기업 환경에서 블루투스 장치는 편리함과 동시에 보안 위험을 가져올 수 있습니다. 무분별한 블루투스 연결은 데이터 유출, 악성코드 감염, 무선 네트워크 침입 등의 경로가 될 수 있죠. 이런 이유로 많은 IT 관리자들이 Active Directory(AD) 환경에서 Group Policy Object(GPO)를 통해 블루투스 연결을 체계적으로 차단하려고 합니다.
오늘은 블루투스 장치 연결을 효과적으로 차단하는 여러 가지 방법을 상세하게 살펴보겠습니다.
1. Group Policy Preferences를 통한 레지스트리 설정
가장 일반적이고 효과적인 방법 중 하나는 GPO의 Group Policy Preferences 기능을 사용해 레지스트리 값을 직접 제어하는 것입니다.
블루투스 서비스 완전 비활성화
레지스트리 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bthserv
| 설정 항목 | 값 | 설명 |
|---|---|---|
| 값 이름 | Start | 서비스 시작 유형 제어 |
| 값 데이터 | 4 | 서비스 비활성화 (Disabled) |
| 값 종류 | REG_DWORD | 32비트 정수값 |
GPO 설정 경로:
- Group Policy Management Console 실행
- 대상 GPO 편집 → Computer Configuration
- Preferences → Windows Settings → Registry
- 새 레지스트리 항목 생성
블루투스 파일 전송 차단
레지스트리 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters
| 설정 항목 | 값 | 설명 |
|---|---|---|
| 값 이름 | DisableFsquirt | 파일 전송 기능 제어 |
| 값 데이터 | 1 | 파일 전송 비활성화 |
| 값 종류 | REG_DWORD | 32비트 정수값 |
2. System Services를 통한 서비스 제어
더욱 직접적인 방법으로는 GPO의 System Services 정책을 활용해 Bluetooth Support Service(BthServ)를 비활성화하는 것입니다.
GPO 설정 경로:
- Computer Configuration → Policies
- Windows Settings → Security Settings
- System Services → Bluetooth Support Service
- 서비스 시작 모드를 Disabled로 설정
이 방법의 장점은 서비스 자체를 아예 시작하지 않아 시스템 리소스를 절약할 수 있다는 점입니다.
3. PowerShell 스크립트를 통한 MDM 정책 적용
최신 Windows 환경에서는 MDM(Mobile Device Management) 정책을 PowerShell로 제어할 수 있습니다.
# 시스템 계정으로 실행 필요
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_Policy_Config01_Connectivity02"
# 블루투스 토글 비활성화
New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{
ParentID="./Vendor/MSFT/Policy/Config"
InstanceID="Connectivity"
AllowBluetooth=0
}
AllowBluetooth 값 설명:
- 0: 블루투스 완전 비활성화
- 1: 검색/광고만 허용
- 2: 모든 기능 허용
GPO 적용 방법:
- Computer Configuration → Policies → Windows Settings
- Scripts (Startup/Shutdown) → Startup
- PowerShell 스크립트 추가
4. Administrative Templates를 통한 블루투스 정책
Windows의 내장 Administrative Templates를 활용하면 더욱 세밀한 제어가 가능합니다.
GPO 설정 경로:
- Computer Configuration → Administrative Templates
- Network → Bluetooth
- “Turn off the Bluetooth user experience” 활성화
Swift Pair 기능 비활성화
GPO 설정 경로:
- Computer Configuration → Administrative Templates
- Windows Components → Device Pairing
- “Turn off Swift Pair” 활성화
이 설정은 자동 블루투스 페어링을 방지해 무분별한 장치 연결을 차단합니다.
5. Device Control Policy를 통한 세밀한 제어
Microsoft Defender for Endpoint가 있는 환경에서는 Device Control Policy를 활용해 특정 블루투스 서비스만 선택적으로 차단할 수 있습니다.
파일 전송 서비스만 차단하기
차단할 블루투스 서비스 UUID:
- 00001105-0000-1000-8000-00805F9B34FB (OBEX Object Push)
- 00000008-0000-1000-8000-00805F9B34FB (File Transfer)
이 방법을 사용하면 블루투스 헤드셋, 마우스 등은 사용 가능하면서 파일 전송만 차단할 수 있어 사용자 편의성과 보안성을 동시에 확보할 수 있습니다.
정책 적용 및 확인 방법
GPO 적용 강제 실행
gpupdate /force
정책 적용 상태 확인
gpresult /r /scope computer
상세한 정책 보고서 생성
gpresult /h c:\gpo_report.html /scope computer
위에서 소개한 5가지 방법 중에서 여러분의 환경에 가장 적합한 방법을 선택해 단계적으로 적용해보시기 바랍니다. 특히 Group Policy Preferences를 통한 레지스트리 제어 방법은 가장 안정적이고 예측 가능한 결과를 제공하므로 많은 환경에서 추천할 만합니다. 정책 적용 후에는 반드시 모니터링을 통해 예상치 못한 부작용이 없는지 확인하고, 필요시 즉시 조치할 수 있는 체계를 갖춰두시길 바랍니다.