만료된 Secure Boot 인증서 교체하는 방법

만료된 Secure Boot 인증서 교체는 UEFI 펌웨어의 서명 데이터베이스(db)에 Windows UEFI CA 2023 인증서를 추가하는 작업으로, AvailableUpdates 레지스트리 값을 설정하면 Windows가 자동으로 진행할 인증서 배포를 기다리지 않고 즉시 시작할 수 있습니다.

db는 부팅 시점에 부트로더와 드라이버의 서명을 검증하는 신뢰 인증서 목록입니다. 2011년 발급된 기존 인증서가 2026년 6월부터 순차 만료되면서, 이를 교체하지 않은 기기는 부팅 관리자 업데이트와 부트 수준 취약점 완화를 더 이상 받지 못합니다.

빌드 26100 기준으로 확인 명령을 실행했을 때 결과가 False로 나오면 2011 인증서를 사용 중이라는 의미이고, 이 경우에만 교체가 필요합니다.

다만 2024년 이후 출고된 기기와 2025년형 Copilot+ PC는 출하 시점에 2023 인증서가 펌웨어에 포함되어 별도 조치가 필요 없습니다.

1. Secure Boot 인증서의 역할과 2011 인증서 만료 일정

Secure Boot는 PC 전원이 켜진 직후 운영체제가 로드되기 전 단계에서, 신뢰할 수 있는 서명을 가진 부트로더와 드라이버만 실행되도록 검증하는 UEFI 펌웨어 보안 기능입니다.

이 검증의 기준이 되는 암호화 인증서가 UEFI 펌웨어의 KEK(Key Exchange Key)와 db(서명 데이터베이스) 변수에 저장됩니다. KEK는 db 업데이트를 승인하는 상위 키이고, db는 부팅 시점 바이너리를 직접 검증하는 신뢰 목록입니다.

2011년에 발급된 인증서 4종은 아래 일정으로 만료됩니다.

인증서	저장 위치	만료일
Microsoft Corporation KEK CA 2011	KEK	2026년 6월 24일
Microsoft Corporation UEFI CA 2011	db	2026년 6월 27일
Microsoft Option ROM UEFI CA 2011	db	2026년 6월 27일
Microsoft Windows Production PCA 2011	db	2026년 10월 19일

교체 작업에서 db의 Windows UEFI CA 2023 하나만 확인하면 되는 이유는 Secure Boot가 드라이버 자체의 만료 여부가 아니라 “누가 서명했는가”를 검증하기 때문입니다.

현재 부트로더는 Microsoft가 구형 키로 서명하고, 펌웨어는 UEFI CA 2011을 통해 그 키를 신뢰합니다. db에 2023 인증서가 등록되면 새 키로 서명된 부트로더를 신뢰 체인이 그대로 인정하므로, 이 인증서의 존재 여부가 교체 완료의 단일 지표가 됩니다. 새로 등록되는 Windows UEFI CA 2023 인증서는 2053년까지 유효합니다.

2. PowerShell로 Secure Boot 2023 인증서 보유 여부 확인

내 PC가 Secure Boot 인증서 교체 대상인지 확인하려면 관리자 권한 터미널이 필요합니다.

시작 버튼을 마우스 오른쪽 버튼으로 클릭한 뒤 터미널(관리자)를 선택하거나, Win + R 키로 실행 대화 상자를 열고 wt를 입력한 뒤 Ctrl + Shift + Enter를 눌러 관리자 권한으로 띄웁니다.

터미널에 다음 명령을 입력하고 Enter 키를 누릅니다.

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

이 명령은 db 변수의 바이트 배열을 ASCII 문자열로 변환한 뒤 Windows UEFI CA 2023 문자열이 포함됐는지 검사합니다. 결과값의 의미는 다음과 같습니다.

• True: 2023 인증서가 이미 db에 등록되어 있으며 2053년까지 유효합니다. 추가 조치가 필요 없습니다.
• False: 2011 인증서를 사용 중일 가능성이 높으며, 2026년 6월부터 순차 만료됩니다. 아래 교체 절차를 진행합니다.

Get-SecureBootUEFI 명령이 오류를 반환한다면 해당 기기에서 Secure Boot가 비활성 상태이거나 UEFI가 아닌 레거시 BIOS 모드일 수 있습니다.

이 경우 시스템 정보(msinfo32)의 보안 부팅 상태 항목에서 사용 여부를 먼저 확인합니다.

3. AvailableUpdates 레지스트리 값 수정으로 인증서 배포 시작

레지스트리를 변경하기 전에 안전장치를 먼저 확보합니다. 펌웨어가 새 키 등록을 처리하는 과정에서 BitLocker 복구 화면이 뜰 수 있으므로, 작업 전 BitLocker 복구 키를 별도 위치에 저장하고 시스템 백업을 생성합니다. 메인보드 펌웨어(UEFI)도 제조사 최신 버전으로 업데이트 해 두는 것이 좋습니다.

인증서 배포를 직접 시작하려면, 관리자 권한 터미널에서 다음 명령을 입력합니다.

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

이 명령은 AvailableUpdates 값을 0x5944로 설정해, 필요한 2023 CA 인증서 전체와 새 서명 부팅 관리자를 배포하도록 Windows에 지시합니다.

마이크로소프트의 Secure Boot 레지스트리 키 안내에 따르면 0x5944는 그룹 정책 Enable Secure Boot certificate deployment 설정에 대응하는 값입니다. 회사나 학교 네트워크에 연결된 관리 대상 PC에서 이 명령이 무시된다면, 해당 정책이 조직 차원에서 잠겨 있을 수 있으므로 IT 관리자에게 배포 허용을 요청해야 합니다.

인증서 배포는 Windows Update 엔진을 거치므로, 업데이트 자체가 누적 패키지 손상이나 캐시 오염으로 막혀 있다면 윈도우11 업데이트가 정상 처리되지 않는 문제를 먼저 해소해야 인증서가 적용됩니다.

4. 인증서 갱신 예약 작업 실행

AvailableUpdates 값을 처리하는 백그라운드 작업은 기본적으로 12시간마다 실행됩니다. 대기하지 않고 즉시 처리하려면 다음 명령을 입력합니다.

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

이 명령은 AvailableUpdates 레지스트리 키를 처리하는 예약 작업을 즉시 실행합니다.

인증서를 펌웨어에 완전히 적용하려면 두 번의 재부팅이 필요합니다. 첫 번째 재부팅에서 시스템이 새 부팅 관리자를 적용하고, 두 번째 재부팅에서 UEFI db에 인증서 등록이 완료됩니다.

작업 실행 자체는 재부팅을 강제하지 않으므로, 평소 사용 중 발생하는 재시작에 맞춰 단계가 진행됩니다.

재부팅을 마친 뒤 db에 2023 인증서가 등록됐는지 다시 검증합니다.

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

결과가 True로 바뀌면 교체가 완료된 것입니다. 여전히 False라면 어느 단계에서 멈췄는지 상태 코드로 확인합니다.

5. 상태 코드로 교체 진행 단계는 어떻게 추적하는가

AvailableUpdates 값은 교체가 진행되는 동안 단계별로 자동 변경됩니다. 다음 명령으로 현재 값을 읽어 어느 지점까지 도달했는지 확인합니다.

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates

정상 진행 시 값은 0x5944에서 시작해 0x4100을 거쳐 0x4000으로 단계마다 바뀝니다.

상태값	의미	다음 조치
0x5944	배포 명령 입력 직후, 처리 대기	예약 작업 실행 후 재부팅
0x4100	KEK·db 인증서 등록 완료, 부팅 관리자 갱신 대기	재부팅 후 예약 작업 재실행
0x4000	부팅 관리자까지 갱신 완료	확인 명령으로 True 검증
0x4104	KEK 등록 단계에서 정체, 다음 단계로 진행 못함	6번 Event ID 진단

값이 0x4100에서 멈췄다면 재부팅이 한 번 더 필요한 정상 중간 상태입니다. 재부팅 후 예약 작업 명령 Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"를 다시 실행하면 0x4000으로 넘어갑니다.

반면 여러 차례 재시작해도 값이 0x4104에 머문다면 KEK 인증서 등록 자체가 완료되지 못한 상태로, Windows가 아니라 펌웨어 측 원인을 의심해야 합니다.

진행 상태는 UEFICA2023Status 레지스트리 키로도 교차 확인할 수 있으며, 같은 경로의 UEFICA2023Error 값이 0이 아니면 오류가 기록된 것이므로 Event ID로 원인을 좁힙니다.

6. 교체가 막힐 때: Event ID 진단과 펌웨어 업데이트

상태값이 진행되지 않으면 이벤트 로그에서 원인을 특정합니다. 다음 명령으로 Secure Boot 관련 이벤트를 조회합니다.

Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-TPM-WMI'} | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

주요 이벤트 ID별 의미와 조치는 다음과 같습니다.

• Event ID 1801: 업데이트된 인증서가 기기에서 사용 가능하나 아직 펌웨어에 적용되지 않은 상태입니다. 배포 트리거와 예약 작업이 정상 동작 중이라는 신호이므로, 재부팅을 진행해 적용을 완료합니다.
• Event ID 1803: PK로 서명된 KEK를 찾을 수 없다는 오류입니다. 메인보드에 적절한 키 프로비저닝이 되어 있지 않다는 의미로, 제조사의 펌웨어 업데이트가 선행되어야 합니다.
• Event ID 1795: Windows가 인증서를 펌웨어로 넘기는 과정에서 핸드오프 오류가 발생한 경우입니다. 이 역시 메인보드 펌웨어가 새 인증서 형식을 지원하지 못하는 상황으로, BIOS 업데이트가 필요합니다.

만일 제조사가 해당 모델의 펌웨어 업데이트를 더 이상 제공하지 않는 구형 기기라면, db 등록이 끝까지 완료되지 않을 수 있습니다.

실제로 2015년 전후 출시된 일부 메인보드에서는 위 명령 실행 직후 시스템이 하드락(완전 정지)되어 강제 종료가 필요했던 사례가 보고되어 있습니다.

이때는 제조사 지원 페이지에서 Secure Boot 대응 BIOS 업데이트 제공 여부를 먼저 확인하고, 펌웨어 갱신 전에는 수동 교체를 보류하는 편이 안전합니다.

BIOS 업데이트를 진행할 경우, TPM에 저장된 키가 갱신 과정에서 초기화될 수 있으므로 모든 드라이브의 BitLocker 암호화를 일시 중단한 뒤 작업합니다.

마치며

Secure Boot 인증서 교체의 핵심은 db 변수에 Windows UEFI CA 2023이 등록되었는지를 단일 기준으로 삼는 데 있습니다.

AvailableUpdates를 0x5944로 설정하고 예약 작업과 재부팅을 거치면 대부분의 기기는 0x4000까지 도달해 교체가 끝납니다.

진행이 막혔을 때는 상태값과 Event ID 1803·1795를 함께 읽어, 문제가 Windows 측이 아니라 메인보드 펌웨어에 있는지를 가려내는 것이 시간을 아끼는 방법입니다.

구형 기기에서 펌웨어 지원이 끊겼다면 무리한 수동 등록보다 제조사 BIOS 업데이트를 기다리는 편이 부팅 불능 위험을 줄입니다.

FAQ