Microsoft는 최근 Windows 생태계에서 Secure Boot에 사용되는 암호화 인증서가 곧 업그레이드될 예정임을 사용자에게 알렸습니다. Windows 8 출시 이후 15년 이상 사용된 초기 Secure Boot 인증서는 2026년 6월 만료되며, 시스템 시작 단계에서 보안을 유지하기 위해 새로운 인증서로 교체해야 합니다.
보안 부팅은 UEFI 사양의 일부로 도입된 펌웨어 수준 보안 기능입니다. 핵심 목적은 운영 체제가 시작되기 전에 잠재적인 악성 부팅 코드가 로드되는 것을 방지하는 것입니다. 따라서 암호화 노후화로 인해 오래된 자격 증명이 공격의 약점이 되는 것을 방지하려면 신뢰 루트(인증서 및 키)를 정기적으로 업데이트해야 합니다. Microsoft Windows 서비스 및 제공 부서의 프로그램 관리자인 Nuno Costa는 공식 블로그를 통해 기존 인증서를 폐기하고 새 인증서를 도입하는 것이 업계 표준 관행이며 플랫폼이 항상 최신 보안 기대치를 준수하는 데 도움이 된다고 말했습니다.
Microsoft는 실제로 2023년에 보안 부팅 인증서의 새 버전을 출시했지만 원래 인증서는 Windows 8부터 부팅 프로세스의 유효성을 검사하는 역할을 담당해 왔습니다. 사용자와 기업은 마더보드 제조업체에서 출시한 UEFI 펌웨어 업데이트를 포함하여 신뢰할 수 있는 다양한 채널을 통해 새 인증서를 얻을 수 있습니다. 동시에 Microsoft는 새 인증서를 월별 패치 및 보안 업데이트에도 통합할 예정이며, 이는 Windows 업데이트를 통해 자동으로 배포됩니다. 엔터프라이즈 환경에서는 다양한 관리 도구를 사용하여 푸시 프로세스를 사용자 정의할 수 있습니다. Microsoft는 이 인증서 업데이트를 Windows 생태계에서 가장 큰 규모의 공동 보안 유지 관리 작업 중 하나로 설명합니다.
보안 부팅은 펌웨어 계층에서 실행되고 PC 부팅 방식에 직접적인 영향을 미치므로 이 업그레이드를 위해서는 Microsoft가 하드웨어 제조업체, OEM 및 기타 파트너와 긴밀히 협력하여 광범위한 부팅 실패와 같은 연쇄 반응을 방지하기 위해 수백만 대의 Windows 장치에 대한 펌웨어를 업데이트해야 합니다. 아직 Microsoft의 지원 주기에 있는 장치(확장 보안 업데이트 프로그램에 참여하는 Windows 11 및 Windows 10 시스템 포함)는 Windows 업데이트를 통해 새 인증서를 받을 수 있지만, 구형 PC는 이 업데이트를 설치할 수 없으며 상대적으로 덜 안전합니다.
Costa는 여전히 이전 2011 인증서를 사용하는 장치는 단기적으로는 정상적으로 부팅되지만 "다운그레이드된" 보안 상태로 간주되며 이러한 장치는 향후 새로운 펌웨어 수준 보호 기능을 받지 못할 수도 있다고 지적했습니다. 새로운 부팅 계층 취약점이 발견됨에 따라 해당 완화 조치를 설치할 수 없는 경우 관련 시스템의 노출이 계속 확대되고 장기적으로 호환성 문제가 발생할 수도 있습니다. 예를 들어 보안 부팅을 사용하는 업데이트된 운영 체제, 펌웨어, 하드웨어 또는 소프트웨어는 로드할 수 없습니다. Dell과 같은 PC 제조업체는 사용자가 장치 상태를 쉽게 확인할 수 있도록 시스템이 새로운 보안 부팅 인증서를 지원하는지 확인하기 위한 지침을 제공했습니다.
보안 부팅을 전혀 활성화하지 않는 컴퓨터의 경우 일상적인 작업은 일반적으로 직접적인 영향을 받지 않습니다. 그러나 Secure Boot는 탄생 이후 구현 및 관리 문제를 노출시키는 "PKfail"을 포함하여 많은 심각한 보안 사고에 직면했습니다. 그럼에도 불구하고 이 메커니즘은 점점 일부 온라인 게임 및 MOBA에 대한 필수 요구 사항이 되고 있습니다. 즉, Linux 또는 이전 버전을 실행하지만 여전히 충분히 강력한 게임 하드웨어를 실행하는 사용자는 이러한 차세대 게임에 참여할 때 배제되거나 더 높은 진입 장벽에 직면할 수 있습니다.