PC가 2년 이상 된 경우 Windows 보안 부팅 인증서는 2026년 6월에 만료됩니다. 보안 부팅 업데이트 수신이 중단되고 결국 부팅 문제가 발생할 수 있습니다. Microsoft는 Windows 업데이트를 통해 점진적으로 새 인증서를 배포하고 있지만 이 가이드에 따라 지금 바로 Secure Boot 인증서를 업데이트하면 단계적 출시의 불확실성을 피할 수 있습니다.
목차
보안 부팅 인증서란 무엇입니까
PC UEFI의 보안 부팅 기능은 신뢰할 수 있는 제조업체의 디지털 서명 소프트웨어로만 PC가 부팅되도록 보장합니다. 이 인증 프로세스는 여러 단계로 구성되며, 첫 번째이자 가장 중요한 단계는 단 한 줄의 코드도 실행되기 전에 공개 인증서를 사용하여 신뢰할 수 있는 소프트웨어 제조업체를 식별하는 것입니다.
이를 위해 PC의 UEFI 펌웨어에는 소프트웨어가 신뢰할 수 있는 소스에서 제공되었는지 확인하기 위해 기본적으로 "ID 카드"로 작동하는 제조업체 인증서 목록이 있습니다. 이는 등록된 제조업체의 인증서가 없으면 부트킷 및 루트킷으로부터 보호하는 데 도움이 됩니다. 이러한 악성 코드는 등록된 제조업체의 인증서 없이는 작동하지 않습니다.
최신 보안 부팅 인증서로 업데이트해야 하는 이유
다른 모든 인증서와 마찬가지로 보안 부팅 인증서에도 만료 날짜가 있습니다. 2024년 이전에 생산된 대부분의 PC는 Microsoft Corporation UEFI CA 2011을 사용합니다. 인증서는 2026년 6월에 만료됩니다. 인증서가 만료되면 PC는 Windows 부팅 관리자 업데이트를 받지 못하므로 PC가 새로운 위협에 취약해집니다. 또한 새 인증서로 서명된 최신 하드웨어를 사용하는 데 문제가 있을 수도 있습니다.
최신 Windows UEFI CA 2023으로 업데이트해야 합니다. 인증서. 실제로 Microsoft는 이미 OEM과 협력하여 Windows 업데이트를 통해 이러한 인증서를 활성화하고 있습니다. 그러나 지금 당장 이러한 인증서를 수동으로 활성화해야 하는 데는 여러 가지 이유가 있습니다. 다음은 가장 일반적인 것입니다:
- Microsoft가 만료일 전에 특정 PC에서 인증서를 활성화한다는 보장은 없습니다. 자동 배포는 장치의 중요성을 기반으로 합니다. 몇 달을 기다려야 할 수도 있습니다(또는 활성화되지 않을 수도 있습니다).
- 이전 2011 인증서는 보안 부팅을 우회할 수 있는 BlackLotus 부트킷에 취약합니다. 지금 바로 업데이트하면 즉시 보안을 누릴 수 있습니다.
- PC에서 Windows 업데이트가 비활성화되어 있거나 업데이트를 직접 관리하려는 경우 인증서를 수동으로 업데이트해야 할 수도 있습니다.
- 복구 드라이브가 있는 경우 인증서 업데이트 후 작동하지 않을 수 있습니다. 새로운 복구 드라이브를 적시에 생성할 수 있도록 원하는 방식으로 설치하는 것이 가장 좋습니다.
최신 인증서를 설치하지 않으면 PC가 잠기지 않지만 PC 보안이 손상되고 향후 하드웨어 업그레이드가 어려워집니다.
PC가 최신 보안 부팅 인증서를 실행하고 있는지 확인
Microsoft가 이미 특정 PC에서 인증서를 활성화했을 가능성이 있습니다. 이를 확인하려면 PowerShell 명령을 실행할 수 있습니다.
Windows 검색에서 "powershell"을 검색하고 Windows PowerShell을 마우스 오른쪽 버튼으로 클릭합니다. 을 클릭하고 관리자 권한으로 실행을 선택하세요. .
다음 명령을 실행하세요:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
출력이 True로 표시되는 경우 , 최신 인증서가 이미 있으므로 추가로 수행할 작업이 없습니다. 거짓이라고 표시된 경우 , 업데이트하고 활성화해야 합니다.
Windows에 2023 보안 부팅 인증서 설치
Windows UEFI CA 2023 인증서는 아마도 이미 PC에 있을 것입니다. 실제로 마이크로소프트는 Windows 11 2024년 2월 누적 업데이트를 통해 모든 PC에 이러한 인증서를 추가했지만 활성화하지는 않았습니다. Windows 11 2월 업데이트 이후 PC가 한 번 이상 업데이트된 경우 다음 단계에 따라 인증서를 배포하고 활성화할 수 있습니다.
관리자 권한으로 PowerShell을 다시 열고 다음 명령을 실행하세요:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
이 명령은 레지스트리를 편집하여 2023 인증서를 배포합니다. 0x5944 명령의 Bitmask는 실제로 6가지 다른 명령을 실행하여 PC에 Windows UEFI CA 2023을 설치할 수 있도록 준비합니다.
이제 위 명령의 지침을 활성화하려면 PowerShell에서 다음 명령을 실행해야 합니다.
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"이 명령은 호환성을 확인하거나 새 인증서를 WinSxS 폴더에서 준비 영역으로 이동하는 등 Windows에 대한 필수 작업을 실행하여 다음 부팅 시 인증서를 설치합니다. 명령이 실행되는 동안 PC가 약간 정지되는 것을 볼 수 있습니다.
가장 중요한 단계는 Windows를 두 번 다시 시작하는 것입니다. PC를 종료했다가 다시 시작하지 말고 다시 시작해야 합니다. 빠른 시작을 활성화한 경우 간단한 종료만으로는 이러한 변경 사항을 적용하는 데 필요한 메모리가 지워지지 않습니다.
이제 PC에 2038년까지 지속되는 최신 보안 부팅 인증서가 제공됩니다. 문제가 발생하면 안 되지만, 이 가이드의 단계에 따라 Windows가 시작되지 않는 문제를 해결하고 무한 재부팅 루프를 수정하세요.