원래 게시 날짜: 2025년 6월 26일
KB ID: 5062710
보안 부팅이란?
보안 부팅은 디바이스의 부팅(시작) 시퀀스 중에 신뢰할 수 있는 소프트웨어만 실행되는 데 도움이 되는 UEFI(Unified Extensible Firmware Interface) 기반 펌웨어의 보안 기능입니다. 디바이스의 펌웨어에 저장된 신뢰할 수 있는 디지털 인증서(인증 기관 또는 CA라고도 함)에 대해 사전 부팅 소프트웨어의 디지털 서명을 확인하여 작동합니다. 업계 표준인 UEFI 보안 부팅은 플랫폼 펌웨어가 인증서를 관리하고 펌웨어를 인증하는 방법 및 OS(운영 체제)가 이 프로세스와 인터페이스하는 방법을 정의합니다. UEFI 및 보안 부팅에 대한 자세한 내용은 보안 부팅을 참조하세요.
보안 부팅은 당시 새로운 부팅 전 맬웨어(부트킷이라고도 함) 위협으로부터 보호하기 위해 Windows 8 처음 도입되었습니다. 플랫폼 초기화의 일부로 보안 부팅은 실행 전에 펌웨어 모듈을 인증합니다. 이러한 모듈에는 UEFI 펌웨어 드라이버(예: 옵션 ROM), 부팅 로더 및 애플리케이션이 포함됩니다. 보안 부팅 프로세스의 마지막 단계로 펌웨어는 보안 부팅이 부팅 로더를 신뢰하는지 확인합니다. 그런 다음, 펌웨어는 제어를 부팅 로더에 전달하고, 이를 확인하여 메모리에 로드하고, Windows OS를 시작합니다.
보안 부팅은 제조 중에 설정된 펌웨어 정책을 통해 신뢰할 수 있는 코드를 정의합니다. 인증서 추가 또는 해지와 같은 이 정책의 변경 내용은 키 계층 구조에 의해 제어됩니다. 이 계층 구조는 일반적으로 하드웨어 제조업체가 소유한 PK(플랫폼 키)와 Microsoft KEK 및 기타 OEM KEK를 포함할 수 있는 KEK(키 등록 키)(키 교환 키라고도 함)로 시작합니다. 허용된 서명 데이터베이스(DB) 및 허용되지 않는 서명 데이터베이스(DBX)는 OS가 시작되기 전에 UEFI 환경에서 실행할 수 있는 코드를 결정합니다. DB에는 Microsoft 및 OEM에서 관리하는 인증서가 포함되며, DBX는 Microsoft에서 최신 해지로 업데이트됩니다. KEK가 있는 모든 엔터티는 DB 및 DBX를 업데이트할 수 있습니다.
2026년에 만료되는 Windows 보안 부팅 인증서
Windows에서 보안 부팅 지원을 도입한 이후 모든 Windows 기반 디바이스는 KEK 및 DB에서 동일한 Microsoft 인증서 집합을 수행했습니다. 이러한 원본 인증서가 만료 날짜에 가까워지고 나열된 인증서 버전이 있는 경우 디바이스가 영향을 받습니다. Windows를 계속 실행하고 보안 부팅 구성에 대한 정기적인 업데이트를 받으려면 이러한 인증서를 업데이트해야 합니다.
용어
-
KEK: 키 등록 키
-
CA: 인증 기관
-
DB: 보안 부팅 서명 데이터베이스
-
DBX: 보안 부팅 해지된 서명 데이터베이스
|
인증서 만료 |
만료 날짜 |
새 인증서 |
위치 저장 |
용도 |
|
Microsoft Corporation KEK CA 2011 |
2026년 6월 |
Microsoft Corporation KEK CA 2023 |
KEK에 저장됨 |
DB 및 DBX에 대한 업데이트에 서명합니다. |
|
Microsoft Windows Production PCA 2011 |
2026년 10월 |
Windows UEFI CA 2023 |
DB에 저장됨 |
Windows 부팅 로더 서명에 사용됩니다. |
|
Microsoft UEFI CA 2011* |
2026년 6월 |
Microsoft UEFI CA 2023 |
DB에 저장됨 |
타사 부팅 로더 및 EFI 애플리케이션에 서명합니다. |
|
Microsoft UEFI CA 2011* |
2026년 6월 |
Microsoft Option ROM CA 2023 |
DB에 저장됨 |
타사 옵션 ROM에 서명 |
*Microsoft Corporation UEFI CA 2011 인증서를 갱신하는 동안 두 인증서는 ROM 서명 옵션에서 부팅 로더 서명을 분리합니다. 이렇게 하면 시스템 트러스트를 더 세밀하게 제어할 수 있습니다. 예를 들어 옵션 ROM을 신뢰해야 하는 시스템은 타사 부팅 로더에 대한 신뢰를 추가하지 않고 Microsoft Option ROM UEFI CA 2023을 추가할 수 있습니다.
Microsoft는 Windows 디바이스에서 보안 부팅 보호의 연속성을 보장하기 위해 업데이트된 인증서를 발급했습니다. Microsoft는 Windows 디바이스의 상당 부분에서 이러한 새 인증서에 대한 업데이트 프로세스를 관리합니다. 또한 자체 디바이스 업데이트를 관리하는 조직에 대한 자세한 지침을 제공합니다.
중요 2011 CA가 만료되면 새 2023 인증서가 없는 Windows 디바이스는 더 이상 Windows 부팅 보안을 손상시키는 사전 부팅 구성 요소에 대한 보안 수정 사항을 받을 수 없습니다.
작업 지침
인증서가 2026년에 만료되는 경우 Windows 디바이스가 안전하게 유지되도록 조치를 취해야 할 수 있습니다. UEFI 보안 부팅 DB와 KEK는 모두 해당 새 2023 인증서 버전으로 업데이트해야 합니다. 새 인증서에 대한 자세한 내용은 Windows 보안 부팅 키 만들기 및 관리 지침을 참조하세요.
중요 업데이트가 없으면 보안 부팅 사용 Windows 디바이스가 보안 업데이트를 받지 못하거나 새로운 부팅 로더를 신뢰하여 서비스 효율성과 보안을 모두 손상시킬 위험이 있습니다.
사용자의 작업은 사용 중인 Windows 디바이스의 유형에 따라 달라집니다. 디바이스 유형 및 수행해야 하는 특정 작업에 대한 왼쪽 메뉴에서 선택합니다.
