윈도우 보안 부팅 인증서 만료 6월: 지금 확인 안 하면 늦는다
2011년부터 15년간 사용된 윈도우 보안 부팅(Secure Boot) 인증서가 2026년 6월부터 순차 만료됩니다.
갱신하지 않으면 부팅 보안 업데이트 수신이 차단되고, BlackLotus 같은 부트킷 악성코드에 무방비 상태가 됩니다.
지금 바로 내 PC 상태를 확인하세요.
🖥️ 윈도우10·11 전체 해당
🔄 자동 업데이트 가능
⚠️ 2012년 이후 PC 주의
🔐 보안 부팅 인증서, 왜 이제야 만료되나?
보안 부팅(Secure Boot)이란 무엇인가?
보안 부팅은 PC 전원이 켜지는 순간, 운영체제가 로딩되기 전 단계에서 신뢰할 수 있는 소프트웨어만 실행되도록 막아주는 보안 기술입니다.
UEFI 펌웨어 수준에서 동작하며, 루트킷·부트킷 악성코드가 가장 먼저 공격하는 영역을 지키는 일종의 ‘현관문 잠금장치’입니다.
윈도우 8 출시(2012년)부터 모든 PC에 기본 탑재됐고, 윈도우 11 설치 필수 요건 중 하나이기도 합니다.
왜 하필 2026년에 만료되는가?
보안 인증서에는 유효 기간이 있습니다. 마이크로소프트가 2011년에 발급한 최초 Secure Boot 인증서(KEK CA 2011, UEFI CA 2011)는 15년 유효 기간으로 설계됐고, 그 시한이 드디어 2026년 6월에 도래하게 된 것입니다.
윈도우 생태계에서 이렇게 대규모로 인증서가 교체되는 것은 사실상 처음 있는 일입니다. 마이크로소프트 역시 이를 “역사상 첫 번째 전 지구적 대규모 인증서 교체”라고 공식 표현하고 있습니다.
🖥️ 내 PC가 해당되는지 30초 확인법
어떤 PC가 영향을 받나?
2012년 이후 출시된 모든 Windows PC가 잠재적으로 영향을 받습니다. 단, 2024년 이후 출시된 PC와 2025년형 Copilot+ PC는 이미 2023년 인증서가 탑재되어 있어 조치가 필요 없습니다.
내 PC가 어느 쪽인지 확인하는 가장 빠른 방법은 파워셸(PowerShell) 명령어 한 줄입니다.
PowerShell로 30초 만에 확인하기
키보드 Windows 키 + X를 누르고 [Windows PowerShell (관리자)] 또는 [터미널 (관리자)]를 선택합니다.
아래 명령어를 복사한 후 파워셸 창에 붙여넣고 Enter를 누릅니다.
결과를 확인합니다. True = 이미 업데이트 완료 (안전), False = 아직 구형 인증서 상태 (조치 필요).
Win + R → msinfo32 입력 → [시스템 정보] 창에서 “보안 부팅 상태”가 “설정(On)”인지 확인하세요. 보안 부팅이 꺼져 있으면 인증서 업데이트도 적용되지 않습니다.
⚠️ 만료되면 정확히 어떤 문제가 생기나?
“PC가 그냥 꺼지는 건 아니니까 괜찮다”는 착각
이 이슈에서 가장 흔한 오해가 하나 있습니다. “인증서가 만료돼도 PC는 정상 부팅되니까 별 문제 없다”는 생각입니다.
반은 맞고 반은 틀립니다. PC는 계속 켜지고 일반 윈도우 업데이트도 계속 받을 수 있습니다. 하지만 보안 수준은 조용히 무너집니다.
인증서 미갱신 시 발생하는 3가지 핵심 위협
부팅 보안 업데이트 수신 불가 (2026년 6월~): Windows Boot Manager와 Secure Boot 구성 요소에 대한 보안 패치를 더 이상 받을 수 없게 됩니다. 신규 취약점이 발견돼도 수정이 불가능해집니다.
서드파티 소프트웨어 신뢰 차단 (2026년 6월~): 새로운 2023년 인증서로 서명된 서드파티 드라이버, 하드웨어 옵션 ROM 등을 신뢰하지 않게 됩니다. 일부 하드웨어나 소프트웨어가 오작동할 수 있습니다.
Windows Boot Manager 보안 수정 불가 (2026년 10월~): 가장 심각한 단계입니다. BlackLotus(CVE-2023-24932) 같은 UEFI 부트킷 악성코드 공격에 완전히 무방비 상태가 됩니다. 이런 악성코드는 일반 백신으로는 탐지조차 되지 않습니다.
2023년 발견된 UEFI 레벨 악성코드로, 보안 부팅을 우회해 윈도우가 켜지기도 전에 PC를 장악합니다. 일반 백신 소프트웨어는 커녕 윈도우 재설치로도 완전 제거가 어렵습니다. 보안 부팅 인증서가 최신 상태여야 이에 대한 패치 적용이 가능합니다.
✅ 자동 업데이트로 해결하는 방법 (권장)
대부분의 사용자는 기다리기만 해도 된다
마이크로소프트는 2026년 내내 월간 누적 업데이트 방식으로 새 Secure Boot 인증서를 자동 배포할 예정입니다.
즉, 윈도우 업데이트를 제대로 켜 두고 있다면 별도의 조치 없이 자동으로 갱신됩니다.
삼성, LG, HP, Dell, Lenovo, ASUS 등 주요 OEM 제조사 PC는 펌웨어 업데이트와 함께 인증서가 자동 교체됩니다.
자동 업데이트가 제대로 작동하려면 이 조건을 확인하세요
윈도우 업데이트 켜기: 설정 → Windows Update → “자동으로 업데이트 다운로드” 활성화. 자동 업데이트가 꺼진 상태라면 인증서 배포 대상에서 제외될 수 있습니다.
진단 데이터 허용 확인: 마이크로소프트는 PC 환경을 파악해 단계적으로 배포합니다. 설정 → 개인 정보 보호 및 보안 → 진단 및 피드백 → “선택적 진단 데이터” 이상으로 설정하면 우선 배포 대상이 됩니다.
보안 부팅 활성화 상태 유지: 보안 부팅이 꺼진 PC는 인증서 교체가 불가능합니다. 반드시 BIOS/UEFI에서 Secure Boot가 Enable(켜짐) 상태인지 확인하세요.
OEM 펌웨어 업데이트 먼저 적용: 마이크로소프트는 반드시 OEM 제조사의 최신 BIOS/UEFI 펌웨어 업데이트를 먼저 설치한 뒤 윈도우 업데이트를 진행하도록 권고합니다. 순서가 바뀌면 문제가 생길 수 있습니다.
🔧 수동 점검 및 특수 환경 대응 방법
레지스트리로 자동 업데이트 옵트인 수동 설정
기업 환경이나 방화벽이 강하게 설정된 PC라면 아래 레지스트리 키를 직접 추가해 마이크로소프트가 Secure Boot 업데이트를 관리하도록 명시적으로 허용할 수 있습니다.
관리자 권한으로 명령 프롬프트(cmd) 또는 파워셸을 열고 아래 내용을 참조해 수동 등록하세요.
키 이름: MicrosoftUpdateManagedOptIn
유형: DWORD
값: 0x5944 (또는 0이 아닌 임의의 값)
이 값을 설정하면 마이크로소프트가 디바이스 프로필을 분석해 적절한 시점에 인증서를 자동 교체합니다.
값이 0이거나 키가 없는 경우 진단 데이터가 비활성화된 것으로 인식돼 자동 배포 대상에서 제외될 수 있습니다.
자작 PC·구형 메인보드 사용자 주의사항
직접 부품을 조립한 PC나 2014년 이전 구형 메인보드를 사용 중이라면 상황이 다릅니다.
이 경우 인증서 갱신의 핵심인 Platform Key(PK)를 메인보드 제조사(ASUS, MSI, Gigabyte 등)가 관리하기 때문에 해당 브랜드의 공식 BIOS 업데이트 페이지를 확인해야 합니다.
제조사에서 지원하지 않는 구형 모델은 보안 부팅을 비활성화하거나 PC 교체를 고려해야 할 수도 있습니다.
인터넷 단절 환경(에어갭) 특수 대응
제조 공장, 군사 시설, 정부 기관 등 외부망과 완전히 분리된 에어갭(Air-gapped) 환경은 자동 배포가 불가능합니다.
마이크로소프트는 이런 환경에 대해 별도 가이드를 준비 중이며, aka.ms/getsecureboot 페이지에서 추가 지침이 공개될 예정입니다.
지금 당장 익명 준비도 설문(aka.ms/GetSecureBoot)에 참여하면 맞춤 지원을 받을 수 있습니다.
🛠️ 업데이트 후 BitLocker·부팅 오류 발생 시 해결법
업데이트 후 BitLocker 복구 화면이 뜨는 이유
보안 부팅 인증서가 교체되면 시스템의 보안 정책이 변경된 것으로 인식돼 BitLocker가 복구 키를 요구하는 화면을 띄울 수 있습니다.
당황하지 마세요. 이 경우 Microsoft 계정으로 로그인한 뒤 account.microsoft.com/devices/recoverykey에서 복구 키를 찾아 입력하면 해결됩니다.
단, 복구 키를 분실했다면 데이터 복구가 매우 어려워지므로 지금 당장 백업해 두는 것을 강력히 권장합니다.
업데이트 후 아예 부팅이 안 될 때 (BIOS 진입 방법)
PC 전원을 켜는 동시에 F2 키(LG·ASUS), Del 키(Gigabyte·MSI), F10(HP) 키를 연타해 BIOS로 진입합니다. 제조사마다 키가 다릅니다.
BIOS 메뉴에서 Security 탭 → Secure Boot Configuration 또는 Secure Boot 항목을 찾아 Disabled로 변경합니다.
F10을 눌러 저장 후 재부팅합니다. 임시 해결책이므로 이후 PC 제조사 고객센터에 문의하거나 공식 펌웨어 업데이트를 확인하세요.
수동으로 새 인증서를 이미 업데이트한 상태에서 BIOS를 초기화하면 인증서 정보가 사라져 부팅 불가 또는 BitLocker 복구 상황이 반복될 수 있습니다. 증상 해결을 위해 임의로 BIOS 초기화를 시도하지 마세요.
📊 인증서 만료 일정 총정리
만료되는 인증서는 총 세 종류이며, 각각 역할이 다릅니다. 가장 시급한 것은 2026년 6월이 마감인 KEK CA와 UEFI CA이며, Windows 부트로더를 서명하는 Production PCA는 10월이 기한입니다. 순서에 따라 적용하는 것이 중요합니다.
| 만료 시한 | 만료 인증서 | 대체 인증서 | 역할 | 상태 |
|---|---|---|---|---|
| 2026년 6월 | Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2K CA 2023 | DB/DBX 업데이트 서명 | 긴급 |
| 2026년 6월 | Microsoft UEFI CA 2011 | Microsoft UEFI CA 2023 + Option ROM UEFI CA 2023 | 서드파티 OS·드라이버 서명 | 긴급 |
| 2026년 10월 | Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 | 윈도우 부트로더 서명 | 주의 |
| 2035~2038년 | (해당 없음) | 2023년 신규 인증서 전체 | 전 항목 대체 | 안전 |
Copilot+ PC·2024년 이후 구매자는 해당 없음
2025년형 Copilot+ PC와 대부분의 2024년 이후 출시 PC는 출고 시점부터 이미 2023년 신규 인증서가 탑재되어 있습니다. 별도의 업데이트 없이 2035년 이상까지 안전합니다.
가장 주의가 필요한 그룹은 2012~2023년 사이에 구매한 PC이며, 특히 업데이트를 오랫동안 미뤄온 사용자가 위험합니다.
❓ 자주 묻는 질문 (Q&A)
인증서가 만료되면 PC가 갑자기 안 켜지나요?
윈도우 10 지원이 이미 끝났는데 나도 해당되나요?
맥(Mac)이나 리눅스 사용자도 영향을 받나요?
업데이트 후 BitLocker 복구 키를 잃어버렸습니다. 어떻게 하나요?
새로 산 PC도 BIOS 업데이트가 필요한가요?
✍️ 마치며 — 조용히 다가오는 이 이슈, 과소평가하면 안 됩니다
솔직히 말씀드리면, 이번 윈도우 보안 부팅 인증서 만료 이슈는 지난해 윈도우 10 지원 종료보다 훨씬 덜 알려졌지만, 보안 측면에서는 그만큼 중요한 이슈입니다. 대다수 일반 사용자는 윈도우 업데이트를 켜 두는 것만으로도 자동으로 해결되지만, 업데이트를 꺼 두거나 오래된 PC를 사용하는 분들은 반드시 직접 확인해야 합니다.
제가 특히 강조하고 싶은 부분은 BitLocker 복구 키 사전 백업입니다. 인증서 갱신 과정에서 드물게 BitLocker 화면이 뜨는 경우가 있는데, 복구 키가 없으면 PC 속 모든 데이터에 접근할 수 없게 됩니다. 오늘 당장 5분을 투자해서 복구 키를 어딘가 안전하게 저장해 두시기 바랍니다.
그리고 한 가지 더, 자작 PC 사용자나 구형 메인보드를 사용 중인 분들은 제조사 공식 BIOS 업데이트 페이지를 직접 확인하시는 것이 좋습니다. 마이크로소프트 자동 배포 대상에서 제외될 수 있으니까요. D-107일, 아직 늦지 않았습니다. 지금 바로 확인하세요.
※ 본 포스팅은 마이크로소프트 공식 문서(KB5062710, Windows IT Pro Blog, Microsoft 지원 페이지), ZDNET, LG전자 공식 지원 페이지를 기반으로 작성되었습니다.
PC 환경 및 제조사, 운영체제 버전에 따라 대응 방법이 다를 수 있으며, 중요한 작업 전 반드시 데이터 백업을 권장합니다.
정보 최종 확인일: 2026년 3월 9일.
댓글 남기기