원래 게시 날짜: 2025년 9월 15일
KB ID: 5068008
일반 보안 부팅 FAQ
2026년 6월 만료 날짜 전에 보안 부팅 인증서를 업데이트하는 것이 가장 좋습니다.
디바이스가 Microsoft에서 관리되고 진단 데이터를 Microsoft와 공유하는 경우 Microsoft는 대부분의 경우 보안 부팅 인증서를 자동으로 업데이트하려고 시도합니다. Microsoft는 보안 부팅을 업데이트하기 위해 최선을 다하지만 업데이트가 적용되도록 보장되지 않고 고객 조치가 필요한 경우도 있습니다. 고객은 궁극적으로 보안 부팅 인증서를 업데이트할 책임이 있습니다.
진단 데이터가 공유된 Microsoft 관리 디바이스가 업데이트되지 않는 몇 가지 예시 상황은 다음과 같습니다.
-
Microsoft 보안 부팅 업데이트는 지원되는 일부 Windows 버전에서만 작동합니다.
-
디바이스에서 사용하도록 설정된 진단 데이터는 organization 방화벽에 의해 차단되고 Microsoft에 도달하지 않을 수 있습니다.
-
디바이스의 펌웨어에 문제가 있을 수 있습니다.
참고 "Microsoft에서 관리"란 무엇을 의미하나요? 시스템은 진단 데이터를 공유하고 Microsoft Cloud 또는 Intune에서 관리합니다.
디바이스가 Microsoft와 진단 데이터를 공유하지 않고 organization IT 부서 또는 고객이 관리하는 경우 IT 부서는 Windows 보안 부팅 인증서 만료 및 CA 업데이트에 대한 Microsoft의 지침에 따라 시스템을 업데이트할 수 있습니다.
컴퓨터가 Microsoft에서 관리되는 경우 보안 부팅 인증서는 Windows 업데이트 통해 업데이트됩니다.
컴퓨터가 organization 또는 비즈니스 IT 관리자가 관리하는 경우 IT 부서에는 Windows 보안 부팅 인증서 만료 및 CA 업데이트의 지침을 사용하여 시스템을 업데이트하는 방법이 있습니다.
보안 부팅 인증서가 업데이트되지 않은 경우에도 컴퓨터는 여전히 정상적으로 Windows를 시작합니다. 컴퓨터는 결국 부팅 관리자 및 보안 부팅 구성 요소 보안 업데이트를 포함하여 Microsoft에서 특정 Windows 보안 업데이트 수신을 중지합니다. 이렇게 하면 디바이스가 컴퓨터를 완전히 제어할 수 있는 BootKits의 위험에 처하게 됩니다.
Windows 10 지원은 2025년 10월 14일에 종료됩니다. 자세한 내용은 2025년 10월 14일에 지원이 종료되는 Windows 10 참조하세요.
이 날짜 이후에 보안 업데이트 계속 받으려면 Windows 10 남아 있는 고객은 다음에 등록할 수 있습니다.
-
Windows 10 ESU(확장 보안 업데이트) 프로그램은 Windows 10 ESU(확장 보안 업데이트) 프로그램을 참조하세요.
-
또는 지원되는 LTSC 버전의 Windows 10 경우 LTSC 만료 날짜까지 보안 업데이트 계속 가져옵니다. 예를 들어 Windows 10 대한 ESU(확장 보안 업데이트) 프로그램을 참조하세요.
참고
-
Windows 10 Enterprise LTSC는 독립 실행형 SKU 또는 Windows Enterprise E3 구독의 일부로 구매할 수 있습니다.
-
Windows IoT Enterprise LTSC는 OEM 또는 공급업체 라이선스를 통해 독립 실행형 SKU로 직접 구매할 수 있습니다.
고객/IT 관리형 시스템 보안 부팅 FAQ
두 가지 가능한 경로가 있습니다.
-
컴퓨터가 진단 데이터를 공유하여 Microsoft에서 관리되고 OS가 지원되는 경우 Microsoft는 업데이트를 시도합니다.
-
IT 관리자가 디바이스를 고객 관리 또는 관리하는 경우 IT 부서는 Windows 보안 부팅 인증서 만료 및 CA 업데이트에서 Microsoft 지침에 따라 업데이트를 안전하게 수행할 수 있는 유효성이 검사된 컴퓨터 집합에 업데이트를 적용할 수 있습니다.
이러한 단계는 OEM의 펌웨어 업데이트 없이 대부분의 고객을 처리해야 합니다. 그러나 디바이스 펌웨어의 알려진 문제나 알 수 없는 문제로 인해 업데이트가 적용되지 않는 경우가 있습니다. 이러한 경우 펌웨어 업데이트에 대한 OEM 지침을 따릅니다.
참고 위의 프로세스는 OS를 통해 보안 부팅 활성 변수를 적용합니다. 보안 부팅 펌웨어 기본값은 OEM에서 릴리스된 펌웨어에서 유지 관리됩니다. 지침은 OEM이 펌웨어 기본값을 새 인증서로 변경하는 업데이트를 릴리스하지 않는 한 보안 부팅 구성을 변경하거나 업데이트하지 않는 것입니다.
인증서가 만료되면 보안 부팅 보호가 저하됩니다. 시스템이 Windows 11 같은 최신 OS에 대한 요구 사항을 충족하는 경우 최신 OS 버전의 Windows 11 업그레이드할 수 있습니다.
Windows 10 LTSC 디바이스에서 보안 부팅을 사용하도록 설정하지 않은 경우 새 보안 부팅 인증서에 대한 현재 롤아웃에 포함되지 않습니다. Windows 11 LTSC로 업그레이드를 시작할 때 새 2023 인증서가 포함되도록 해당 시점과 관련된 특정 마이그레이션 단계를 따라야 합니다.
지원되는 Windows OS 버전만 인증서를 가져옵니다.
인증서가 만료되면 디바이스는 변경 없이 계속 부팅되지만 디바이스는 부팅 관리자 및 보안 부팅 구성 요소에 대한 보안 업데이트 가져오기를 중지합니다. 이렇게 하면 전체 디바이스가 디바이스의 모든 보안 측면에 영향을 줄 수 있는 "bootkit" 맬웨어의 위험에 처하게 됩니다.
가상 환경에서 실행되는 Windows의 경우 보안 부팅 펌웨어 변수에 새 인증서를 추가하는 두 가지 방법이 있습니다.
-
가상 환경(AWS, Azure, Hyper-V, VMware 등)의 작성자는 환경에 대한 업데이트를 제공하고 가상화된 펌웨어에 새 인증서를 포함할 수 있습니다. 이는 새로운 가상화된 디바이스에서 작동합니다.
-
VM에서 장기적으로 실행되는 Windows의 경우 가상화된 펌웨어가 보안 부팅 업데이트를 지원하는 경우 다른 장치와 마찬가지로 Windows를 통해 업데이트를 적용할 수 있습니다.
이러한 고객/IT 관리 환경에는 Microsoft가 새 기능을 자신있고 안전하게 배포할 수 있는 충분한 진단 데이터가 부족한 경우가 많습니다. 또한 IT 부서는 일반적으로 내부 도구 및 워크플로와의 규정 준수, 안정성 및 호환성을 보장하기 위해 업데이트 타이밍 및 콘텐츠에 대한 모든 권한을 유지하는 것을 선호합니다. 많은 엔터프라이즈 디바이스는 CFR에서 암시된 외부 액세스 또는 관리가 바람직하지 않거나 금지될 수 있는 민감하거나 제한된 환경에서도 작동합니다.
Windows가 이미 2023 서명된 부팅 관리자를 사용하고 있지만 펌웨어가 Windows UEFI CA 2023 인증서를 포함하지 않는 기본값으로 다시 설정되면 보안 부팅이 부팅 프로세스를 차단합니다.
이 문제를 해결하려면 복구 애플리케이션을 사용하여 2023 인증서를 펌웨어의 DB에 다시 적용해야 합니다. 이 작업은 복구 USB를 만든 다음 해당 USB에서 영향을 받는 디바이스를 부팅하여 누락된 인증서를 복원하여 수행됩니다.
