Microsoft, Windows 11에서 만료되는 Secure Boot 인증서를 교체합니다 - 자세한 내용 및 업데이트 방법

• 보안 부팅은 저수준 악성 프로그램이 Windows 11 시작 프로세스를 손상시키는 것을 방지합니다.
• 마이크로소프트의 기존 2011년 보안 부팅 인증서는 2026년 6월에 만료되며, 새로 발급되는 2023년 인증서는 2053년까지 보호 기간을 연장합니다.
• 2024년 이후에 구입한 기기는 이미 최신 인증서를 보유하고 있을 가능성이 높습니다. 나머지 기기는 Windows 업데이트를 통해 점진적으로 인증서를 받게 됩니다.
• PowerShell을 사용하여 인증서 상태를 확인할 수 있으며, 업데이트가 자동으로 이루어지지 않은 경우 레지스트리 수정이나 예약 작업을 통해 수동으로 인증서를 업데이트할 수 있습니다.

PC의 보안 부팅 모듈 인증서가 2026년 6월에 만료됩니다. Microsoft는 2026년 1월 보안 업데이트 부터 컴퓨터가 정상적으로 부팅되고 보안 업데이트를 계속 받을 수 있도록 새로운 인증서를 단계적으로 배포하기 시작했습니다.

Windows 11 에서 보안 부팅은 UEFI(Unified Extensible Firmware Interface) 펌웨어에 포함된 보안 기능으로, 부팅 시 중요한 시스템 파일에 대한 무단 수정을 방지합니다. 결과적으로, 장치가 제조업체에서 신뢰하는 소프트웨어만을 사용하여 부팅되도록 보장합니다.

즉, 보안 부팅은 부팅 과정을 감염시켜 운영 체제와 백신 소프트웨어가 로드되기 전에 컴퓨터를 제어할 수 있는 저수준 악성코드(예: 부트킷 및 루트킷)로부터 장치를 보호하는 데 도움이 됩니다.

보안 부트 인증서를 이해하세요

이 기능은 프로세스의 일부로 암호화 키(인증 기관(CA)이라고 함)를 사용하여 펌웨어 모듈이 신뢰할 수 있는 출처에서 제공되었는지 확인함으로써 장치 시작 초기 단계에서 악성 프로그램이 실행되는 것을 방지합니다.

보안 부팅 인증서는 항상 만료일이 있으며, 이는 컴퓨터가 보안 업데이트를 계속 받고 올바르게 부팅되도록 보장하는 데 도움이 됩니다. 따라서 2011년 CA 인증서가 2026년 6월에 만료되기 전에 2023년 인증서를 설치해야 합니다.

2024년 이후에 구입한 기기를 사용 중이라면 최신 인증서가 이미 설치되어 있을 가능성이 높습니다. 하지만 그 외의 컴퓨터에 대해서는 마이크로소프트가 현재 윈도우 업데이트를 통해 새로운 보안 부팅 인증서를 배포하고 있습니다.

2026년 1월 13일에 배포된 "2026-01 보안 업데이트(KB5074109)(26200.7623)" 에서 소프트웨어 대기업인 애플은 이제 업데이트에 새로운 보안 부팅 인증서를 자동으로 수신할 수 있는 장치를 식별하는 데 사용되는 신뢰도 높은 장치 타겟팅 데이터의 일부가 포함된다고 밝혔습니다. 장치는 충분한 업데이트 성공 신호를 확인한 후에만 새 인증서를 받게 되므로 안전하고 단계적인 배포가 보장됩니다.

즉, 시스템이 업데이트를 계속 수신하도록 허용하는 것 외에는 Secure Boot를 업데이트하기 위해 수동으로 조치를 취할 필요가 없습니다 . 적어도 지금부터 2026년 6월 보안 업데이트가 제공될 때까지는 그렇습니다.

보안 부팅 인증서 만료일을 확인하세요

컴퓨터에 최신 인증 기관이 설치되었다는 알림을 받지 못하므로, 기기에 추가 업데이트가 필요한지 확인하는 것이 중요합니다.

Windows 11에는 펌웨어 만료일을 사람이 읽을 수 있는 형식으로 표시하는 기본 명령이 없습니다. 하지만 다음 단계를 통해 2026년에 만료되는 인증서를 대체하는 "업데이트된" 2023년 인증서가 있는지 확인할 수 있습니다.

관리자 권한으로 PowerShell을 열고 다음 명령을 실행하세요.

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• 맞습니다. 귀하는 새로운 인증서를 소지하고 있습니다(2053년까지 유효).
• 거짓입니다. 귀하는 아마도 아직 2011년도 인증서(2026년 만료)를 사용하고 있을 가능성이 높습니다.

PowerShell을 사용하여 보안 부팅 인증서 만료 여부를 확인합니다. / 이미지: Mauro Huculak

거의 모든 최신 보안 부팅 체인은 Microsoft의 2011년 인증서를 사용하며, 해당 인증서의 만료일은 다음과 같습니다 .

• 마이크로소프트 주식회사 KEK CA 2011 (2026년 6월 24일). 
• 마이크로소프트사 UEFI CA 2011 (2026년 6월 27일).
• Microsoft Option ROM UEFI CA 2011 (2026년 6월 27일).
• 마이크로소프트 윈도우 프로덕션 PCA 2011 (2026년 10월 19일).

참고로 각 자격증의 기능은 다음과 같습니다.

• KEK 인증서: 보안 부팅 서명 데이터베이스(DB/DBX) 업데이트를 허용하는 신뢰 앵커입니다.
• UEFI CA 인증서: 부트로더 및 펌웨어 구성 요소(타사 EFI 애플리케이션 포함)의 서명을 신뢰합니다.
• 옵션 ROM CA: 펌웨어 옵션 ROM 모듈을 신뢰합니다.
• Microsoft Windows Production PCA 2011: 보안 부팅 환경에서 펌웨어가 Windows 부트로더 및 관련 바이너리를 신뢰하도록 보장합니다.

Windows 11에서 보안 부팅 인증서 업데이트

인증서 만료일이 가까워지면 Microsoft와 컴퓨터 제조업체(OEM)는 Windows Update 또는 시스템 업데이트를 통해 펌웨어 업데이트 또는 "DBX" 업데이트를 자동으로 배포하여 새 2023 CA 인증서를 등록합니다. 하지만 보안 부팅을 수동으로 업데이트할 수도 있습니다.

경고: 진행하기 전에 BitLocker 복구 키를 저장해 두었는지, BIOS(UEFI) 가 최신 버전인지 확인하십시오. 컴퓨터 펌웨어가 새 인증서를 지원하지 않으면 업데이트 후 컴퓨터가 부팅되지 않을 수 있습니다. 또한 진행하기 전에 컴퓨터의 전체 백업을 생성하는 것이 좋습니다 .

관리자 권한으로 PowerShell을 열고 다음 명령을 실행하세요.

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

이 명령은 운영 체제에 필요한 모든 인증서(PCA 2023 서명 부트 관리자 포함)를 배포하도록 지시하는 레지스트리 키를 설정합니다.

해당 값은 0x5944모든 관련 인증서 업데이트를 활성화하는 "완전 완화" 코드입니다.

Windows 11에는 이러한 인증서 변경 사항을 처리하는 내장 작업이 있으며, 다음 명령을 사용하여 12시간을 기다리지 않고 수동으로 실행할 수 있습니다.

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell 업데이트, 보안 부팅 인증서 / 이미지: Mauro Huculak

업데이트를 완전히 적용하려면 일반적으로 두 번의 재부팅이 필요합니다. 첫 번째 재부팅 후 시스템은 부트 관리자를 업데이트합니다. 두 번째 재부팅 후에는 UEFI 데이터베이스에 인증서 등록이 완료됩니다.

재부팅 후 관리자 권한으로 다음 PowerShell 명령을 실행하여 데이터베이스에 "UEFI CA 2023"이 있는지 확인할 수 있습니다 .

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• 맞습니다. 이제 새 인증서로 시스템이 안전하게 보호되었습니다.
• 거짓: 여러 번 재부팅 후에도 이 메시지가 계속 거짓으로 표시되면 메인보드 펌웨어가 너무 오래되어 새 인증서 형식을 지원하지 않는 것일 수 있습니다. 제조사 웹사이트에서 "보안 부팅" 관련 BIOS 업데이트를 확인하십시오.

BitLocker가 활성화된 경우 펌웨어가 새 키를 장치에 성공적으로 기록하기 전에 암호화를 일시적으로 비활성화 해야 할 수 있습니다 .Suspend-BitLocker -MountPoint "C:" -RebootCount 2