Windows의 원래 Secure Boot 인증서가 6월에 만료됩니다—필요한 조치

Source: Ars Technica

죄송합니다만, 번역하려는 전체 텍스트를 제공해 주시면 해당 내용을 한국어로 번역해 드리겠습니다. 현재는 링크만 제공되어 있어 실제 기사 본문을 확인할 수 없습니다. 텍스트를 복사해서 보내 주시면 바로 번역해 드리겠습니다.

부팅하기

새 인증서가 없는 PC는 결국 새로운 OS를 부팅하는 데 문제가 생길 수 있습니다.

출처: Microsoft

왜 Secure Boot가 중요한가

Windows 8은 독특한 터치스크린 중심 전체 화면 시작 메뉴로 가장 많이 기억되지만, Windows에 여러 가지 내부 개선 사항을 도입하기도 했습니다. 그 중 하나가 UEFI Secure Boot이며, 이는 PC 부트로더를 검증하여 확인되지 않은 소프트웨어가 시작 시 로드되지 않도록 하는 메커니즘입니다.

• Secure Boot는 Windows 8 및 Windows 10에서 활성화되었지만 기술적으로는 선택 사항이었습니다.
• **Windows 11 (2021)**부터는 Windows 설치를 위한 정식 시스템 요구 사항이 되었습니다.

Secure Boot는 2011년, Windows 8 개발 단계에서 부트로더를 검증하기 위해 사용된 동일한 보안 인증서를 사용해 왔습니다. 해당 원본 인증서는 2026년 6월 및 10월에 만료될 예정이며, 이는 Microsoft가 최근 게시물에서 강조한 내용입니다.

다가오는 인증서 만료

만료 자체가 새로운 소식은 아닙니다—마이크로소프트와 대부분의 주요 PC 제조업체는 수개월·수년 동안 이 문제를 논의해 왔으며, Windows 생태계를 준비하기 위한 비공개 작업도 계속 진행되고 있습니다. 보안 인증서를 갱신하는 일은 일상적인 절차이며, 대부분의 사용자는 문제가 발생했을 때만 이를 눈치챕니다.

2026년 6월 이전에 패치를 적용하지 않을 경우 잠재적 영향

• PC는 계속 작동하지만, 만료된 인증서는 다음과 같은 문제를 일으킬 수 있습니다:
  • 새로 발견된 Secure Boot 취약점에 대해 마이크로소프트가 패치를 제공하지 못하게 합니다.
  • 해당 PC가 부팅되지 않거나, 2023년형 인증서를 사용하는 최신 OS 버전을 설치하지 못하게 합니다.

“장치가 2011년 인증서가 만료되기 전에 새로운 Secure Boot 인증서를 받지 못하면, PC는 정상적으로 작동하고 기존 소프트웨어도 계속 실행됩니다,”라고 마이크로소프트 Windows Servicing and Delivery 부서의 프로그램 매니저 누노 코스타(Nuno Costa)가 말합니다.
“하지만 장치는 향후 부팅 수준 보호를 받을 수 없는 열화된 보안 상태에 들어가게 됩니다. 새로운 부팅 수준 취약점이 발견될수록, 영향을 받은 시스템은 새로운 완화 조치를 설치할 수 없기 때문에 점점 더 노출됩니다. 시간이 지나면서 최신 운영 체제, 펌웨어, 하드웨어 또는 Secure Boot에 의존하는 소프트웨어가 로드되지 않는 등 호환성 문제도 발생할 수 있습니다.”

할 수 있는 일

1. Windows 업데이트가 활성화되어 있는지 확인하고 시스템이 최신 펌웨어와 Secure Boot 업데이트를 받도록 합니다.

2. PC의 펌웨어 버전을 확인하십시오(대부분 BIOS/UEFI 화면에 표시됨) 그리고 제조사의 최신 릴리스와 비교하십시오.

3. 2026년 6월 마감일 이전에 보류 중인 BIOS/UEFI 업데이트를 적용하십시오.

4. 새 인증서가 존재하는지 확인:

   • Windows에서 certutil -store "TrustedPublisher"를 실행하고 2023‑2026년 날짜의 항목을 찾으십시오.

지금 최신 상태를 유지하면 머신이 “보안 저하 상태”에 빠지는 것을 방지하고 향후 Windows 릴리스에 대한 원활한 업그레이드를 보장합니다.

Source: …

새 인증서를 확보했는지 확인하기

대부분의 시스템—제조업체에서 적극적으로 지원하지 않는 오래된 시스템까지—에서 Microsoft는 Windows Update를 통해 최신 인증서를 제공합니다. Secure Boot가 활성화된 지원되는 Windows 버전을 실행하는 완전히 패치된 PC라면 전환이 원활하게 이루어지며, 이미 새 인증서를 사용하고 있을 가능성이 높습니다.

UEFI 기반 시스템은 부팅 간에 변수를 저장할 수 있는 소량의 NVRAM을 가지고 있습니다. 펌웨어 업데이트에 LVFS를 사용하는 Windows 및 Linux 운영 체제는 새 인증서를 NVRAM에 기록할 수 있어야 합니다. NVRAM이 가득 차 있거나 조각화된 경우, 혹은 PC 제조업체가 이러한 업데이트를 지원하지 않는 버그가 있는 펌웨어를 제공한 경우에만 새 인증서 배포에 문제가 발생합니다.

PC에 새 인증서가 있는지 확인하는 방법

Dell 지원 페이지에 자세히 나와 있듯이, 가장 쉬운 방법은 활성 db(현재 PC 부팅에 사용되는 데이터베이스)에 저장된 인증서를 확인하는 PowerShell 명령을 실행하는 것입니다.

1. PowerShell(또는 Terminal)을 오른쪽 클릭하고 관리자 권한으로 실행을 선택합니다.
2. 다음 명령을 붙여넣고 Enter 키를 누릅니다:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

• 명령이 True를 반환하면 PC가 새 인증서를 사용하고 있는 것이며, 정상입니다.
• False가 반환되면 아래 단계에 따라 Windows Update가 새 인증서를 설치하도록 설정하십시오.

새 인증서를 활성화하는 단계

• 지원되는 Windows 버전

  • Windows 11: 버전 24H2 또는 25H2.
  • Windows 10: Extended Security Updates (ESU) 프로그램에 PC를 등록해야 합니다(소비자는 몇 가지 절차를 거치면 무료로 이용 가능).

• Secure Boot 활성화

  • 실행(Win + R)을 열고 msinfo32를 입력한 뒤 Enter를 누릅니다.
  • 시스템 정보 창에서 Secure Boot State가 On인지 확인합니다.

• 펌웨어 업데이트

  • PC 제조업체 웹사이트에서 BIOS/UEFI 업데이트를 확인합니다. 펌웨어 업데이트는 새 인증서 설치를 방해하는 버그를 종종 해결합니다.

• Secure Boot 키 초기화 (옵션, 오래된 PC용)

  • Windows 8 또는 Windows 10이 기본 탑재된 시스템의 경우, BIOS에서 Secure Boot 키를 공장 초기화하면 NVRAM 공간을 확보할 수 있습니다. 자세한 내용은 UEFI‑DB 처리 가이드를 참고하십시오.
  • BitLocker가 활성화된 경우, 초기화 전에 복구 키를 반드시 준비해 두세요: BitLocker 복구 키 가져오는 방법.

“default db” 확인하기

default db는 새 Secure Boot 인증서가 PC 펌웨어에 내장되어 있는지를 보여줍니다. Secure Boot 설정을 BIOS 기본값으로 초기화하더라도, 내장된 인증서가 있으면 해당 인증서를 사용하는 운영 체제를 부팅할 수 있습니다.

1. 다시 한 번 관리자 권한으로 PowerShell/Terminal을 엽니다.
2. 다음을 실행합니다:

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')

• True → BIOS에 이미 새 인증서가 포함되어 있습니다.
• False → 펌웨어에 아직 포함되지 않았으므로 BIOS/UEFI 업데이트(또는 위 단계)를 통해 인증서를 받아야 합니다.

Microsoft의 Costa는 “2024년 이후에 제작된 최신 PC 대부분과 2025년에 출하된 거의 모든 장치가 이미 인증서를 포함하고 있어 별도의 업데이트가 필요하지 않다”고 말했으며, 몇 년 전 모델은 BIOS 업데이트를 통해 인증서를 얻을 수 있다고 전했습니다.

제조업체 리소스

• Dell – Secure Boot 인증서 만료 정보
• HP – Secure Boot 업데이트 가이드
• Lenovo – Secure Boot 인증서 지원
• Microsoft – Surface Secure Boot 인증서
• Asus – 새 인증서 받는 방법 (Windows Update, MyAsus 앱, 또는 Asus 웹사이트를 통해)

목록에 있는 가장 오래된 PC는 일반적으로 2019‑2020 연도에 해당합니다. PC가 처음부터 Windows 11이 설치된 상태로 출하된 경우, 새로운 인증서가 포함된 BIOS 업데이트가 제공되어야 하지만, Windows 11 요구 사항을 충족하는 모든 시스템에 업데이트가 있는 것은 아닙니다.

도움 받기

• 홈 사용자가 새 인증서를 설치할 수 없는 경우 Microsoft 고객 지원에 문의하십시오.
• IT 전문가는 자세한 문서를 참고할 수 있습니다:
  • 일반 개요: (링크는 소스에 생략됨)
  • 기업용 Secure Boot 플레이북: (링크는 소스에 생략됨)

“Secure Boot 인증서 업데이트는 현대 PC가 시작 시 의존하는 신뢰 기반을 세대 교체하는 것을 의미합니다,” Costa가 씁니다. “이 인증서를 갱신함으로써 Windows 생태계…[source에서 잘림]”

“Microsoft는 향후 하드웨어, 펌웨어 및 운영 체제의 혁신이 안전하고 산업 표준에 부합하는 부팅 프로세스를 기반으로 계속 구축될 수 있도록 보장하고 있습니다.”

Andrew Cunningham – Ars Technica 수석 기술 기자
초점: 소비자 기술, 컴퓨터 하드웨어, Windows 및 macOS와 같은 운영 체제에 대한 심층 리뷰.
위치: 필라델피아.
주간 도서 팟캐스트 Overdue의 공동 진행자.

27개의 댓글