Windows 11 BitLocker 복구 키를 5가지 방법으로 찾는 헬프데스크 실무 가이드. Microsoft 계정, Entra ID, Active Directory, PowerShell, manage-bde까지 1티어가 5분 안에 잠금을 풀 수 있는 절차를 정리합니다.
업데이트: 2026년 6월 10일
Windows 11 BitLocker 복구 키는 가장 빠르게는 account.microsoft.com/devices/recoverykey에서 개인 Microsoft 계정으로 로그인해 키 ID 앞 8자리와 일치하는 48자리 숫자를 확인하면 됩니다. 회사·학교 기기라면 Entra ID 관리자 포털, 온프레미스 도메인 가입 기기라면 Active Directory 사용자 및 컴퓨터(ADUC)의 BitLocker 탭에서 조회합니다. 본 가이드는 헬프데스크 1티어 엔지니어가 사용자에게 "복구 키 화면이 떴어요"라는 전화를 받았을 때 5분 안에 복구 키를 찾아 잠금을 풀 수 있도록 모든 보관 위치와 PowerShell 진단 절차를 정리합니다.
account.microsoft.com/devices/recoverykey), 회사 PC는 Entra ID 또는 Active Directory에 저장됩니다.manage-bde -protectors -get C:로 활성 보호기와 키 ID를 미리 확인해두면 1티어 진단이 빨라집니다.BitLocker 복구 키는 48자리 숫자(예: 123456-789012-...-345678)로, TPM이 정상적인 부팅 환경을 인증하지 못할 때 드라이브 잠금을 해제하는 마지막 안전장치입니다. Windows 11은 BitLocker를 활성화하는 순간 이 키를 반드시 외부 위치에 백업하도록 설계되어 있습니다. 개인 사용자는 Microsoft 계정에, 회사·학교 사용자는 Entra ID(구 Azure AD) 또는 Active Directory에, 일부는 USB·인쇄·파일로 저장됩니다.
그래서 "복구 키를 잃어버렸다"는 표현은 사실 부정확합니다. 키는 어딘가에 분명히 저장되어 있고, 우리가 할 일은 그 위치를 찾는 것뿐입니다. 24H2부터 자동 디바이스 암호화(Device Encryption)가 모든 Home/Pro 에디션에서 기본 활성화되었기 때문에 사용자 본인도 BitLocker가 켜져 있다는 사실을 모르는 경우가 많습니다. 이때는 PC 셋업 당시 사용된 Microsoft 계정이 1순위 조회 대상입니다.
화면 가운데에 표시되는 키 ID(영문/숫자 조합, 보통 첫 8자리만 노출)는 보관소에 키가 여러 개 저장되어 있을 때 어느 항목을 골라야 하는지 알려주는 식별자입니다. 키 ID와 복구 키는 1:1로 대응하므로 잘못된 키를 입력하면 "키가 일치하지 않습니다"라는 오류가 떨어집니다. 솔직히 말해서, 우리 회사처럼 BYOD 정책으로 개인 계정과 회사 계정이 섞여 있는 환경에서는 양쪽 모두 확인해야 합니다.
개인용 PC라면 십중팔구 이 경로로 해결됩니다. 다른 기기(스마트폰, 다른 PC)에서 account.microsoft.com/devices/recoverykey에 접속해 PC 설정 시 사용한 Microsoft 계정으로 로그인하면 그 계정에 연결된 모든 기기의 복구 키 목록이 표시됩니다. 화면에 보이는 키 ID 앞 8자리와 웹페이지의 키 ID 앞 8자리가 일치하는 항목을 선택해 48자리 숫자를 그대로 입력하면 잠금이 풀립니다.
여기서 가장 흔한 실수가 "이 PC 처음 만들 때 어떤 계정 썼는지 기억 안 난다"는 상황입니다. 사용자에게 이렇게 물어보세요. Outlook.com, Hotmail, Live, Xbox, OneDrive, Office 365 Home 중 어떤 서비스를 쓰고 계신가요? 가족 구성원의 계정으로 셋업했을 가능성도 있으니 배우자·자녀 계정도 확인하도록 안내합니다. 학교 학생용 PC의 경우 학교에서 발급한 학생 계정이 키 보관소가 됩니다.
주의할 점 하나. Microsoft 계정 페이지에 BitLocker 키가 표시되지 않는다면 두 가지 가능성이 있습니다. 첫째, 이 PC는 로컬 계정으로만 셋업되어 디바이스 암호화가 활성화되지 않았거나(이 경우 복구 화면이 나올 일 자체가 없습니다), 둘째, 회사·학교 계정으로 가입된 기기여서 키가 Entra ID 쪽에 저장되어 있는 경우입니다. 후자가 의심되면 다음 섹션으로 이동합니다.
마지막으로 키 ID와 복구 키를 메모할 때 헷갈리지 않도록 한 가지 팁을 드리자면, 키 ID는 영문/숫자 조합이고 복구 키는 숫자만으로 구성됩니다. 사용자가 전화로 키를 불러줄 때 "O"인지 "0"인지 확인할 필요가 없다는 뜻이죠. 또한 복구 키는 6자리씩 8그룹으로 나뉘므로(123456-789012-...), 사용자에게 그룹 단위로 끊어서 부르도록 안내하면 받아쓰기 오류가 크게 줄어듭니다. 우리 팀은 이걸 잘 모르는 신입에게 "하이픈은 자동이니까 숫자만 받아 적어"라고 가르치는데, 이게 시간을 가장 많이 절약하는 작은 디테일입니다.
회사 노트북에서 BitLocker 복구 화면이 떴다면 키는 Entra ID에 저장되어 있을 가능성이 가장 높습니다. Microsoft Learn의 Intune BitLocker 관리 문서에 따르면 Intune 또는 Endpoint Manager로 BitLocker 정책을 배포한 모든 기기는 자동으로 Entra ID에 키를 에스크로(escrow)합니다. 헬프데스크 1티어는 다음 절차를 따라 키를 조회합니다.
LAPTOP-A1B2C3)으로 검색합니다.BitLocker 키 조회 권한은 기본 사용자 관리자(User Administrator), 전역 관리자(Global Administrator), 헬프데스크 관리자(Helpdesk Administrator) 역할에만 있고, 매번 감사 로그가 남습니다. 우리 팀은 별도로 "BitLocker Recovery Key Reader" 역할을 만들어 1티어에게만 위임했습니다. 키 조회는 충분히 민감한 작업이라 전역 관리자 권한을 1티어에게 주는 건 권장하지 않습니다.
키 ID는 보이는데 복구 키 값이 표시되지 않거나 권한 오류가 난다면 대상 사용자의 디렉터리 역할이 부족하거나, 기기가 Entra ID에는 등록되었지만 정책 배포 전이라 키 에스크로가 안 된 경우입니다. 후자라면 PowerShell 진단 섹션으로 넘어가 사용자에게 원격으로 백업을 트리거해야 합니다.
실무 팁 하나 더. 사용자가 전화로 "파란 화면에 영어가 잔뜩 떠 있어요"라고만 말하면 어느 단계에서 막혔는지 파악하기 어렵습니다. 1티어가 가장 먼저 물어볼 두 가지는 "화면 맨 위 제목이 BitLocker recovery인가요, Recovery인가요"와 "키 ID 라벨 옆 영문 숫자 조합을 처음 8자리만 불러주세요"입니다. 전자는 OS 드라이브 잠금인지 데이터 드라이브 잠금인지 구분해주고, 후자는 보관소에서 어느 항목을 골라야 하는지 즉시 결정해줍니다. 이 두 질문만 표준화해도 평균 처리 시간(MTTR)이 절반으로 줄어드는 걸 우리 SLA 리포트에서 확인했어요. 그리고 사용자가 키를 입력하는 동안에는 반드시 통화를 유지하세요. 잘못된 키를 여러 번 시도하면 일부 펌웨어에서 추가 지연 시간이 부과되어 사용자가 답답함을 호소합니다.
온프레미스 도메인에 가입된 PC라면 그룹 정책에서 "BitLocker 복구 정보를 Active Directory 도메인 서비스에 저장"을 활성화해뒀을 것입니다. 설정해두지 않았다면 지금 당장 GPO를 정비하세요. 키는 컴퓨터 계정 객체의 자식 항목으로 저장되어 ADUC에서 조회합니다.
스크립트로 자동화하고 싶다면 PowerShell의 Get-ADObject를 활용합니다. 다음 스니펫은 한 줄로 특정 컴퓨터의 모든 BitLocker 키를 출력하니 헬프데스크 케이스 노트에 첨부하기 편합니다. 저도 지난 분기 대규모 펌웨어 롤아웃 직후에 이 스크립트로 300대 가까운 PC를 동시에 점검했어요.
# 컴퓨터 이름으로 BitLocker 복구 키 조회 (RSAT 필요)
$ComputerName = "WS-FINANCE-07" # 대상 PC 호스트명
# 컴퓨터 객체의 DN을 먼저 찾고, 그 하위의 msFVE-RecoveryInformation 항목을 가져옴
$Computer = Get-ADComputer -Identity $ComputerName
Get-ADObject -Filter { objectClass -eq 'msFVE-RecoveryInformation' } `
-SearchBase $Computer.DistinguishedName `
-Properties 'msFVE-RecoveryPassword','whenCreated' |
Sort-Object whenCreated -Descending |
Select-Object Name, whenCreated, @{N='RecoveryPassword'; E={$_.'msFVE-RecoveryPassword'}}
출력의 Name 필드 앞부분이 키 ID와 일치하는 항목을 찾으면 됩니다. 한 컴퓨터에 키가 여러 개 표시되는 건 정상이에요. 드라이브를 재암호화하거나 보호기를 재생성할 때마다 새 항목이 추가되고 오래된 키는 그대로 보존됩니다.
사용자 PC가 아직 부팅 가능한 상태(예: 재부팅 직전에 캡처)라면 로컬에서 직접 키 ID와 활성 보호기를 확인할 수 있습니다. 헬프데스크 1티어가 원격 세션을 열어 다음 명령을 함께 실행하면 사고가 나기 전에 보호기 상태를 미리 점검할 수 있습니다. 자세한 옵션은 Microsoft Learn의 BitLocker PowerShell 모듈 레퍼런스에서 확인할 수 있습니다.
# 관리자 권한 PowerShell에서 실행
# 1. C: 드라이브의 모든 보호기 및 키 ID 확인
manage-bde -protectors -get C:
# 2. PowerShell 네이티브 명령으로 더 깔끔하게
Get-BitLockerVolume -MountPoint "C:" | Select-Object MountPoint, ProtectionStatus, EncryptionMethod, KeyProtector
# 3. 복구 키를 Entra ID로 강제 백업 (Intune 정책이 적용 안 됐을 때)
$BLV = Get-BitLockerVolume -MountPoint "C:"
$KeyProtector = $BLV.KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' }
BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $KeyProtector.KeyProtectorId
# 4. 복구 키를 AD로 강제 백업 (온프레미스 도메인 가입 PC)
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $KeyProtector.KeyProtectorId
이 단계는 사고 사후 대응뿐 아니라 사전 점검에도 유용합니다. BitLocker 정책 배포 직후 무작위로 표본 PC를 골라 키 ID가 Entra ID 보관소와 일치하는지 검증하면, 어떤 GPO 충돌 때문에 키 에스크로가 실패한 기기를 미리 잡아낼 수 있습니다. 우리 팀은 분기마다 OneDrive 동기화 오류 진단 점검과 함께 BitLocker 키 백업 상태를 같이 감사합니다.
같은 PC에서 복구 화면이 반복된다면 키를 찾는 것만으로는 끝이 아닙니다. 근본 원인을 잡지 않으면 다음 부팅 때 또 같은 화면이 뜹니다. 2026년 현재 1티어 티켓의 80% 이상이 다음 4가지 원인 중 하나입니다.
manage-bde -protectors -disable C:로 BitLocker를 일시 중지하라고 사용자에게 안내합니다.재부팅 후에도 키 화면이 계속 뜨면 사용자가 키를 입력해 잠금을 푼 뒤, 즉시 manage-bde -protectors -disable C:로 보호기를 일시 중지하고 PC를 점검 모드로 전환합니다. 그래야 다음 부팅에서 키 입력 없이 정상 진입하고, 펌웨어·드라이버 점검 후 다시 활성화할 수 있어요.
헬프데스크에 같은 사용자가 한 달에 두 번 BitLocker 키를 요청한다면 그건 사용자 문제가 아니라 정책 문제입니다. 1티어 작업량을 줄이려면 다음 GPO/Intune 설정을 표준 베이스라인에 포함시키세요.
Suspend-BitLocker -MountPoint "C:" -RebootCount 1 스크립트를 사전 단계로 추가합니다.키 ID는 복구 키 자체와 1:1로 매칭되는 식별자로, 보관소에 같은 PC의 키가 여러 개 있을 때 어느 항목을 골라야 하는지 알려줍니다. 보통 화면에는 앞 8자리만 표시됩니다.
불가능합니다. BitLocker는 키 없이 우회할 수 있는 백도어가 없도록 설계되어 있으며, 키가 영구히 분실되면 드라이브를 포맷해 데이터를 폐기하는 것이 유일한 선택지입니다.
PC가 로컬 계정으로 셋업되어 디바이스 암호화가 켜지지 않았거나, 회사·학교 계정으로 가입되어 키가 Entra ID 쪽에 저장된 경우입니다. 가족 구성원의 다른 Microsoft 계정도 함께 확인하세요.
Intune 정책 배포 전에 BitLocker가 켜진 기기는 키가 에스크로되지 않습니다. PC가 부팅된 상태라면 PowerShell의 BackupToAAD-BitLockerKeyProtector로 즉시 재백업해 향후 사고에 대비합니다.
24H2부터 Home/Pro 모든 에디션에서 자동 디바이스 암호화가 기본 활성화됩니다. Microsoft 계정으로 로그인된 PC는 백업이 자동으로 이뤄지므로 끄는 대신 키 보관 위치를 한 번 확인해두는 것을 권장합니다.
Windows 11에서 프린터가 오프라인으로 표시되는 세 가지 핵심 원인(Spooler 중단, SNMP 폴링 실패, 오프라인 사용 옵션)을 PowerShell·GUI·그룹 정책으로 한 번에 해결하는 헬프데스크 실전 가이드입니다.
Windows 11에서 OneDrive 동기화 오류가 나면 시스템 트레이에서 오류 코드를 확인하고 onedrive.exe /reset으로 클라이언트를 초기화하는 것이 가장 빠릅니다. 5분 트리아지, PowerShell 진단 스크립트, SharePoint 측 확인 명령, 에스컬레이션 기준까지 헬프데스크 운영 관점에서 정리했습니다.
2026년 1월 KB5074109 업데이트 이후 발생하는 Windows 11 원격 데스크톱(RDP) 연결 장애를 포함해 오류 코드 0x204, CredSSP 인증 오류, UDP 버그까지 단계별로 해결하는 완벽 가이드입니다.