Windows 보안 부트 인증서 만료 및 인증서 업데이트
Windows가 Secure Boot를 지원하기 시작한 이후, 대부분의 Windows 기기는 UEFI Secure Boot 데이터베이스에 Microsoft 인증서 시리즈를 사용해 왔습니다. 이 초기 인증서들은 2026년부터 점차 만료되기 시작합니다. 부팅 보안과 신뢰 체인 무결성을 유지하기 위해 시스템은 2023년 버전의 Microsoft 인증서로 업데이트되어야 합니다.
현재 시스템에 Secure Boot가 활성화되어 있다면, 2026년 중반 만료 전에 인증서를 반드시 업데이트해 주시기 바랍니다.
Microsoft는 Secure Boot 인증서 업데이트를 Windows 업데이트를 통해 완료할 것을 권장합니다
대부분의 사용자에게 필요한 업데이트는 Windows 업데이트를 통해 자동으로 제공되며 별도의 사용자 조치는 필요하지 않습니다.
업데이트가 성공적으로 적용되었는지는 Windows 보안 앱에서 확인할 수 있으며, 자세한 내용은 Windows 보안 앱에서 Secure Boot 인증서 업데이트 상태에서 확인할 수 있습니다.
「Windows Update」가 활성화되어 있고 시스템에 Secure Boot가 활성화되어 있을 때(자세한 내용은 Secure Boot 활성화 방법 참고), 지원되는 Windows 기기는 적절한 시기에 새로운 Secure Boot 인증서와 새로운 Boot Manager를 자동으로 다운로드 및 적용합니다.
새로운 Secure Boot 데이터베이스 업데이트는 2024년부터 Secure Boot가 활성화된 기기에 단계별로 적용되었으며, 인증서가 2026년 6월에 만료되기 전에 자동으로 기기 업데이트를 완료합니다.
[새 인증서를 얻기 위해 Windows Update 활성화]

질문 1: UEFI Secure Boot 상태를 어떻게 확인할 수 있나요?
답변 1: 아래 단계를 따라주세요:
- Windows 검색창에 Windows 보안을 입력하세요.

- 왼쪽 메뉴에서 [장치 보안]을 선택하세요. [Secure boot] 아래에 상태 표시기가 나타납니다. Secure boot 아이콘은 녹색, 노란색, 빨간색 뱃지로 표시되며, 각각 시스템의 Secure boot 현재 상태를 나타냅니다.

질문 2: Secure boot 아이콘이 노란색 또는 빨간색일 경우 어떻게 해야 하나요?
답변 2: 기사에서 자세히 설명된 해결 단계 참고: 문제 해결 - Secure Boot 아이콘이 노란색 또는 빨간색 뱃지로 표시됨.
질문 3: 내 장치가 기존의 시큐어 부트 인증서가 만료되기 전에 새로운 시큐어 부트 인증서를 받지 못하면 어떻게 되나요?
답변 3: 시큐어 부트 인증서가 만료된 이후에도, 아직 새로운 2023 인증서를 받지 못한 장치는 정상적으로 부팅하고 작동할 수 있으며, 표준 Windows 업데이트도 계속 설치됩니다. 하지만 이러한 장치들은 부팅 초기에 새로운 보안 보호 기능을 받을 수 없게 되며, Windows 부트 관리자 업데이트, 시큐어 부트 데이터베이스, 폐기 목록, 또는 새롭게 발견되는 부트 레벨 취약점에 대한 완화 조치 등을 적용받지 못합니다.
시간이 지남에 따라 이로 인해 장치가 신규 위협에 대한 보호가 제한될 수 있으며, BitLocker 강화 또는 서드파티 부트 로더와 같이 시큐어 부트 신뢰에 의존하는 시나리오에도 영향을 줄 수 있습니다. 대부분의 Windows 장치는 자동으로 업데이트된 인증서를 받으며, 많은 OEM 제조사들도 필요 시 펌웨어 업데이트를 제공합니다. 항상 장치를 최신 상태로 유지하는 것은 안전한 부팅을 위해 설계된 완전한 보안 보호를 계속 받을 수 있도록 해줍니다.
질문 4: 시큐어 부트 장치를 끄면 어떤 영향이 있나요?
답변 4: 시큐어 부트를 끈 장치는 펌웨어에서 새로운 시큐어 부트 인증서를 받지 못하게 됩니다. 따라서 시큐어 부트 보호가 적용되지 않아 부트킷과 같은 부트 레이어 악성코드에 취약해질 수 있습니다.
질문 5: 펌웨어를 기본 설정으로 리셋한 후, 장치가 부팅되지 않습니다 - 무슨 일이 발생한 것입니까? 어떻게 해결해야 하나요?
답변 5: Windows가 이미 2023 서명된 부트 매니저를 사용하고 있지만, 펌웨어가 Windows UEFI CA 2023 인증서가 포함되지 않은 기본값으로 리셋된 경우, Secure Boot는 부팅 과정을 차단하게 됩니다.
FAQ를 참고하실 수 있습니다:
[노트북] 문제 해결 - 시작 시 Secure Boot 위반 오류
질문 6: 장치의 Secure Boot 인증서가 만료된 경우, 업데이트된 인증서를 받을 수 있나요?
답변 6: 네, 기존 인증서가 만료되었더라도, 새로운 Secure Boot 인증서를 포함하는 누적 업데이트를 적용할 수 있습니다. 장치가 Windows를 시작하고 업데이트를 설치할 수 있다면, 공개된 배포 지침에 따라 업데이트된 인증서를 펌웨어에 기록할 수 있습니다. 대부분의 장치는 이러한 업데이트를 자동으로 받지만, 일부 시스템은 추가 펌웨어 업데이트가 필요할 수 있습니다.
질문 7: UEFI Secure Boot Key 상태를 확인하는 방법은 무엇인가요?
답변 7: 다음 단계를 참고하세요:
- Windows 시스템 검색창에 PowerShell을 입력하세요.
검색 결과에서 Windows PowerShell 아이콘을 클릭하고 관리자 권한으로 실행을 선택하세요.
- Key Exchange Key (KEK)에 "Microsoft Corporation KEK 2K CA 2023"이 포함되어 있는지 확인하세요.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'를 입력하세요.
True가 나타나면 "Microsoft Corporation KEK 2K CA 2023"이 포함되어 있다는 의미입니다.
- Signature Databases (DB)에 "Windows UEFI CA 2023"이 포함되어 있는지 확인하세요.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'를 입력하세요.
True가 나타나면 "Windows UEFI CA 2023"이 포함되어 있다는 의미입니다.
- Signature Databases (DB)에 "Microsoft UEFI CA 2023"이 포함되어 있는지 확인하세요.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'를 입력하세요.
True가 나타나면 "Microsoft UEFI CA 2023"이 포함되어 있다는 의미입니다.
질문 8: 이벤트 뷰어에서 TPM WMI 오류 메시지 (이벤트 ID: 1801)를 발견하면 어떻게 해야 하나요?
답변 8: 이 오류 메시지의 원인은 secure boot 자격 증명이 업데이트되었지만 아직 장치 펌웨어에 적용되지 않았기 때문입니다.
먼저 Windows Update를 실행하여 OS 빌드가 26100.6725 이상인지 확인한 후, 질문 2에서 안내된 단계대로 진행하세요.
질문 9: 이벤트 뷰어에서 TPM WMI 오류 메시지 (이벤트 ID: 1802)를 발견하면 어떻게 해야 하나요?
답변 9: 이 오류 메시지의 원인은 장치가 알려진 펌웨어 또는 하드웨어 조건에 부합하여 boot 업데이트가 의도적으로 차단되기 때문에, 업데이트가 안전하게 완료되지 않는 것입니다.
ASUS 서비스 센터를 통해 문제를 신고해 주세요.
질문 10: 이벤트 뷰어에서 TPM WMI 오류 메시지 (이벤트 ID: 1803)를 발견하면 어떻게 해야 하나요?
답변 10: 이 오류 메시지의 원인은 장치에서 PK로 서명된 Key Exchange Key (KEK)를 찾을 수 없기 때문입니다.
ASUS 서비스 센터를 통해 문제를 신고해 주세요.
참조:
Windows Secure Boot 인증서 만료 및 CA 업데이트 - Microsoft 지원
Windows 보안 앱에서 Secure Boot 인증서 업데이트 상태
Secure Boot 업데이트 프로세스에 대한 자주 묻는 질문 - Microsoft 지원
Secure Boot DB 및 DBX 변수 업데이트 이벤트 - Microsoft 지원
Windows 11, 버전 25H2 업데이트 기록 - Microsoft 지원