보안 부팅 만료(2026년): 위험 및 지원
2026년에도 대부분의 사용자에게는 "눈에 보이는" 변화는 없습니다. 컴퓨터가 켜지고 윈도우가 로드되는 등 모든 것이 예전과 똑같아 보입니다. 하지만 그 이면에는 중요한 변화가 있습니다. 바로 시스템이 시작 시 무엇을 신뢰할지 결정하는 기반이 바뀌는 것입니다.
이번 업데이트는 단순한 패치가 아닙니다. 만료되는 것은 부팅 신뢰 체인의 일부인 인증서입니다. 더 간단히 말하면, 펌웨어는 이전에 유효했던 참조에 더 이상 의존하지 않게 됩니다.
그것은 장비를 고장내지는 않지만 검증 수준을 변경합니다. 그리고 그러한 변화는 명백한 오류를 발생시키지 않기 때문에 간과하기 쉽습니다.
보안 부팅(Secure Boot)은 운영 체제가 개입하기 전에 작동합니다. 플랫폼 자체에 저장된 키(PK, KEK, db, dbx)를 사용하여 디지털 서명을 확인합니다. 이러한 키가 최신 상태인 한 필터는 정상적으로 작동합니다. 키가 만료되면 시스템은 부팅되지만 보안성이 떨어집니다.
문제는 즉각적으로 발생하는 것이 아니라 점진적으로 진행됩니다. 시스템이 하룻밤 사이에 안전하지 않게 되는 것은 아니지만, 부팅 구성 요소의 변경 사항을 감지하는 기능을 잃게 됩니다. 그리고 이로 인해 기존 도구로는 일반적으로 감시할 수 없는 취약점이 발생합니다.
인증서 만료로 실제로 무엇이 달라지나요?
2011년에 발행된 증명서는 다음과 같습니다. 마이크로소프트 주식회사 KEK CA 2011 그만큼 UEFI CA 2011— 해당 제품에는 만료일이 있습니다. 이번 주기에서 만료일은 2026년 6월에서 10월 사이입니다.
이는 시스템이 작동을 멈춘다는 의미가 아닙니다. 좀 더 미묘한 변화가 생기는데, 해당 기관들이 업데이트되지 않으면 검증 과정이 최신 체인에 의존하지 않게 되는 것입니다.
마이크로소프트는 이미 새로운 권한을 통해 이러한 시나리오를 검토했습니다.2023 마이크로소프트 윈도우 PCA이 업데이트는 호환되는 컴퓨터의 Windows Update를 통해 배포됩니다. 일반적으로 이 과정은 자동으로 진행됩니다.
차이점은 "정상적인 흐름"에 속하지 않는 장비에서 시작됩니다. 지원되지 않는 시스템, 변경된 구성 또는 새 키를 쉽게 인식하지 못하는 펌웨어 등이 여기에 해당합니다.
명확한 경고 표시가 없습니다. 장비는 여전히 작동하지만, 검증 상태는 이전과 동일하지 않습니다.
모든 팀의 상황이 똑같지는 않습니다.
언뜻 보기에는 일반적인 문제처럼 보일 수 있지만, 실제로는 상황에 따라 상당히 달라집니다.
이 부분을 좀 더 자세히 살펴볼 필요가 있는 경우가 있습니다.
- 일상적으로 사용되고 있지만 더 이상 전력을 공급받지 않는 장비 마이크로소프트 업데이트.
- 이전 결정(호환성, 사용자 지정 설치)으로 인해 보안 부팅이 비활성화된 시스템.
- 보안 부팅이 보안 제어의 일부인 환경(기업, 중요 데이터).
그리고 긴급성이 훨씬 낮은 다른 경우들도 있습니다.
- 더 이상 필수적인 기능을 수행하지 않는 오래된 장비.
- 고립된 시스템 또는 사용 용도가 매우 제한적인 시스템.
이러한 경우에도 위험이 전혀 없는 것은 아니지만, 우선순위가 바뀝니다. 모든 상황에 즉각적인 개입이 필요한 것은 아닙니다.
상태 확인: 빠르고 충분히 결정 가능
변화를 생각하기 전에 가장 중요한 것은 현재 상황을 파악하는 것입니다.
와 함께 msinfo32시스템 요약에서 보안 부팅 상태를 확인할 수 있습니다. 초기 평가에는 그것만으로도 충분합니다.
해당 기능이 활성화되어 있고 시스템이 업데이트를 수신하는 경우, 별도의 조치 없이 전환이 이루어질 가능성이 높습니다.
만약 해당 기능이 비활성화된 것처럼 보이거나 시스템이 더 이상 업데이트되지 않는다면, 어떻게 해야 할지 잠시 생각해 볼 필요가 있습니다.
대개 그 간단한 정보만으로도 일반적인 유지보수와 주의가 필요한 부분을 구분하기에 충분합니다.
이 결정은 기술적인 것이 아니라 운영적인 문제입니다.
여기서 접근 방식이 바뀝니다. 단순히 보안 부팅이 어떻게 작동하는지 아는 것뿐만 아니라, 개입할 가치가 있는지 여부를 결정하는 것이 중요합니다.
조치를 취하는 것이 합리적인 분명한 상황들이 있습니다.
- 현재 활발히 사용 중이며 관련 정보를 처리하는 장비.
- 보안 부팅이 비활성화되어 있지만 호환성을 손상시키지 않고 활성화할 수 있는 구성입니다.
- 자동 업데이트가 더 이상 제공되지 않는 시스템.
반대로, 오래되었거나 중요하지 않은 장비를 억지로 변경하는 것은 불필요할 수 있습니다. 때로는 해당 장비를 격리하거나 교체 계획을 세우는 것이 더 현명할 수 있습니다.
또한 펌웨어 수정은 간단한 작업이 아닙니다. 보안 부팅 설정을 변경하면 호환되지 않는 드라이버나 구성이 있는 경우 부팅에 문제가 발생할 수 있습니다. 복잡한 작업은 아니지만, 사전에 확인 없이 함부로 진행해서는 안 됩니다.
특정 날짜라기보다는 일종의 점검 시점입니다. 모든 것이 순조롭게 진행된다면 서두를 필요가 없습니다. 하지만 문제가 있다면, 명백해지기 전에 미리 파악하는 것이 최선입니다.
기술적인 세부 사항 및 구체적인 날짜는 공식 문서를 참조하십시오. 보안 부트 인증서 만료 및 CA 업데이트.
