이 가이드는 2026년 6월 만료되는 Secure Boot 인증서 교체 방법에 대해 설명합니다.
Microsoft는 2026년 1월 보안 업데이트부터 컴퓨터가 정상적으로부팅되고 보안 업데이트를 계속 받을 수 있도록 새로운 인증서를 단계적으로 배포하기 시작했습니다.
Windows 11에서 보안 부팅은 UEFI(Unified Extensible Firmware Interface) 펌웨어에 포함된 보안 기능으로, 부팅 시 중요한 시스템 파일에 대한 무단 수정을 방지합니다.
결과적으로 장치가 제조업체에서 신뢰하는 소프트웨어만 사용하여 부팅 할 수 있도록 보장합니다.
즉, 보안 부팅 기능은 운영 체제와 백신 소프트웨어가 로드되기 전에 컴퓨터를 제어할 수 있는 악성코드로부터 부팅 과정을 보호하는데 도움이 됩니다.
이 때문에 Battlefield 6 등 최근 출시되는 게임 역시 대부분 보안 부팅 기능 활성화되어 있지 않으면 실행되지 않는 경우가 많습니다.
🔦 참고 : Battlefield 6는 EA의 Javelin Anti-cheat 시스템을 사용하며, 이 시스템은 치트 프로그램이 부팅 과정이나 커널 수준에서 침투하는 것을 막기 위해 Secure Boot 기능이 켜져 있는 환경을 전제로 작동합니다.
🔗 Windows 11에서 Battlefield 6 실행하기 위한 SecureBoot 활성화 방법
Windows 11에서 만료된 Secure Boot 인증서 교체 방법
보안 부팅 인증서는 프로세스의 일부로 암호화 키(인증 기관 CA)를 사용하여 펌웨어 모듈이 신뢰할 수 있는 출처에서 제공되었는지 확인함으로서 장치 시작 초기 단계에서 악성 프로그램이 실행되는 것을 방지합니다.
보안 부팅 인증서는 만료일이 존재하며, 이는 컴퓨터가 보안 업데이트를 계속 받고 올바르게 부팅 할 수 있도록 합니다. 따라서 2011년 발급된 CA 인증서를 사용하고 있다면 2026년 6월에 만료되기 전에 2023년 인증서를 설치해야 합니다.
2024년 이후에 구입한 기기를 사용 중이라면 최신 인증서가 이미 설치되어 있을 가능성이 높습니다.
그러나 그 외의 컴퓨터에 대해서는 Mirosoft에서 현재 Windows 업데이트를 통해 새로운 보안 부팅 인증서를 배포하고 있습니다.
즉, 시스템이 업데이트를 계속 수신하도록 허용하는 것 외에는 Secure Boot를 업데이트하기 위해 수동으로 조치를 취할 필요가 없습니다.
적어도 인증서 만료일인 2026년 6월 보안 업데이트가 제공될 때까지는 별도 조치가 필요하지 않을 수도 있습니다.
다만 컴퓨터에 최신 인증서가 설치 되었다는 알림을 받지 못하므로, 기기에 추가 업데이트가 필요한지 확인하는 것이 중요합니다.
01 Secure boot 인증서 만료일 확인
Windows 11에는 펌웨어 만료일 확인이 가능한 기본 명령은 제공되지 않습니다. 그러나 다음 단계를 통해 2026년에 만료되는 인증서를 대체하는 업데이트 버전인 2023년 인증서가 있는지 확인할 수 있습니다.
키보드 단축키 Win + R 키를 눌러 실행 대화 상자를 열고 wt 입력 후 Ctrl + Shift + Enter 키를 눌러 관리자 권한으로 터미널을 실행합니다.
관리자 권한으로 실행한 터미널에서 다음 명령을 입력하고 Enter 키를 누릅니다.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'명령 실행 후 결과를 확인합니다.
- True : 2023년 인증서를 소지하고 있으며 2053년까지 유효합니다.
- False : 2011년도 인증서를 소지하고 있을 가능성이 높으며, 이는 2026년 6월 만료됩니다.
2023년 이외의 인증서(Flase 값) 대부분은 Microsoft의 2011년 인증서를 사용하며, 해당 인증서의 만료일 기간은 다음과 같습니다.
- Microsoft Corporation KEK CA 2011 (2026년 6월 24일)
- Microsoft Corporation UEFI CA 2011 (2026년 6월 27일)
- Microsoft Option ROM UEFI CA 2011 (2026년 6월 27일)
- Microsoft Windows Production PCA 2011 (2026년 10월 19일)
02 Windows 11에서 Secure boot 인증서 교체
Secure Boot 인증서 만료일이 가까워지면 Microsoft 및 컴퓨터 제조사(OEM)는 Windows 업데이트 또는 시스템 업데이트를 통해 펌웨어 업데이트를 자동으로 배포하여 새로운 2023년 CA 인증서를 등록합니다.
그러나 사용자가 원할 경우 자동으로 업데이트가 이루어지는 것을 기다리지 않고, 수동으로 보안 부팅 인증서를 업데이트할 수 있습니다.
⚠️ 주의 : 진행하기 전에 BitLocker 복구 키를 저장해 두었는지, BIOS(UEFI)가 최신 버전인지 확인합니다. 컴퓨터 펌웨어가 새 인증서를 지원하지 않으면 업데이트 후 시스템이 부팅되지 않을 수 있습니다. 또한 계속 진행하기 앞서 시스템 백업을 생성하는 것이 좋습니다.
키보드 단축키 Win + R 키를 눌러 실행 대화 상자를 열고 wt 입력 후 Ctrl + Shift + Enter 키를 눌러 관리자 권한으로 터미널을 실행합니다.
관리자 권한으로 실행한 터미널에서 다음 명령을 입력하고 Enter 키를 누릅니다.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'명령 실행 후 결과가 “False” 값으로 출력 된다면 사용 중인 보안 부팅 인증서는 CA 2011 버전일 가능성이 높으므로 교체가 필요합니다.
다음 명령을 입력하고 Enter 키를 눌러 레지스트리 키를 설정합니다.
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f이 명령은 운영 체제에 필요한 모든 인증서(PCA 2023 서명된 부팅 관리자)를 배포하도록 지시하는 레지스트리 키를 설정합니다.
여기서 “0x5944” 값은 모든 관련 인증서 업데이트를 활성화하는 완화 코드를 의미합니다.
Windows 11에는 이러한 인증서 변경 사항을 처리하는 작업이 있으며, 다음 명령을 사용하면 12시간을 대기하지 않고 수동으로 실행할 수 있습니다.
다음 명령을 입력하고 Enter 키를 눌러 인증서 변경 사항을 즉시 처리할 수 있도록 실행합니다.
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"업데이트를 시스템에 완전히 적용하기 위해서는 일반적으로 두 번의 재부팅이 필요합니다.
첫 번째 재부팅 후 시스템은 부트 관리자를 업데이트합니다. 두 번째 재부팅 후에는 UEFI 데이터베이스에 인증서 등록이 완료됩니다.
재부팅 후 관리자 권한으로 실행한 터미널에서 다음 명령을 입력하고 Enter 키를 누릅니다.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'- True : 2023년 인증서로 시스템이 안전하게 보호됩니다.
- False : 시스템을 여러 차례 다시 시작해도 결과가 False로 표시되면, 메인보드 펌웨어가 오래되어 새로운 인증서 형식을 지원하지 않는 것일 수도 있습니다.
만약 새로운 인증서가 적용되지 않을 경우 제조사 웹 사이트에서 Secure Boot 관련 BIOS 업데이트를 확인하고, 시도해보시기 바랍니다.
이때 업데이트 전 BitLocker 기능이 활성화된 경우 펌웨어가 새로운 키를 장치에 성공적으로 등록할 수 있도록 모든 드라이브에서 BitLocker 암호화를 일시적으로 중단하는 것이 좋습니다.
🔦 참고 : BIOS 업데이트 시 BitLocker 암호화 키는 TPM에 저장되며, 이 과정에서 저장된 키가 삭제될 수 있으므로 반드시 해당 기능은 중단합니다.
🔗 Windows 11 BitLocker 일시 중단 방법 (BIOS, TPM 펌웨어 업데이트 등)
마치며
Windows 11에서 만료된 Secure Boot 인증서 교체란 말은 다소 생소하게 어렵게 느껴질 수 있지만, 시스템 보안과 직결되는 중요한 작업입니다.
물론 본문에서 언급한 것처럼 2011년 CA 인증서를 사용하더라도 2026년 6월까지 아무런 문제 없이 사용할 수 있으며, Windows 업데이트를 통해 자동으로 새로운 인증서로 교체될 가능성이 높습니다.
다만 인증서가 만료된 상태를 방치하면 보안 부팅이 정상적으로 동작하지 않거나, 특정 프로그램, 게임 등에서 실행에 문제가 발생할 수 있습니다.
Secure Boot 인증서 교체는 단순한 설정 변경이 아니라 UEFI 펌웨어 및 운영 체제 부팅 구조 전반에 영향을 줄 수 있으므로, 사전에 충분히 이해하고 진행하는 것이 중요합니다.
컴퓨터 제조사에 따라 메뉴 구성이나 표현이 조금씩 다를 수 있으므로, BIOS 업데이트 등 작업이 필요한 경우 자신의 시스템 환경에 맞게 한 번 더 점검하는 것이 좋습니다.
🔗 Rufus에서 Windows CA2023 인증서가 포함된 Windows 11 25H2 USB 만드는 방법
