Microsoft 보안 부팅 인증서 만료 가이드

이 문서에서는 UEFI (Unified Extensible Firmware Interface) 보안 부팅을 위해 업데이트된 Microsoft 보안 부팅 인증서를 신뢰하도록 Compute Engine 보안 VM 인스턴스를 업데이트하는 방법을 안내합니다.

UEFI 보안 부트는 보안 VM이 VM 부팅 프로세스 중에 신뢰할 수 있는 소프트웨어와 펌웨어만 실행되도록 하는 데 사용하는 보안 표준입니다. 다양한 운영체제에서 보안 부트를 지원하기 위해 Microsoft는 다음 인증서를 관리합니다.

보안 부팅 인증서 만료

2025년 11월 7일 이전에 생성된 Compute Engine 인스턴스에서 보안 부팅을 사용하는 경우 잠재적인 부팅 문제를 방지하려면 인스턴스에 업데이트된 인증서가 설치되어 있어야 합니다. 이 업데이트는 BitLocker를 비롯한 전체 디스크 암호화 (FDE) 소프트웨어를 사용하거나 vTPM 플랫폼 구성 레지스터 (PCR)에 비밀을 봉인하는 컴퓨팅 인스턴스에도 똑같이 중요합니다. 이 가이드에서는 영향을 받는 인스턴스를 식별하고 필요한 업데이트를 수행하는 방법을 설명합니다.

2025년 11월 7일 이후에 생성된 컴퓨팅 인스턴스에는 업데이트된 인증서가 포함되어 있으며 추가 조치가 필요하지 않습니다. 또한 보안 부팅 인증서 만료는 다음 사항에 영향을 미치지 않습니다.

• 보안 비밀 봉인에 vTPM 플랫폼 구성 등록(PCR)을 사용하지 않고 보안 부팅이 사용 설정되지 않은 인스턴스 보안 VM 인스턴스를 만들 때 보안 부팅은 기본적으로 사용 설정되지 않습니다.
• Container-Optimized OS (COS)를 실행하는 인스턴스
• 자체 보안 부팅 플랫폼 키 (PK) 또는 키 등록 키 (KEK)를 제공하는 인스턴스

2025년 11월 7일 이전에 생성된 컴퓨팅 인스턴스의 경우 이 날짜 당일 또는 이후에 생성된 새 인스턴스로 이러한 인스턴스를 이전하는 것이 기본 권장사항입니다. 재생성할 수 없는 컴퓨팅 인스턴스의 경우 Google은 사용 가능한 경우 이 문서에 수동 업데이트 안내를 제공할 계획입니다.

보안 부팅 인증서 만료가 보안 VM에 미치는 영향

사용 설정된 경우 보안 VM은 부팅 시퀀스 바이너리의 서명을 확인하기 위해 신뢰할 수 있는 인증서 집합 (db 변수)을 유지하는 UEFI 펌웨어를 사용하여 보안 부팅을 적용합니다. 예를 들어 OS 업데이트로 인해 부트로더가 Microsoft UEFI CA 2023에 의해서만 서명된 부트로더로 대체되고 컴퓨팅 인스턴스의 펌웨어가 이 인증 기관을 신뢰하지 않는 경우 보안 부팅 확인이 실패하고 보안 부팅이 부팅 프로세스를 중지합니다.

이 전환에 대한 자세한 내용은 Microsoft 및 기타 OS 공급업체의 안내를 참고하세요.

• Windows 보안 부팅 인증서 만료 및 CA 업데이트 - Microsoft 지원
• 2026년 보안 부팅 인증서 변경사항: RHEL 환경 가이드 - Red Hat 고객 포털

운영체제 영향

2025년 11월 7일 이전에 생성된 보안 VM 인스턴스에서 보안 부팅을 사용 설정한 경우 게스트 OS가 Microsoft UEFI CA 2023 인증서를 신뢰하는지 확인해야 합니다. 새 인증서를 설치하지 않으면 2023년 인증서로만 서명된 부트로더가 포함된 업데이트 후 컴퓨팅 인스턴스에 잠재적인 부팅 문제가 발생할 수 있습니다. 아무런 조치를 취하지 않으면 2023 인증서로만 서명된 바이너리가 포함된 새 부트로더 또는 커널 업데이트를 적용할 수 없어 시스템이 특정 공격에 더 취약해질 수 있습니다. 2025년 11월 7일 이전에 생성된 컴퓨팅 인스턴스의 경우 2026년 중반 전에 인증서 업데이트를 적용하지 않으면 Windows 고객에게 시스템 이벤트 로그에 이벤트 ID 1801('보안 부팅 CA/키를 업데이트해야 합니다')이 표시될 수 있습니다.

• Google 제공 공개 이미지: 컴퓨팅 인스턴스를 다시 만드는 것이 좋습니다. 인스턴스를 다시 만들면 기본적으로 최신 펌웨어, 인증서, OS 구성을 사용하게 됩니다.
• 수동 업데이트: 인스턴스를 다시 만들 수 없는 경우 새 인증서로 인스턴스 펌웨어를 업데이트할 수 없습니다. Google에서 수동 업데이트 안내를 제공할 때까지 기다려야 합니다.
• 맞춤 이미지 또는 가져온 이미지: 이미지가 Microsoft UEFI CA 2023 인증서를 신뢰하는지 확인해야 합니다. 이 신뢰를 보장하려면 Google 제공 기본 이미지를 사용하여 맞춤 이미지를 다시 빌드하거나 적절한 인증서를 수동으로 배포하세요.

필요한 작업

2025년 11월 7일 이전에 보안 부트가 사용 설정된 상태로 생성된 컴퓨팅 인스턴스가 있거나, 전체 디스크 암호화 (FDE) 소프트웨어(Windows의 BitLocker 및 Linux의 기타 FDE 포함) 또는 Windows의 가상 보안 모드(VSM), vTPM 플랫폼 구성 등록기 (PCR)의 비밀 봉인을 사용하는 경우 다음 섹션에 자세히 설명된 작업을 실행해야 합니다. 2025년 11월 7일 이전의 머신 이미지로 롤백하는 경우에도 이 안내가 적용됩니다.

중요: BitLocker를 비롯한 전체 디스크 암호화 (FDE) 소프트웨어를 사용하는 경우 변경하기 전에 복구 키에 액세스할 수 있는지 확인하세요.

영향을 받는 컴퓨팅 인스턴스 식별 및 업데이트 계획

2026년 6월 24일까지 영향을 받는 컴퓨팅 인스턴스를 식별하고 다음 단계에 따라 업데이트를 준비하는 것이 좋습니다.

1. 인스턴스 식별: gcloud compute instances list 명령어를 사용하여 보안 부팅이 사용 설정되어 있고 기준일 이전에 생성된 인스턴스를 식별할 수 있습니다.

   gcloud compute instances list \
   --filter="creationTimestamp < '2025-11-07' AND shieldedInstanceConfig.enableSecureBoot=true" \
   --format="table(name, zone, creationTimestamp, shieldedInstanceConfig.enableSecureBoot:label=SECURE_BOOT)"
   

2. 데이터 무결성 보장: 변경을 진행하기 전에 최신 데이터 백업이 있고 전체 디스크 암호화 (FDE) 또는 BitLocker 복구 키에 액세스할 수 있는지 확인합니다.

3. 권장사항: 필요한 인증서가 포함된 2025년 11월 7일 이후에 생성된 컴퓨팅 인스턴스로 이전하세요.

4. 수동 업데이트 안내: Google은 테스트가 완료되고 필요한 명령어를 사용할 수 있게 되면 이 페이지에서 장기 실행 인스턴스의 인증서를 수동으로 업데이트하는 방법을 안내할 예정입니다. 현재 Google에서는 db 또는 KEK 인증서를 수동으로 업그레이드하지 않는 것이 좋습니다. 추가 안내를 기다립니다.

인증

컴퓨팅 인스턴스의 펌웨어와 OS를 업데이트한 후 2023 인증서가 있는지 확인할 수 있습니다.

Linux

1. efi-readvar가 없으면 efitools 패키지를 설치합니다. Linux에 설치하려면 배포판에 맞는 명령어를 실행합니다.

   Debian/Ubuntu

   sudo apt update && sudo apt install efitools
   

   RHEL/CentOS/Fedora

   sudo yum install efitools
   

   SLES

   sudo zypper install efitools
   

2. KEK 및 db 변수에서 인증서를 확인합니다.

sudo efi-readvar -v KEK | grep "KEK 2K CA 2023"
sudo efi-readvar -v db | grep "UEFI CA 2023"

Windows(PowerShell)

관리자 PowerShell 프롬프트에서 다음을 실행합니다. 각 명령어는 True을 반환해야 합니다.

# Check for Microsoft KEK 2K CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

# Check for UEFI CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'UEFI CA 2023'

문제 해결

2026년 6월 이후에 보안 부팅 오류로 인해 인스턴스가 부팅되지 않으면 다음 옵션 중 하나를 시도하여 복구할 수 있습니다.

• 보안 부팅을 일시적으로 사용 중지: 이렇게 하면 인스턴스를 부팅하여 업데이트를 적용할 수 있습니다.

  참고: 보안 부팅을 사용 중지하면 PCR 값 (특히 PCR7)이 변경되어 비밀 봉인 또는 디스크 암호화 기능에 영향을 줄 수 있습니다.

  보안 부팅을 사용 중지하려면 다음 명령어를 실행합니다.

  gcloud compute instances update INSTANCE_NAME --no-shielded-secure-boot
  

  인스턴스가 부팅된 후 필요한 운영체제 및 부팅 구성요소 업데이트를 적용한 다음 보안 부팅을 다시 사용 설정합니다.

  gcloud compute instances update INSTANCE_NAME --shielded-secure-boot
  

• 백업에서 복원: 부팅 문제가 시작되기 전에 생성된 머신 이미지에서 인스턴스를 복원합니다.

• 인스턴스 다시 만들기: 인스턴스를 다시 만들고 스냅샷에서 데이터를 복구합니다.

문제가 계속되거나 도움이 필요한 경우 Cloud Customer Care에 문의하세요.

자주 묻는 질문(FAQ)

이 섹션에서는 Microsoft 보안 부팅 인증서 만료에 관한 일반적인 질문에 대한 답변을 제공합니다.

보안 부팅 인증서는 언제 만료되나요?

Microsoft의 보안 부팅 인증서가 2026년에 만료됩니다. 구체적으로는 다음과 같습니다.

• 지원 종료가 임박한 가장 중요한 두 인증서는 서명하는 Microsoft Corporation UEFI CA 2011(2026년 6월 만료)과 서명하는 Microsoft Windows Production PCA 2011(2026년 10월 만료)입니다.

만료가 Windows 및 Linux 고객 모두에게 영향을 미치나요?

예, 만료는 Windows 및 Linux 고객 모두에게 영향을 미칩니다.

인증서 만료의 영향을 받는 대상은 누구인가요?

이 문제는 2025년 11월 7일 이전에 생성된 장기 실행 컴퓨팅 인스턴스가 있는 고객에게만 영향을 미칠 수 있습니다. 영향을 받는 인스턴스는 다음과 같습니다.

• 보안 부팅이 사용 설정된 Linux 및 Windows VM
• 가상 신뢰 플랫폼 모듈(vTPM) 플랫폼 구성 등록 (PCR)을 사용하여 비밀을 봉인하는 인스턴스
• 디스크 암호화(BitLocker) 또는 가상 보안 모드 (VSM)를 사용하는 Windows 컴퓨팅 인스턴스
• 전체 디스크 암호화 (FDE)를 사용하는 Linux VM
• 2025년 11월 이전 머신 이미지로 롤백되는 인스턴스

인증서 만료의 영향을 받지 않는 사용자는 누구인가요?

다음 카테고리 중 하나에 해당하는 경우 영향을 받지 않습니다.

• 보안 부트, vTPM PCR의 보안 비밀 실링 또는 전체 디스크 암호화 (BitLocker 포함)를 사용하지 않습니다.
• Container-Optimized OS (COS) Linux 인스턴스를 사용합니다.
• 자체 플랫폼 키 (PK) 또는 키 등록 키 (KEK)를 제공합니다. 자체 PK 또는 KEK를 사용하는 경우 Compute Engine은 맞춤 키를 사용하므로 기본 인증서의 만료가 영향을 미치지 않습니다. 하지만 키를 관리하고 인증서가 최신 상태인지 확인해야 합니다.

아무 조치도 취하지 않으면 어떻게 되나요?

아무런 조치를 취하지 않으면 2023 인증서로만 서명된 바이너리가 포함된 새 부트로더 또는 커널 업데이트를 적용할 수 없어 시스템이 특정 공격에 더 취약해질 수 있습니다. 2025년 11월 7일 이전에 생성된 컴퓨팅 인스턴스의 경우 2026년 중반 전에 인증서 업데이트를 적용하지 않으면 Windows 고객에게 시스템 이벤트 로그에 이벤트 ID 1801('보안 부팅 CA/키를 업데이트해야 합니다')이 표시될 수 있습니다.

인증서 만료에 대비하려면 어떻게 해야 하나요?

준비하려면 다음 단계를 따르세요.

• 식별: 보안 VM, 보안 부트, 전체 디스크 암호화 (FDE), BitLocker 또는 vTPM PCR을 사용하는 소프트웨어의 사용을 감사합니다.
• 복구 키 및 백업: 복구 키(FDE/BitLocker용)와 최신 데이터 백업을 즉시 사용할 수 있는지 확인합니다.
• 이미지 관리: 기존 맞춤 이미지를 식별하고 사용을 중단하거나 새 인증서가 포함되도록 합니다.
• 이전: 2025년 11월 7일 이전에 생성된 장기 실행 컴퓨팅 인스턴스를 새 인스턴스로 다시 만드는 것이 좋습니다. 새 인스턴스에는 필요한 인증서가 이미 포함되어 있기 때문입니다.
• 참고: 현재 Google에서는 인증서를 수동으로 업그레이드하는 것을 권장하지 않습니다. 이 문서에 게시될 Google의 향후 안내를 기다리세요.

2026년 6월 이후 시스템 부팅이 중지되면 어떻게 해야 하나요?

이 문제로 인해 부팅이 실패했다고 생각되면 문제 해결을 참고하세요.

Microsoft 보안 부팅 인증서 만료는 어떻게 Google Cloud 처리되나요?

Google Cloud 은 2025년 11월 7일 이후에 생성된 컴퓨팅 인스턴스의 새 인증서를 자동으로 포함했습니다. 2025년 11월 7일 이전에 생성된 컴퓨팅 인스턴스를 계속 실행하려는 고객만 향후 수동 업데이트를 적용하면 되지만, Google에서는 2025년 11월 7일 이후에 생성된 인스턴스로 이전하는 것을 권장합니다.

다음 단계

• 보안 VM에 대해 자세히 알아보세요.
• 보안 VM 옵션을 수정하는 방법을 알아보세요.
• 보안 부트에 대해 자세히 알아보세요.