적용 대상
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

원래 게시 날짜: 2026년 3월 19일

KB ID: 5085046

이 문서에서는

개요

이 페이지에서는 Windows 디바이스의 보안 부팅 관련 문제를 진단하고 해결하는 관리자 및 지원 전문가를 안내합니다. 보안 부팅 인증서 업데이트 실패, 잘못된 보안 부팅 상태, 예기치 않은 BitLocker 복구 프롬프트 및 보안 부팅 구성 변경 후의 부팅 오류가 포함됩니다.

이 지침에서는 Windows 서비스 및 구성을 확인하고, 관련 레지스트리 값 및 이벤트 로그를 검토하고, 펌웨어 또는 플랫폼 제한에 OEM 업데이트가 필요한 시기를 식별하는 방법을 설명합니다. 이 콘텐츠는 기존 디바이스의 문제를 진단하기 위한 것입니다. 새 배포를 계획하기 위한 것이 아닙니다. 이 문서는 새로운 문제 해결 시나리오 및 지침이 식별됨에 따라 업데이트됩니다.

맨 위로

보안 부팅 인증서 서비스 작동 방식

Windows에서 보안 부팅 인증서는 운영 체제와 디바이스의 UEFI 펌웨어 간에 조정된 프로세스입니다. 목표는 각 단계에서 부팅하는 기능을 유지하면서 중요한 신뢰 앵커를 업데이트하는 것입니다.

이 프로세스는 Windows 예약 작업, 레지스트리 기반 업데이트 작업 시퀀스 및 기본 제공 로깅 및 다시 시도 동작에 의해 구동됩니다. 이러한 구성 요소를 함께 사용하면 필수 구성 요소 단계가 성공한 후에만 보안 부팅 인증서와 Windows 부팅 관리자가 제어되고 순서가 지정된 방식으로 업데이트됩니다.

맨 위로

문제 해결 시 시작할 위치

디바이스가 보안 부팅 인증서 업데이트를 적용할 것으로 예상되는 진행 상황을 보이지 않는 경우 먼저 문제의 범주를 식별합니다. 대부분의 문제는 Windows 서비스 상태, 보안 부팅 업데이트 메커니즘, 펌웨어 동작 또는 플랫폼 또는 OEM 제한의 네 가지 영역 중 하나에 속합니다.

아래 검사부터 순서대로 시작합니다. 대부분의 경우 이러한 단계는 관찰된 동작을 설명하고 심층 조사 없이 다음 작업을 결정하기에 충분합니다.

  1. Windows 서비스 및 플랫폼 자격 확인

    1. ​​​​​​​디바이스가 보안 부팅 인증서 업데이트를 받기 위한 기본 요구 사항을 충족하는지 확인합니다.

    2. 디바이스에서 지원되는 버전의 Windows를 실행하고 있습니다.

    3. 최신 필수 Windows 보안 업데이트가 설치됩니다.

    4. 보안 부팅은 UEFI 펌웨어에서 사용하도록 설정됩니다.

    5. 이러한 조건이 충족되지 않는 경우 추가 문제 해결을 계속하기 전에 해결합니다.

  2. Secure-Boot-Update 작업 상태 확인

    1. 보안 부팅 인증서 업데이트를 적용하는 Windows 메커니즘이 존재하고 작동하는지 확인합니다.

    2. Secure-Boot-Update 예약된 작업이 있습니다.

    3. 작업이 활성화되고 로컬 시스템으로 실행됩니다.

    4. 가장 최근 Windows 보안 업데이트가 설치된 이후 작업이 한 번 이상 실행되었습니다.

    5. 작업이 비활성화, 삭제 또는 실행되지 않는 경우 보안 부팅 인증서 업데이트를 적용할 수 없습니다. 문제 해결은 다른 원인을 조사하기 전에 작업을 복원하는 데 중점을 두어야 합니다.

  3. 레지스트리 설정에서 예상 진행률 확인

    레지스트리에서 디바이스의 보안 부팅 서비스 상태를 검토합니다.

    1. UEFICA2023Status, UEFICA2023ErrorUEFICA2023ErrorEvent를 검사합니다.

    2. AvailableUpdates를 검사하고 예상 진행률과 비교합니다(참조 및 내부 참조).

    이러한 값은 서비스가 정상적으로 진행 중인지, 작업을 다시 시도 중인지 또는 특정 단계에서 중단되었는지를 나타냅니다.

  4. 레지스트리 상태를 보안 부팅 이벤트와 상호 연결

    시스템 이벤트 로그에서 보안 부팅 관련 이벤트를 검토하고 레지스트리 상태와 상호 연결합니다. 이벤트 데이터는 일반적으로 디바이스가 진행 중인지, 일시적인 조건으로 인해 다시 시도 중인지, 펌웨어 또는 플랫폼 문제로 인해 차단되는지를 확인합니다.

    레지스트리 및 이벤트 로그는 일반적으로 동작이 예상되는지, 일시적인지 또는 시정 작업이 필요한지 여부를 나타냅니다.

맨 위로

Secure-Boot-Update 예약된 작업

보안 부팅 인증서 서비스가 Secure-Boot-Update라는 Windows 예약 작업을 통해 구현됩니다. 작업은 다음 경로에 등록됩니다.

\Microsoft\Windows\PI\Secure-Boot-Update

작업은 로컬 시스템으로 실행됩니다. 기본적으로 시스템 시작 시 및 이후 12시간마다 실행됩니다. 실행 될 때마다 보안 부팅 업데이트 작업이 보류 중인지 여부를 확인하고 순서대로 적용하려고 시도합니다.

이 작업을 사용하지 않도록 설정하거나 누락된 경우 보안 부팅 인증서 업데이트를 적용할 수 없습니다. Secure-Boot-Update 작업은 보안 부팅 서비스가 작동하려면 계속 사용하도록 설정되어 있어야 합니다.

맨 위로

예약된 작업이 사용되는 이유

보안 부팅 인증서 업데이트에는 보안 부팅 키와 인증서를 저장하는 UEFI 변수 작성을 포함하여 Windows와 UEFI 펌웨어 간의 조정이 필요합니다. 예약된 작업을 사용하면 시스템이 펌웨어 변수를 수정할 수 있는 상태에 있을 때 Windows에서 이러한 업데이트를 시도할 수 있습니다.

되풀이되는 12시간 일정은 이전 시도가 실패했거나 디바이스를 다시 시작하지 않고 전원이 켜져 있는 경우 업데이트를 다시 시도할 수 있는 추가 기회를 제공합니다. 이 디자인은 수동 개입 없이도 진행 상황을 보장하는 데 도움이 됩니다.

맨 위로

AvailableUpdates 레지스트리 비트 마스크

Secure-Boot-Update 작업은 AvailableUpdates 레지스트리 값에 의해 구동됩니다. 이 값은 다음 위치에 있는 32비트 비트 마스크입니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

값의 각 비트는 특정 보안 부팅 업데이트 작업을 나타냅니다. 업데이트 프로세스는 AvailableUpdates 가 Windows에서 자동으로 또는 관리자가 명시적으로 0이 아닌 값으로 설정된 경우 시작됩니다. 예를 들어 0x5944 같은 값은 여러 업데이트 작업이 보류 중임을 나타냅니다.

Secure-Boot-Update 작업이 실행되면 설정된 비트를 보류 중인 작업으로 해석하고 정의된 순서로 처리합니다.

맨 위로

순차적 업데이트, 로깅 및 재심 동작

보안 부팅 인증서 업데이트는 고정된 순서로 적용됩니다. 각 업데이트 작업은 다시 시도해도 안전하도록 설계되었으며 독립적으로 완료됩니다. Secure-Boot-Update 작업은 현재 작업이 성공하고 해당 비트가 AvailableUpdates에서 지워질 때까지 다음 단계로 진행되지 않습니다.

각 작업은 표준 UEFI 인터페이스를 사용하여 DB 및 KEK와 같은 보안 부팅 변수를 업데이트하거나 업데이트된 Windows 부팅 관리자를 설치합니다. Windows는 시스템 이벤트 로그의 모든 단계 결과를 기록합니다. 성공 이벤트는 진행 상황을 확인하고 실패 이벤트는 작업을 완료할 수 없는 이유를 나타냅니다.

업데이트 단계가 실패하면 태스크가 처리를 중지하고 오류를 기록하며 연결된 비트 집합을 남깁니다. 작업은 다음에 작업이 실행될 때 다시 시도됩니다. 이 재심 동작을 통해 디바이스는 누락된 펌웨어 지원 또는 지연된 OEM 업데이트와 같은 임시 조건에서 자동으로 복구할 수 있습니다.

관리자는 레지스트리 상태와 이벤트 로그 항목의 상관 관계를 지정하여 진행 상황을 추적할 수 있습니다. UEFICA2023Status, UEFICA2023ErrorUEFICA2023ErrorEvent와 같은 레지스트리 값은 AvailableUpdates 비트 마스크와 함께 활성, 완료 또는 차단된 단계를 나타냅니다.

이 조합은 디바이스가 정상적으로 진행 중인지, 작업을 다시 시도 중인지 또는 중단되었는지를 보여줍니다.

맨 위로

OEM 펌웨어와 통합

보안 부팅 인증서 업데이트는 디바이스의 UEFI 펌웨어에서 올바른 동작 및 지원에 따라 달라집니다. Windows에서 업데이트 프로세스를 오케스트레이션하는 동안 펌웨어는 보안 부팅 정책을 적용하고 보안 부팅 데이터베이스를 유지 관리할 책임이 있습니다.

OEM은 보안 부팅 인증서 서비스를 사용하도록 설정하는 두 가지 중요한 요소를 제공합니다.

  • 새 보안 부팅 인증서의 설치 권한을 부여하는 플랫폼 키 서명된 KEK(키 교환 키)입니다.

  • 업데이트 중에 보안 부팅 데이터베이스를 올바르게 보존, 추가 및 유효성 검사하는 펌웨어 구현입니다.

펌웨어가 이러한 동작을 완전히 지원하지 않는 경우 보안 부팅 업데이트가 중단되거나 무기한 다시 시도되거나 부팅 오류가 발생할 수 있습니다. 이러한 경우 Windows는 펌웨어를 변경하지 않고 업데이트를 완료할 수 없습니다.

Microsoft는 OEM과 협력하여 펌웨어 문제를 식별하고 수정된 업데이트를 사용할 수 있도록 합니다. 문제 해결이 펌웨어 제한 또는 결함을 나타내는 경우 관리자는 보안 부팅 인증서 업데이트가 성공적으로 완료되기 전에 디바이스 제조업체에서 제공하는 최신 UEFI 펌웨어 업데이트를 설치해야 할 수 있습니다.

맨 위로

일반적인 오류 시나리오 및 해결 방법

보안 부팅 업데이트는 AvailableUpdates 레지스트리 상태에 따라 Secure-Boot-Update 예약된 작업에 의해 적용됩니다.

정상 조건에서는 이러한 단계가 자동으로 발생하고 각 단계가 완료되면 성공 이벤트를 기록합니다. 경우에 따라 펌웨어 동작, 플랫폼 구성 또는 서비스 필수 구성 요소가 진행을 방지하거나 예기치 않은 부팅 동작으로 이어질 수 있습니다.

아래 섹션에서는 가장 일반적인 오류 시나리오, 이를 인식하는 방법, 발생하는 이유 및 정상 작업을 복원하기 위한 적절한 다음 단계를 설명합니다. 시나리오는 가장 일반적으로 발생하는 시나리오에서 더 심각한 부팅 영향을 미치는 사례로 정렬됩니다.

보안 부팅 업데이트에 진행률이 표시되지 않으면 일반적으로 업데이트 프로세스가 시작되지 않음을 의미합니다. 따라서 업데이트 메커니즘이 트리거되지 않았기 때문에 예상되는 보안 부팅 레지스트리 값 및 이벤트 로그가 누락되었습니다.

무슨 일이 있었나요

보안 부팅 업데이트 프로세스가 시작되지 않았으므로 보안 부팅 인증서 또는 업데이트된 부팅 관리자가 디바이스에 적용되지 않았습니다.

인식하는 방법

  • UEFICA2023Status와 같은 보안 부팅 서비스 레지스트리 값이 없습니다.

  • 예상 보안 부팅 이벤트(예: 1043, 1044, 1045, 1799, 1801)가 시스템 이벤트 로그에서 누락되었습니다.

  • 디바이스는 이전 보안 부팅 인증서 및 부팅 구성 요소를 계속 사용합니다.

왜 그런 일이 일어나는가?

이 시나리오는 일반적으로 다음 조건 중 하나 이상이 true일 때 발생합니다.

  • Secure-Boot-Update 예약된 작업이 비활성화되었거나 누락되었습니다.

  • UEFI 펌웨어에서 보안 부팅을 사용할 수 없습니다.

  • 디바이스는 지원되는 Windows 버전 실행 또는 필수 업데이트 설치와 같은 Windows 서비스 필수 구성 요소를 충족하지 않습니다.

다음에 수행할 일

  • 디바이스가 Windows 서비스 및 플랫폼 자격 요구 사항을 충족하는지 확인합니다.

  • 보안 부팅이 펌웨어에서 사용하도록 설정되어 있는지 확인합니다.

  • SecureBootUpdate 예약된 작업이 존재하고 사용하도록 설정되어 있는지 확인합니다.

예약된 작업이 사용하지 않도록 설정되었거나 누락된 경우 보안 부팅 예약된 작업을 사용하지 않도록 설정하거나 삭제한 지침에 따라 복원합니다. 작업이 복원된 후 디바이스를 다시 시작하거나 작업을 수동으로 실행하여 보안 부팅 서비스를 시작합니다.

경우에 따라 보안 부팅 관련 업데이트로 인해 디바이스가 BitLocker 복구에 들어갈 수 있습니다. 동작은 근본 원인에 따라 일시적이거나 영구적일 수 있습니다.

시나리오 1: 보안 부팅 업데이트 후 일회성 BitLocker 복구

어떻게 되나요?

디바이스는 보안 부팅 업데이트 후 첫 번째 부팅 시 BitLocker 복구에 들어가지만 후속 다시 시작 시 일반적으로 부팅됩니다.

왜 그런 일이 일어나는가?

업데이트 후 첫 번째 부팅 중에 Windows가 BitLocker를 다시 봉인하려고 할 때 펌웨어는 업데이트된 보안 부팅 값을 아직 보고하지 않습니다. 이로 인해 측정된 부팅 값이 일시적으로 일치하지 않으며 복구가 트리거됩니다. 다음 부팅 시 펌웨어는 업데이트된 값을 올바르게 보고하고 BitLocker가 성공적으로 다시 봉인되며 문제가 다시 발생하지 않습니다.

인식하는 방법

  • BitLocker 복구는 한 번 발생합니다.

  • 복구 키를 입력한 후 후속 부팅은 복구를 프롬프트하지 않습니다.

  • 진행 중인 부팅 순서 또는 PXE 참여가 없습니다.

다음에 수행할 일

  • BitLocker 복구 키를 입력하여 Windows를 다시 시작합니다.

  • 펌웨어 업데이트를 확인합니다.

시나리오 2: PXE 첫 번째 부팅 구성으로 인해 반복된 BitLocker 복구

어떻게 되나요?

디바이스는 부팅할 때마다 BitLocker 복구에 들어갑니다.

왜 그런 일이 일어나는가?

디바이스는 PXE(네트워크) 부팅을 먼저 시도하도록 구성됩니다. PXE 부팅 시도가 실패하고 펌웨어가 디스크 내 Windows 부팅 관리자로 돌아갑니다.

이로 인해 단일 부팅 주기 동안 두 개의 서로 다른 서명 기관이 측정됩니다.

  • PXE 부팅 경로는 Microsoft UEFI CA 2011에 의해 서명됩니다.

  • 디스크 내 Windows 부팅 관리자는 Windows UEFI CA 2023에 의해 서명됩니다.

BitLocker는 시작하는 동안 서로 다른 보안 부팅 트러스트 체인을 관찰하므로 다시 봉인할 안정적인 TPM 측정 집합을 설정할 수 없습니다. 결과적으로 BitLocker는 모든 부팅에서 복구에 들어갑니다.

인식하는 방법

  • BitLocker 복구는 다시 시작할 때마다 트리거됩니다.

  • 복구 키를 입력하면 Windows를 시작할 수 있지만 다음 부팅 시 프롬프트가 반환됩니다.

  • PXE 또는 네트워크 부팅은 로컬 디스크보다 먼저 펌웨어 부팅 순서로 구성됩니다.

다음에 수행할 일

  • 디스크 내 Windows 부팅 관리자가 먼저 되도록 펌웨어 부팅 순서를 구성합니다.

  • 필요하지 않은 경우 PXE 부팅을 사용하지 않도록 설정합니다.

  • PXE가 필요한 경우 PXE 인프라에서 2023 서명된 Windows 부팅 로더를 사용하는지 확인합니다.

무슨 일이 있었나요

이는 Windows 문제가 아닌 펌웨어 수준 변경을 반영합니다. 보안 부팅 업데이트가 성공적으로 완료되었지만 나중에 다시 시작한 후 디바이스가 더 이상 Windows로 부팅되지 않습니다.

인식하는 방법

  • 디바이스가 Windows를 시작하지 못하고 보안 부팅 위반을 나타내는 펌웨어 또는 BIOS 메시지가 표시될 수 있습니다.

  • 보안 부팅 설정이 펌웨어 기본값으로 다시 설정되면 오류가 발생합니다.

  • 보안 부팅을 사용하지 않도록 설정하면 디바이스가 다시 부팅될 수 있습니다.

왜 그런 일이 일어나는가?

보안 부팅을 펌웨어 기본값으로 다시 설정하면 펌웨어에 저장된 보안 부팅 데이터베이스가 지워질 수 있습니다. 이미 Windows UEFI CA 2023 서명 부팅 관리자로 전환한 디바이스에서 이 재설정은 해당 부팅 관리자를 신뢰하는 데 필요한 인증서를 제거합니다.

따라서 펌웨어는 더 이상 설치된 Windows 부팅 관리자를 신뢰할 수 있는 것으로 인식하지 않으며 부팅 프로세스를 차단합니다.

이 시나리오는 보안 부팅 업데이트 자체가 아니라 업데이트된 트러스트 앵커를 제거하는 후속 펌웨어 작업으로 인해 발생합니다.

다음에 수행할 일

  • 디바이스가 다시 부팅할 수 있도록 보안 부팅 복구 유틸리티를 사용하여 필요한 인증서를 복원합니다.

  • 복구 후 디바이스 제조업체에서 사용 가능한 최신 펌웨어가 디바이스에 설치되어 있는지 확인합니다.

  • OEM 펌웨어에 2023 인증서를 신뢰하는 업데이트된 보안 부팅 기본값이 포함되어 있지 않으면 보안 부팅을 펌웨어 기본값으로 다시 설정하지 마십시오.

보안 부팅 복구 유틸리티

시스템을 복구하려면 다음을 수행합니다.

  1. 2024년 7월 이상 Windows 업데이트가 설치된 두 번째 Windows PC에서 C:\Windows\Boot\EFI\에서 SecureBootRecovery.efi를 복사합니다.

  2. 파일을 FAT32 형식의 USB 드라이브 \EFI\BOOT\ 아래에 놓고 이름을 bootx64.efi로 바꿉니다.

  3. USB 드라이브에서 영향을 받는 디바이스를 부팅하고 복구 유틸리티를 실행할 수 있도록 합니다. 유틸리티는 Windows UEFI CA 2023을 DB에 추가합니다.

인증서가 복원되고 시스템이 다시 시작되면 Windows가 정상적으로 시작됩니다.

중요: 이 프로세스는 새 인증서 중 하나만 다시 적용합니다. 디바이스가 복구되면 최신 인증서가 다시 적용되었는지 확인하고 시스템의 BIOS/UEFI를 사용 가능한 최신 버전으로 업데이트하는 것이 좋습니다. 이렇게 하면 많은 OEM이 이 특정 문제에 대한 펌웨어 수정을 릴리스했으므로 보안 부팅 재설정 문제가 되풀이되지 않도록 방지할 수 있습니다.

무슨 일이 있었나요

보안 부팅 인증서 업데이트를 적용하고 다시 시작한 후 디바이스가 부팅되지 않고 Windows에 도달하지 못합니다.

인식하는 방법

  • 보안 부팅 업데이트에 필요한 다시 시작 직후 디바이스가 실패합니다.

  • 펌웨어 또는 보안 부팅 오류가 표시되거나 Windows가 로드되기 전에 시스템이 중지될 수 있습니다.

  • 보안 부팅을 사용하지 않도록 설정하면 디바이스가 부팅될 수 있습니다.

왜 그런 일이 일어나는가?

이 문제는 디바이스의 UEFI 펌웨어 구현 결함으로 인해 발생할 수 있습니다.

Windows가 보안 부팅 인증서 업데이트를 적용하는 경우 펌웨어는 기존 보안 부팅 허용 서명 데이터베이스(DB)에 새 인증서를 추가 해야 합니다. 일부 펌웨어 구현은 DB에 추가하는 대신 DB를 잘못 덮어씁 니다.

이 경우

  • Microsoft 2011 부팅 로더 인증서를 포함하여 이전에 신뢰할 수 있는 인증서가 제거됩니다.

  • 시스템에서 해당 시점에서 2011 인증서로 서명된 부팅 관리자를 계속 사용하는 경우 펌웨어는 더 이상 이를 신뢰하지 않습니다.

  • 펌웨어는 부팅 관리자를 거부하고 부팅 프로세스를 차단합니다.

경우에 따라 DB가 완전히 덮어쓰지 않고 손상되어 동일한 결과가 발생할 수 있습니다. 이 동작은 특정 펌웨어 구현에서 관찰되었으며 규격 펌웨어에서는 예상되지 않습니다.

다음에 수행할 일

  • 펌웨어 설정 메뉴를 입력하고 보안 부팅 설정을 다시 설정하려고 시도합니다.

  • 디바이스가 다시 설정 후 부팅되면 디바이스 제조업체의 지원 사이트에서 보안 부팅 DB 처리를 수정하는 펌웨어 업데이트를 검사.

  • 펌웨어 업데이트를 사용할 수 있는 경우 보안 부팅을 다시 사용하도록 설정하고 보안 부팅 인증서 업데이트를 다시 적용하기 전에 설치합니다.

보안 부팅을 다시 설정해도 부팅 기능이 복원되지 않는 경우 추가 복구에는 OEM 관련 지침이 필요할 수 있습니다.

무슨 일이 있었나요

보안 부팅 인증서 업데이트가 완료되지 않았으며 KEK(키 교환 키) 업데이트 단계에서 차단된 상태로 유지됩니다.

인식하는 방법

  • AvailableUpdates 레지스트리 값은 KEK 비트(0x0004)로 설정된 상태로 유지되며 지워지지 않습니다.

  • UEFICA2023Status 는 완료된 상태로 진행되지 않습니다.

  • 시스템 이벤트 로그는 KEK 업데이트를 적용할 수 없음을 나타내는 이벤트 ID 1803을 반복적으로 기록합니다.

  • 디바이스는 계속 진행하지 않고 업데이트를 다시 시도합니다.

왜 그런 일이 일어나는가?

보안 부팅 KEK를 업데이트하려면 OEM이 소유한 디바이스의 PK(플랫폼 키)의 권한 부여가 필요합니다.

업데이트가 성공하려면 디바이스 제조업체가 Microsoft에 해당 특정 플랫폼에 대한 PK 서명 KEK 를 제공해야 합니다. 이 OEM 서명 KEK는 Windows 업데이트에 포함되며 Windows에서 펌웨어 KEK 변수를 업데이트할 수 있습니다.

OEM에서 디바이스에 대해 PK 서명 KEK를 제공하지 않은 경우 Windows에서 KEK 업데이트를 완료할 수 없습니다. 이 상태에서는 다음을 수행합니다.

  • 보안 부팅 업데이트는 의도적으로 차단됩니다.

  • Windows에서 누락된 권한 부여를 해결할 수 없습니다.

  • 디바이스는 보안 부팅 인증서 서비스를 영구적으로 완료할 수 없습니다.

이는 OEM이 더 이상 펌웨어 또는 키 업데이트를 제공하지 않는 이전 또는 지원되지 않는 디바이스에서 발생할 수 있습니다. 이 조건에 대해 지원되는 수동 복구 경로가 없습니다.

맨 위로

보안 부팅 인증서 업데이트가 적용되지 않으면 Windows는 진행률이 차단된 이유를 설명하는 진단 이벤트를 기록합니다. 이러한 이벤트는 펌웨어, 플랫폼 상태 또는 구성 조건으로 인해 DB(보안 부팅 서명 데이터베이스) 또는 KEK(키 교환 키)를 안전하게 완료할 수 없는 경우에 기록됩니다. 이 섹션의 시나리오는 이러한 이벤트를 참조하여 일반적인 실패 패턴을 식별하고 적절한 수정을 결정합니다. 이 섹션은 새로운 실패 시나리오를 도입하지 않고 앞에서 설명한 문제의 진단 및 해석을 지원하기 위한 것입니다.

이벤트 ID, 설명 및 예제 항목의 전체 목록은 보안 부팅 DB 및 DBX 변수 업데이트 이벤트(KB5016061)를 참조하세요.

KEK 업데이트 실패(DB 업데이트 성공, KEK는 실패)

디바이스는 보안 부팅 DB에서 인증서를 성공적으로 업데이트할 수 있지만 KEK 업데이트 중에는 실패합니다. 이 경우 보안 부팅 업데이트 프로세스를 완료할 수 없습니다.

증상

  • DB 인증서 이벤트는 진행률을 나타내지만 KEK 단계는 완료되지 않았습니다.

  • AvailableUpdates는 0x4004 설정된 상태로 유지되며 여러 작업을 실행한 후에는 0x0004 비트가 지워지지 않습니다.

  • 이벤트 1795 또는 1803 이 있을 수 있습니다.

해석

  • 1795 는 일반적으로 보안 부팅 변수를 업데이트하는 동안 펌웨어 오류를 나타냅니다.

  • 1803 은 플랫폼에 필요한 OEM PK 서명 KEK 페이로드를 사용할 수 없기 때문에 KEK 업데이트에 권한을 부여할 수 없음을 나타냅니다.

다음 단계

  • 1795의 경우 OEM 펌웨어 업데이트를 검사 보안 부팅 변수 업데이트에 대한 펌웨어 지원의 유효성을 검사합니다.

  • 1803의 경우 OEM이 디바이스 모델에 필요한 PK 서명 KEK를 Microsoft에 제공했는지 확인합니다.

Hyper-V에서 호스트되는 게스트 VM의 KEK 업데이트 실패 

Hyper-V 가상 머신에서 보안 부팅 인증서 업데이트를 사용하려면 Hyper-V 호스트와 게스트 OS 모두에 2026년 3월 Windows 업데이트를 설치해야 합니다.

업데이트 실패는 게스트 내에서 보고되지만 이벤트는 수정이 필요한 위치를 나타냅니다.

  • 게스트에서 보고된 이벤트 1795(예: "미디어가 쓰기 보호됨")는 Hyper-V 호스트에 2026년 3월 업데이트가 없음을 나타내며 업데이트해야 합니다.

  • 게스트에서 보고된 이벤트 1803게스트 가상 머신 자체가 2026년 3월 업데이트가 누락되었음을 나타내며 업데이트해야 합니다.

맨 위로 

참조 및 내부

이 섹션에는 문제 해결 및 지원을 위한 고급 참조 정보가 포함되어 있습니다. 배포 계획을 위한 것이 아닙니다. 앞에서 요약한 보안 부팅 서비스 메커니즘을 확장하고 레지스트리 상태 및 이벤트 로그를 해석하기 위한 자세한 참조 자료를 제공합니다.

참고(IT 관리형 배포): 그룹 정책 또는 Microsoft Intune 통해 구성된 경우 두 가지 유사한 설정을 혼동해서는 안 됩니다. AvailableUpdatesPolicy 값은 구성된 정책 상태를 나타냅니다. 한편 AvailableUpdates는 진행 중인 비트 지우기 작업 상태를 반영합니다. 둘 다 동일한 결과를 유도할 수 있지만 시간이 지남에 따라 정책이 다시 적용되기 때문에 다르게 동작합니다.

맨 위로 

AvailableUpdates 인증서 서비스에 사용되는 비트

아래 비트는 이 문서에 설명된 인증서 및 부팅 관리자 작업에 사용됩니다. Order 열은 Secure-Boot-Update 태스크가 각 비트를 처리하는 시퀀스를 반영합니다.

순서

비트 설정

사용법

1

0x0040

이 비트는 예약된 작업에 Windows UEFI CA 2023 인증서를 보안 부팅 DB에 추가하도록 지시합니다. 이렇게 하면 Windows에서 이 인증서로 서명된 부팅 관리자를 신뢰할 수 있습니다.

2

0x0800

이 비트는 예약된 작업에 Microsoft Option ROM UEFI CA 2023을 DB에 적용하도록 지시합니다.  

조건부 동작: 0x4000 플래그가 설정되면 예약된 작업이 먼저 Microsoft Corporation UEFI CA 2011 인증서에 대한 데이터베이스를 검사. 2011 인증서가 있는 경우에만Microsoft Option ROM UEFI CA 2023 인증서를 적용합니다.

3

0x1000

이 비트는 예약된 작업에 Microsoft UEFI CA 2023을 DB에 적용하도록 지시합니다.

조건부 동작: 0x4000 플래그가 설정되면 예약된 작업이 먼저 Microsoft Corporation UEFI CA 2011 인증서에 대한 데이터베이스를 검사. 2011 인증서가 있는 경우에만Microsoft UEFI CA 2023 인증서를 적용합니다.

한정자(동작 플래그)

0x4000

이 비트는 Microsoft UEFI CA 2023 및 Microsoft Option ROM UEFI CA 202 3이 이미 Microsoft Corporation UEFI CA 2011을 포함하는 경우에만 적용되도록 0x0800 및 0x1000 비트의 동작을 수정합니다.   디바이스의 보안 프로필이 동일하게 유지되도록 하기 위해 이 비트는 디바이스가 Microsoft Corporation UEFI CA 2011 인증서를 신뢰하는 경우에만 이러한 새 인증서를 적용합니다. 모든 Windows 디바이스가 이 인증서를 신뢰하는 것은 아닙니다.

4

0x0004

이 비트는 예약된 작업에 디바이스의 PK(플랫폼 키)에서 서명한 키 교환 키를 찾도록 지시합니다. PK는 OEM에서 관리됩니다. OEM은 PK로 Microsoft KEK에 서명하고 월별 누적 업데이트에 포함된 Microsoft에 전달합니다.

5

0x0100

이 비트는 예약된 작업에 Windows UEFI CA 2023에서 서명한 부팅 관리자를 부팅 파티션에 적용하도록 지시합니다. 그러면 Microsoft Windows Production PCA 2011 서명된 부팅 관리자가 대체됩니다.

참고:

  • 0x4000 비트는 다른 모든 비트가 처리된 후에도 설정된 상태로 유지됩니다.

  • 각 비트는 위에 표시된 순서대로 Secure-Boot-Update 예약된 작업에 의해 처리됩니다.

  • PK 서명된 KEK가 누락되어 0x0004 비트를 처리할 수 없는 경우 예약된 작업은 비트 0x0100 표시된 부팅 관리자 업데이트를 계속 적용합니다.

맨 위로 

예상 진행률(AvailableUpdates)

작업이 성공적으로 완료되면 Windows는 AvailableUpdates에서 연결된 비트를 지웁니다. 작업이 실패하면 Windows에서 이벤트를 기록하고 작업이 다시 실행되면 다시 시도합니다.

아래 표에서는 각 보안 부팅 업데이트 작업이 완료될 때 AvailableUpdates 값의 예상 진행률을 보여 줍니다.

단계

비트 처리됨

사용 가능한 업데이트

설명

성공 이벤트 기록됨

가능한 오류 이벤트 코드

시작

0x5944

보안 부팅 인증서 서비스가 시작되기 전의 초기 상태입니다.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023이 보안 부팅 DB에 추가됩니다.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

디바이스가 이전에 Microsoft UEFI CA 2011을 신뢰한 경우 Microsoft Option ROM UEFI CA 2023을 DB에 추가합니다.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

디바이스가 이전에 Microsoft UEFI CA 2011을 신뢰한 경우 Microsoft UEFI CA 2023이 DB에 추가됩니다.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

OEM 플랫폼 키로 서명된 새 Microsoft KEK 2K CA 2023이 적용됩니다.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Windows UEFI CA 2023에서 서명한 부팅 관리자가 설치됩니다.

1799

1797

참고

  • 비트와 연결된 작업이 성공적으로 완료되면 해당 비트는 AvailableUpdates에서 지워집니다.

  • 이러한 작업 중 하나가 실패하면 이벤트가 기록되고 다음에 예약된 작업이 실행될 때 작업이 다시 시도됩니다.

  • 0x4000 비트는 한정자이며 지워지지 않습니다. 최종 AvailableUpdates 값 0x4000 적용 가능한 모든 업데이트 작업이 성공적으로 완료되었음을 나타냅니다.

  • 이벤트 1032, 1795, 1796, 1802는 일반적으로 펌웨어 또는 플랫폼 제한을 나타냅니다.

  • 이벤트 1803은 OEM PK 서명 KEK가 누락되었음을 나타냅니다.

맨 위로 

수정 절차

이 섹션에서는 특정 보안 부팅 문제를 해결하기 위한 단계별 절차를 제공합니다. 각 절차는 잘 정의된 조건으로 범위가 지정되며 초기 진단이 문제가 적용되는지 확인한 후에만 따라야 합니다. 이러한 절차를 사용하여 예상 보안 부팅 동작을 복원하고 인증서 업데이트가 안전하게 진행되도록 허용합니다. 이러한 절차를 광범위하거나 선제적으로 적용하지 마세요.

맨 위로

펌웨어에서 보안 부팅 사용

디바이스의 펌웨어에서 보안 부팅을 사용하지 않도록 설정한 경우 보안 부팅을 사용하도록 설정하는 방법에 대한 자세한 내용은 Windows 11 및 보안 부팅을 참조하세요.

맨 위로

보안 부팅 예약된 작업 사용 안 함 또는 삭제됨

Windows에서 보안 부팅 인증서 업데이트를 적용하려면 Secure-Boot-Update 예약된 작업이 필요합니다. 작업이 사용하지 않도록 설정되었거나 누락된 경우 보안 부팅 인증서 서비스가 진행되지 않습니다.

작업 세부 정보

작업 이름

Secure-Boot-Update

작업 경로

\Microsoft\Windows\PI\

전체 경로

\Microsoft\Windows\PI\Secure-Boot-Update

다음으로 실행

SYSTEM(로컬 시스템)

트리거

시작 시 및 12시간마다

필수 상태

사용됨

작업 상태 검사 방법

관리자 권한 PowerShell 프롬프트에서 다음을 실행합니다. schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

상태 필드를 찾습니다.

상태

의미

준비

작업이 존재하며 사용하도록 설정되어 있습니다.

사용하지 않음

작업이 존재하지만 사용하도록 설정해야 합니다.

오류/찾을 수 없음

작업이 누락되어 다시 만들어야 합니다.

작업을 사용하거나 다시 만드는 방법

Secure-Boot-Update에 대한 상태 필드가 사용 안 함, 오류 또는 찾을 수 없는 경우 샘플 스크립트를 사용하여 작업을 사용하도록 설정합니다. 샘플 Enable-SecureBootUpdateTask.ps1

참고: 샘플 스크립트이며 Microsoft에서 지원되지 않습니다. 관리자는 해당 환경을 검토하고 조정해야 합니다.

예제:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

실행 지침

  • 액세스가 거부된 경우 PowerShell을 관리자 권한으로 다시 실행합니다.

  • 실행 정책으로 인해 스크립트가 실행되지 않으면 프로세스 scope 무시를 사용합니다.

Set-ExecutionPolicy -Scope 프로세스 -ExecutionPolicy 바이패스

맨 위로 

Facebook LinkedIn 전자 메일
RSS 피드 구독

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터