Microsoft, Secure Boot 마감일을 앞두고 주요 질문에 답하다

2026년 6월 24일 Microsoft Secure Boot KEK 인증서의 만료 기한이 다가오면서, Microsoft는 IT 관리자와 기업 고객의 남은 우려를 해결하기 위해 6월 4일 두 번째 라이브 “Microsoft 무엇이든 물어보세요” (AMA) 세션을 진행했습니다. 이 세션은 Secure Boot 업데이트에 대한 심층적인 통찰을 제공하며, 기업 배포, 가상 머신 호환성, PXE 부팅 시나리오 등을 다루었습니다.

2026년 6월 24일에 무슨 일이 발생하나요?

가장 시급한 질문은 6월 24일이 Secure Boot KEK CA 2011 인증서에 대한 완전한 종료일인지 여부였습니다. Scott Shell에 따르면, 만료일은 모든 기능이 즉시 중단되는 엄격한 마감일이 아닙니다. KEK 키의 만료는 레지스트리 기반 수동 배포 프로세스나 기존 업데이트 페이로드에 즉각적으로 영향을 미치지 않으며, 이전과 동일하게 작동할 것입니다.

그러나 6월 24일 이후 Microsoft는 손상된 부트로더를 취소하는 데 중요한 새로운 DBX 페이로드에 서명할 수 없게 됩니다. 업데이트된 KEK 인증서가 없는 장치는 향후 취소를 놓칠 수 있으며, 시간이 지남에 따라 보안이 약화될 가능성이 있습니다. 그러나 DB 인증서는 10월까지 유효하므로, 이 기간 동안 추가 부트 매니저에 서명할 수 있습니다.

6월 업데이트로 신뢰 높은 범위가 확장됩니다

6월 Patch Tuesday 업데이트는 Microsoft의 진단 데이터를 기반으로 대부분의 주류 장치를 신뢰도가 높은 장치로 분류할 것입니다. Kevin Sullivan은 장치 분류가 제조업체 및 모델 이름을 넘어 펌웨어 버전 및 날짜를 포함한다고 설명했습니다. 즉, 동일한 모델이라도 펌웨어에 따라 다르게 분류될 수 있습니다.

IT 관리자를 지원하기 위해 Intune 모니터링 보고서는 장치 상태, 신뢰도 높은 분류, 업데이트 적용 상태, 수동 개입이 필요한 장치 등 세부 정보를 제공합니다. 이 보고서는 추가 유연성을 제공하는 PowerShell 수정 스크립트로 보완됩니다.

“일시 중지됨” 상태의 장치 해결

일부 기업 고객은 장치가 “일시 중지됨” 상태에 멈춰 있다고 보고했습니다. Microsoft는 이것이 펌웨어 수준의 호환성 문제로 인해 업데이트가 위험할 때 발생한다고 설명했습니다. 이러한 경우 문제를 해결하려면 OEM 펌웨어 업데이트가 필요합니다. 펌웨어가 업데이트되면 장치는 새로운 분류 버킷으로 이동합니다.

관리자는 Intune 또는 GitHub CSV의 실시간 데이터를 사용해 장치 상태를 정확히 추적해야 하며, 일시 중지된 버킷은 소급적으로 업데이트되지 않습니다. Microsoft의 Secure Boot 랜딩 페이지에는 펌웨어 업데이트를 찾을 수 있는 OEM 지원 페이지 링크가 포함되어 있습니다.

수동 배포에 대한 지침

신뢰도가 높은 버킷에 포함되지 않은 장치의 경우, Microsoft는 자동 분류를 기다리지 말 것을 권장했습니다. 관리자는 레지스트리 값을 설정하거나 Intune 정책 설정을 사용하여 수동 배포를 시작해야 합니다. 권장 워크플로는 다음을 포함합니다:

1. 업데이트되지 않은 장치를 식별하기 위해 Intune 모니터링 보고서 가져오기.
2. 각 모델 또는 펌웨어 변형에 대해 대표적인 장치에서 업데이트 프로세스 테스트.
3. 테스트 성공 후 점진적으로 배포 확장.

Microsoft는 수동 업데이트가 원격 측정 데이터를 제공하여 유사한 장치를 가진 다른 조직의 시스템 개선에 기여한다고 강조했습니다.

Secure Boot가 비활성화된 장치

Secure Boot가 비활성화된 장치의 경우 인증서 업데이트를 적용할 수 없습니다. 이후 Secure Boot가 다시 활성화되면 펌웨어 신뢰 데이터베이스와 부트 매니저 서명 간의 불일치로 인해 부팅 실패가 발생할 수 있습니다. 이를 복구하려면 2023 인증서를 펌웨어에 수동으로 설치해야 합니다.

보안 또는 신뢰 부팅이 활성화된 Azure Gen 2 VM은 이미 2023 인증서 세트를 보유하고 있는 반면, Gen 1 VM은 Secure Boot와 호환되지 않습니다.

신뢰도 높은 분류 기준

구형 장치는 인구가 적어 통계적 검증이 더 빨리 이루어지므로 신뢰도가 높은 분류를 더 빨리 달성합니다. 널리 배포된 신형 모델의 경우, 6월 업데이트가 신뢰도가 높은 버킷을 크게 확장할 것으로 예상됩니다.

PXE 부팅 환경은 신중한 관리가 필요합니다

PXE 부팅 환경의 경우, 2011 인증서를 가진 장치는 DBX 목록에서 인증서가 취소되지 않는 한 계속 부팅됩니다. 그러나 2023 인증서로 서명된 부트로더로 전환하려면 환경의 모든 장치가 새 인증서를 신뢰하도록 보장해야 합니다. 전환 기간 동안 두 인증서로 서명된 부팅 미디어를 유지하는 것이 권장됩니다.

Windows 10 및 구형 OS 버전

Secure Boot 업데이트 메커니즘은 Windows 10(ESU 하의), Windows 11 및 구형 서버 버전에서 동일하게 작동합니다. 그러나 구형 장치는 원격 측정 데이터가 부족하여 수동 업데이트가 필요할 수 있습니다.

진단 도구 및 리소스

TPM-WMI 이벤트 로그를 포함한 이벤트 로그는 Secure Boot 문제를 진단하는 데 중요합니다. 주요 지표는 다음과 같습니다:

• 유효하지 않거나 서명되지 않은 플랫폼 키에 대한 오류 1803.
• 2023 버전에 대한 KEK 및 DB 인증서 검증.

Microsoft의 중앙 리소스 aka.ms/GetSecureBoot는 포괄적인 플레이북, 진단 스크립트 및 OEM 펌웨어 링크를 제공합니다. 관리자는 원활한 업데이트를 보장하기 위해 Microsoft의 “하나 먼저 테스트” 조언을 따를 것을 권장합니다.

요약하자면, Microsoft의 단계적 배포 및 진단 도구는 Secure Boot 준수를 보장하면서 중단을 최소화하도록 설계되었습니다. KEK 만료 기한이 다가옴에 따라 IT 관리자는 잠재적 보안 위험을 피하기 위해 신속히 조치를 취할 것을 권장합니다.