윈도우11에서 오래된 장치나 특수 하드웨어를 사용하다 보면 드라이버 설치 중 아래와 같은 메시지가 나타날 수 있습니다.
- 디지털 서명이 필요합니다.
- 서명되지 않은 드라이버는 설치할 수 없습니다.
- 타사의 inf 파일에 디지털 서명 정보가 없습니다.
이는 보안 강화를 위한 기본 정책이지만, 32비트 기반의 드라이버인 경우 서명이 필수가 아니여서 윈도우11에서는 정상적인 사용이 어려워집니다. 특히 구형 프린터, 산업 장비, DIY 하드웨어를 사용하는 환경에서 서명되지 않은 드라이버를 설치하려면 다른 방법이 필요한데요.
이 글에서는 윈도우11에서 디지털 서명되지 않은 드라이버를 설치하는 방법과 필요 시 영구적으로 서명 검사를 비활성화하는 설정까지 알아보겠습니다.
목차
디지털 서명되지 않은 드라이버 설치가 차단되는 이유
윈도우11은 커널 수준에서 실행되는 드라이버가 시스템 안정성과 보안에 큰 영향을 미친다고 판단해, Microsoft가 검증한 디지털 서명이 없는 드라이버의 설치를 기본적으로 차단하며 다음과 같은 위험을 방지합니다.
- 악성 코드가 포함된 드라이버 설치 차단
- 시스템 파일 변조 및 루트킷 공격 방지
- 커널 충돌로 인한 블루스크린 예방
하지만 구형 장치나 소규모 제조사의 드라이버는 서명되지 않은 경우가 많아, 사용자가 직접 설치를 허용해야 하는 상황이 발생합니다.
일시적으로 드라이버 서명 검사 비활성화
가장 안전한 방법은 필요한 순간에만 일시적으로 서명 검사를 끄는 것입니다. 일반적으로 드라이버를 한 번만 설치하면 되므로 이 방법이 권장됩니다.
윈도우 설정에서 시스템 → 복구 → 고급 시작 옵션 → 지금 다시 시작 버튼을 클릭해 복구 모드로 전환합니다.
컴퓨터가 재부팅된 후 나타나는 화면에서 문제 해결 → 고급 옵션 → 시작 설정을 차례대로 클릭합니다.
시작 설정에서 ‘다시 시작’을 클릭하면 부팅 옵션을 선택할 수 있는 화면이 나타납니다. 옵션 목록에서 7번 또는 F7 키를 눌러 드라이버 서명 강제 사용 안 함을 선택합니다.
이 상태로 부팅하면 해당 세션에서만 서명되지 않은 드라이버 설치가 가능합니다.
inf 또는 설치 파일을 실행한 뒤 ‘이 드라이버 소프트웨어의 게시자를 확인할 수 없습니다.’ 화면에서 ‘이 드라이버 소프트웨어를 설치합니다.’ 버튼을 클릭하면 되겠습니다.
드라이버 설치를 마친 후 컴퓨터를 다시 시작하면 일반 부팅으로 되돌아갑니다. 이 방식은 가장 안전하며 재부팅하면 원래 부팅 설정으로 복원되어 초보자도 쉽게 적용해볼 수 있습니다.
드라이버 서명 사용 안 함 영구 설정 방법
특정 환경에서는 매번 설정을 변경하기 번거로워 영구적으로 서명 검사를 비활성화해야 할 수 있습니다.
다만 보안 위험이 증가하고 서명 검사를 영구적으로 비활성화하기 위해서는 보안 부팅을 해제해야 하므로, 시스템에 대한 이해도가 없다면 아래 방법 대신 그룹 정책을 통한 드라이버 서명 정책을 적용하시길 바랍니다.
먼저, 메인보드 바이오스에서 Secure Boot를 비활성화해야 합니다. 바이오스의 Boot 옵션에서 Secure Boot를 Disabled로 설정합니다.
윈도우에서 명령 프롬프트를 관리자 권한으로 실행한 다음, 아래 명령어를 적용해 드라이버 무결성 검사를 영구적으로 비활성화합니다.
bcdedit /set nointegritychecks on원래 상태로 복구하고 싶다면 다음 명령어를 사용하면 되겠습니다.
bcdedit /set nointegritychecks off드라이버 서명을 영구적으로 사용하지 않으면 사용자의 의도와 다르게 악성 드라이버가 설치될 위험이 있으므로 기업 환경에서는 권장되지 않으며 신뢰 가능한 드라이버에만 적용하시길 바랍니다.
참고
An error has occurred setting the element data.
The value is protected by Secure Boot policy and cannot be modified or deleted.
바이오스에서 Secure Boot가 활성화된 경우 명령어 실행 시 위와 같은 메시지가 출력될 수 있습니다.
그룹 정책으로 드라이버 서명 확인 영구 비활성화
또 다른 방법으로 그룹 정책을 통해 드라이버 서명 정책을 사용하지 않도록 설정할 수 있습니다. 이 방법은 Secure Boot에 영향을 받지 않으므로 좀 더 유연한 방식입니다.
홈 에디션 사용자는 gpedit.msc를 설치해야 합니다.
Win + R 키를 누른 후 gpedit.msc를 실행해 로컬 그룹 정책 편집기를 엽니다.
그리고 사용자 구성 → 관리 템플릿 → 시스템 → 드라이버 설치로 이동한 다음, ‘드라이버 패키지에 대한 코드 서명’ 정책을 더블 클릭합니다.
정책 설정을 사용에 체크 후 ‘Windows에서 서명되지 않은 파일을 검색한 경우’ 옵션을 경고 또는 무시로 변경합니다.
이 설정은 서명되지 않은 드라이버 설치할 때 시스템이 응답하는 방식을 정하는 것으로, 경고 또는 무시를 설정하면 드라이버 설치 버튼이 활성화됩니다.
윈도우 시스템 레벨에서 정하는 정책으로 영구 적용되며, 사용자의 판단 하에 서명이 없는 드라이버를 설치할지 결정할 수 있습니다.
마치며
디지털 서명되지 않은 드라이버 차단 정책은 시스템을 보호하기 위한 중요한 보안 장치지만, 현실적으로 모든 하드웨어가 최신 서명 드라이버를 제공하는 것은 아닙니다.
구형 장치나 특수 장비를 사용해야 하는 경우라면 위 방법을 적용해서 상황에 맞게 설치를 진행할 수 있습니다.
다만 영구 설정은 보안 위험을 동반하므로 반드시 신뢰할 수 있는 드라이버에만 적용하고, 필요하지 않을 때는 원래 설정으로 되돌리는 습관을 들이는 것이 좋습니다.
