2026년 만료 예정인 Windows 11(및 10)의 2023년 보안 부팅 인증서를 설치하는 방법

2011년에 발급된 Windows 11(및 10) 보안 부팅 인증서는 2026년 6월에 만료됩니다.
2024년 이후에 제조된 PC에는 일반적으로 2023년 인증서가 포함되어 있습니다. 이전 시스템은 수동으로 업데이트해야 할 수 있습니다.
이 지침은 인증서 세부 정보를 확인하고 2023년 인증서를 수동으로 설치하는 데 도움이 됩니다.

Windows 11 및 Windows 10 에서 Microsoft는 표준 시스템 업데이트를 통해 보안 부팅 인증서를 점진적으로 검증하고 업데이트합니다. 대부분의 경우 2026년 6월 마감일 이전에 장치를 준비하려면 매달 제공되는 보안 업데이트 만 완료하면 됩니다 .

하지만 2023년형 보안 부팅 인증서를 직접 확인하거나 적용하려면 수동으로 절차를 완료할 수 있습니다. 이 가이드에서는 단계별로 안내합니다.

보안 부팅(Secure Boot) 은 UEFI(Unified Extensible Firmware Interface)에 내장된 펌웨어 수준의 보안 기능입니다. 이 기능은 기기가 승인된 인증 기관에서 디지털 서명하고 신뢰하는 소프트웨어로만 부팅되도록 보장합니다. 운영 체제가 로드되기 전에 부트로더와 펌웨어 구성 요소를 검증함으로써, 보안 부팅은 루트킷 및 기타 저수준 악성 프로그램이 시작 프로세스를 손상시키는 것을 방지하는 데 도움을 줍니다.

이러한 보호 기능을 강화하기 위해 Secure Boot는 인증 기관(CA)이라고 하는 암호화 키를 사용합니다. 이 키는 펌웨어와 운영 체제 간의 신뢰 체인을 구축하여 초기 부팅 단계에서 서명되지 않았거나 변조된 코드를 차단합니다.

모든 디지털 인증서와 마찬가지로 Secure Boot 인증 기관에도 만료일이 있습니다. 최초 2011년 인증서는 2026년 6월에 만료됩니다. 시스템은 신뢰도 검증 오류, 부팅 문제 또는 향후 업데이트 수신 중단을 방지하려면 해당 날짜 이전에 2023년 업데이트된 인증서를 설치해야 합니다.

2024년 이후에 제조된 컴퓨터는 일반적으로 2023년 인증서가 이미 설치된 상태로 출고됩니다. 구형 하드웨어의 경우 Microsoft는 지속적인 보안 유지 관리의 일환으로 Windows Update를 통해 업데이트된 인증서를 제공하고 있지만, 사용자가 수동으로 새 인증서를 설치하고 교체할 수도 있습니다.

이 가이드 에서는 Windows 11 장치의 보안 부팅 인증서를 확인하고 수동으로 업데이트하는 간단한 단계를 설명합니다.

중요: 이 과정은 데이터 손실을 방지하지만, 진행하기 전에 컴퓨터의 모든 데이터를 백업 하는 것이 좋습니다 . 미리 경고합니다.

Windows 11에 2023년 보안 부팅 인증서 설치

BitLocker가 활성화된 경우 펌웨어가 새 키를 장치에 성공적으로 기록하려면 PowerShell( )에서 암호화를 일시적으로 비활성화 해야 합니다 . 또한 진행하기 전에 컴퓨터가 2026년 2월 보안 업데이트(KB5077181) 이상으로 완전히 업데이트되었는지 확인하십시오 .Suspend-BitLocker -MountPoint "C:" -RebootCount 2

2026년 만료 예정인 보안 부팅 인증서를 갱신하려면 다음 단계를 따르십시오.

시작 버튼을 여세요 .
PowerShell (또는 터미널 ) 을 검색하고 , 검색 결과 맨 위에 있는 항목을 마우스 오른쪽 버튼으로 클릭한 다음, 관리자 권한으로 실행 옵션을 선택하세요.
다음 명령어를 입력하여 기기가 보안 부팅이 활성화된 UEFI를 사용하고 있는지 확인하고 Enter 키를 누르십시오 .

Confirm-SecureBootUEFI

참고: 출력 결과가 "True" 이면 아래 단계를 진행할 수 있습니다. 그렇지 않으면 보안 부팅(Secure Boot)을 활성화 해야 합니다 . Windows 10을 사용 중인 경우, 기존 BIOS에서 UEFI로 전환 해야 할 수도 있습니다 .
보안 부팅 인증서의 만료일을 확인하려면 다음 명령어를 입력하고 Enter 키를 누르십시오 .

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(출력 1) 출력 결과가 "True" 이면 새 인증서(2053년까지 유효)를 발급받은 것입니다. 작업을 중지하고 더 이상 진행하지 마십시오.
(출력 2) 출력 결과가 "False"인 경우, 2011년 인증서(2026년 만료)를 아직 사용 중일 가능성이 높습니다. 아래 단계를 계속 진행하십시오.
필요한 모든 인증서를 배포하기 위한 레지스트리 키를 설정하려면 다음 명령어를 입력하고 Enter 키를 누르십시오 .

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
인증서 변경을 수동으로 실행하려면 다음 명령어를 입력하고 Enter 키를 누르십시오 .

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
컴퓨터를 한 번 재부팅하세요.
기기를 다시 한 번 재부팅하고 인증서 확인 절차를 계속 진행하십시오.

참고: 업데이트가 완전히 적용되려면 일반적으로 두 번의 재부팅이 필요합니다. 첫 번째 재부팅 후 시스템에서 부트 관리자를 업데이트합니다. 두 번째 재부팅 후 UEFI 데이터베이스에 인증서 등록이 완료됩니다.
시작 버튼을 여세요 .
PowerShell (또는 터미널 ) 을 검색하고 , 검색 결과 맨 위에 있는 항목을 마우스 오른쪽 버튼으로 클릭한 다음, 관리자 권한으로 실행 옵션을 선택하세요.
업데이트가 성공적으로 완료되었는지 확인하려면 다음 명령어를 입력하고 Enter 키를 누르십시오 .

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

위의 단계를 모두 완료한 후 출력 결과가 "True" 이면 새 인증서(2053년까지 유효)가 컴퓨터에 성공적으로 설치된 것입니다. 출력 결과가 "False" 이면 인증서가 제대로 설치되지 않은 것입니다.

"True" 로 설정하면 2023년 인증 기관 등록이 확인되지만, 모든 시나리오에서 2011년 인증서가 즉시 제거되는 것은 아닙니다. 일부 시스템에서는 일시적으로 두 인증서가 모두 표시될 수 있습니다.

프로세스 후에도 출력 결과가 "False"로 유지되면 이벤트 뷰어 > 응용 프로그램 및 서비스 로그 > Microsoft > Windows > SecureBoot-Update 에서 오류를 확인하십시오. 또한 Get-ScheduledTask -TaskName "Secure-Boot-Update"명령을 실행하여 예약된 작업이 존재하는지 확인하십시오.

업데이트 후 BitLocker를 비활성화해야 했던 경우, 재부팅 두 번 후 자동으로 암호화가 재개 Resume-BitLocker -MountPoint "C:"되더라도 명령어를 실행하여 암호화를 다시 시작할 수 있습니다 -RebootCount 2.

한 가지 주목할 점은 2023년 보안 부팅 인증서가 그냥 생겨난 것이 아니라는 것입니다. 마이크로소프트는 일반적으로 Windows 11 및 지원되는 Windows 10 장치용 누적 업데이트 또는 보안 업데이트의 일부로 Windows 서비스 업데이트에 새 인증서를 포함합니다.

실제로 해당 회사는 2026년 2월 보안 업데이트 (및 그 이후 버전) 출시 이후부터 새로운 보안 부팅 인증서를 포함시켜 왔습니다.

Windows UEFI CA 2023으로 알려진 이 인증서는 Microsoft에서 디지털 서명했으며 Secure Boot에서 신뢰합니다.

인증서가 이미 컴퓨터에 있는 경우, 다음 지침에 따라 시스템이 자동으로 업데이트를 처리할 때까지 기다리지 않고 즉시 적용할 수 있습니다.