 부팅 모드·파티션 확인 | Legacy·MBR이면 백업 후 UEFI·GPT 재설치를 검토한다. |
| 5 | 도메인·정책 영향 | 도메인 가입 여부·그룹 정책 적용 여부 확인 | 보안 정책이라면 담당 관리자와 설정 변경을 협의한다. |
9. 장치 암호화가 안 될 때의 현실적인 대안 전략
모든 조건을 맞추기 어렵거나, 구형 장비에서 장치 암호화 회색 처리 문제를 마주하는 경우 현실적인 대안을 선택해야 한다.
9.1 BitLocker 드라이브 암호화 활용
- Pro 이상 에디션에서는 제어판 또는 설정에서 BitLocker를 통해 시스템 드라이브를 암호화할 수 있다.
- TPM이 없는 시스템에서도 USB 키 또는 암호 기반 보호 구성으로 BitLocker를 사용할 수 있다.
- 관리 포인트는 늘어나지만, 장치 암호화와 동일한 수준의 데이터 보호 효과를 기대할 수 있다.
9.2 파일·폴더 수준 암호화 도입
- 디스크 전체 암호화가 불가능한 환경에서는 민감 데이터만 별도 암호화 컨테이너에 보관하는 방법을 사용할 수 있다.
- 클라우드 스토리지 서비스와 연계하여 클라이언트 측 암호화를 적용하는 것도 한 방법이다.
9.3 장비 교체 시점 고려
- TPM 2.0, 모던 스탠바이, UEFI·Secure Boot를 모두 지원하는 설계를 갖춘 장비로 교체하는 것이 장기적으로 관리 비용을 줄인다.
- 기업 기준에서는 신규 조달 시 이러한 보안 기능 지원 여부를 조달 스펙에 명시하는 것이 바람직하다.
10. 정리 및 실무 적용 포인트
장치 암호화 옵션이 회색 처리되는 현상은 단순한 UI 버그가 아니라, 하드웨어·펌웨어·전원 관리·보안 정책이 복합적으로 맞지 않을 때 정상적으로 나타나는 결과인 경우가 많다.
실무에서 문제를 진단할 때는 다음 순서를 기억하는 것이 효율적이다.
- msinfo32로 장치 암호화 지원 문자열을 확인하여, 설계상 지원 여부를 먼저 판단한다.
- tpm.msc와 UEFI 설정에서 TPM 2.0이 활성화되어 있고 정상 상태인지 확인한다.
- powercfg /a 명령으로 모던 스탠바이(S0)가 지원되는지 확인하여, 장치 암호화가 구조적으로 가능한 설계인지 파악한다.
- UEFI 부팅과 Secure Boot, GPT 파티션 여부를 확인하여 필요 시 OS 재설치·구성 변경을 계획한다.
- 기업 도메인 환경이라면 그룹 정책·보안 규정에 의해 제약되는 부분이 없는지 확인하고, 관리 부서와 협의한다.
- 장치 암호화가 구조적으로 어렵다면 BitLocker를 표준 암호화 방식으로 채택하여 운용 정책을 정한다.
이와 같이 하드웨어·소프트웨어 조건을 체계적으로 점검하면, 장치 암호화 회색 처리 문제를 단순 증상 수준이 아니라 설계·정책 수준에서 이해할 수 있으며, 환경에 맞는 최적의 암호화 전략을 수립할 수 있다.
FAQ
장치 암호화 스위치가 회색 처리인데 BitLocker는 정상적으로 켜질 수 있는 이유는 무엇인가?
장치 암호화는 모던 스탠바이, 특정 UEFI·보안 구성을 전제로 자동 동작하도록 설계된 기능이다. 반면 BitLocker는 보다 폭넓은 하드웨어 구성을 지원하도록 설계되어 있다. 따라서 장치 암호화가 회색 처리인 시스템에서도 Pro 이상 에디션에서는 BitLocker를 통해 시스템 드라이브를 수동으로 암호화할 수 있는 경우가 많다.
powercfg /a 결과에 모던 스탠바이(S0)가 없으면 장치 암호화를 포기해야 하는가?
S0 모던 스탠바이가 지원되지 않으면 장치 암호화 메뉴가 노출되지 않거나 회색 처리될 가능성이 크다. 이 경우 장치 암호화 자체를 활성화하기는 현실적으로 어렵다. 대신 BitLocker를 표준 암호화 방식으로 사용하고, 새로 도입하는 장비에서는 모던 스탠바이와 TPM 2.0을 충족하는 모델을 선택하는 전략이 합리적이다.
TPM 2.0이 없는 구형 PC에서도 디스크 암호화를 사용하는 방법이 있는가?
TPM 2.0이 없더라도 BitLocker는 USB 시작 키 또는 암호 기반 보호자로 드라이브를 암호화할 수 있다. 다만 부팅 시마다 키 입력 또는 USB 장치가 필요하므로 사용자 편의성과 운용 정책을 고려해야 한다. 민감도가 상대적으로 낮은 환경이라면 파일·폴더 수준 암호화 솔루션과 병행하는 방안도 고려할 수 있다.
장치 암호화가 회색 처리되어 있는데 새로 OS를 설치하면 활성화될 수 있는가?
UEFI·GPT·Secure Boot·TPM 2.0·모던 스탠바이 등을 모두 지원하는 하드웨어라면, 공장 초기 상태에서 제공되는 OEM 이미지 또는 UEFI·GPT 구성으로 재설치했을 때 장치 암호화가 자동 활성화되는 경우가 많다. 그러나 하드웨어 자체가 모던 스탠바이를 지원하지 않거나 TPM 버전이 낮다면 단순 재설치로는 해결되지 않는다.
기업 도메인에 가입된 노트북에서 장치 암호화 상태가 변경되지 않는다. 사용자가 직접 변경해도 되는가?
기업·기관 환경에서는 장치 암호화와 BitLocker 설정이 그룹 정책·보안 규정에 의해 관리되는 경우가 많다. 이 때 사용자가 임의로 상태를 변경하면 복구 키 관리와 컴플라이언스 측면에서 문제가 발생할 수 있다. 반드시 IT 보안 담당자와 협의하여 정책 범위 내에서 상태를 변경해야 한다.