2021년 6월 27일 일요일

Secure Boot 설정/해제 선택 문제에 대해...

 요즘은 대부분 UEFI로 (GPT방식의 SSD/HDD 저장장치)윈도우즈 10 OS를 설치할 것입니다.
(UEFI 방식은, 바이오스 진입을 위한 펌웨어 관리(부팅시 키보드 연타 miss를 걱정 하지 않아도 되며)와 보다 안전하고 인증된 시스템 펌웨어에 의한 Secure boot 를 지원할 것입니다)

문제는 가정용PC 특히 이것 저것 설치나 하드웨어 교체가 잦은 사용자에게서 Secure Boot의 효용성입니다.

다음은 Secure Boot 설정과 해제를 통해 경험했던 것입니다.
(추가로 이전 FAST BOOT 게시물에서, 댓글로 누군가 Secure Boot에 대한 요청도 있어 미루다 이번에 게시하게 되었습니다)

*이 옵션 활용은, UEFI only로 OS가 설치되어 있어야 합니다.

*주 : 메인보드 제조사마다 다르니, 따라하지 말고 "참고 자료"로만 읽어두기를 바랍니다.

살펴 보시죠.

UEFI로 설치했다면, 아시다시피 윈도우 10 설정으로 바이오스를 진입할 수 있습니다.

그런데, 부팅시 진입할 수 있는데 왜 이걸 만들어 놓았을까요?

윈도우8/10부터 레거시 방식(보안이 안되는)을 버리고 UEFI를 도입하고 Secure Boot를 지원한 이유와 관계가 있습니다.

Secure Boot를 설정하면, 누군가 아무나 쉽게 부팅시 바이오스를 진입할 수 없게 되기 때문입니다.
(윈도우 10 로그인 암호를 설정했다면, 로그인 후 윈도우 10 안에서 바이오스를 진입하게 됩니다)

*참고 :

개인용 PC라며 평소 "로그인 암호 없이" 진입하는 환경이라면, Secure Boot 옵션은 의미가 없으니 더 알아 보지 않도록 합시다.
(실제로 로컬 암호 없이 사용하는 사람이 많은 것으로 압니다)

*Windows 11 OS 설치시 "로컬 암호"를(10과 달리 11은 마소에 로그인해야 함) 지원하지 않는 이유도 이것과 관련이 있습니다.
(네, 압니다. 어떻게든 우회 가능하겠죠)


UEFI - GPT 설치 사용자는 이렇게 로그인된 설정 - 복구 옵션을 통해서 UEFI 펌웨어 설정을 들어갈 것입니다.
(아마 Legacy(MBR) 시스템으로 설치한 윈도10 사용자는 이것을 해본 적이 없을 것입니다)

Legacy(MBR)로 설치했다면, 위 방식의 진입을 지원하지 않기 때문입니다.

*주 : legacy 사용자는 Secure Boot를 사용할 수 없습니다.
(레거시 MBR 설치 사용자는, 예를 들어 윈도11을 사용할 수 없습니다)


한 번도 Secure Boot를 설정하지 않았다면, 사용자(Custom)모드 일 것이며 "Not Installed"라고 표시될 것입니다.
(제조사마다 이것은 다 다를 것입니다)

Not installed 상황을 연출하기 위해, "Clear Secure Boot Data"를 적용하다가 "PC 먹통"현상으로 간 떨어질 뻔 했으니 각별히 주의하십시오.


Secure Boot 세부 항목 설명입니다.
(Force Secure Boot Defaults 와 Clear Secure Boot Data)

Install intel Platform Key 는 Secure Boot 설정시, 내부 키 값을 설치하겠다는 옵션입니다.


위 그림은 게시물을 위해 연출된 사진입니다.

재부팅 후, 나중에 설치된 것을 다시 바이오스에서 확인한 그림입니다.
(주 : 재부팅 해야 바뀌기 때문에, 현재는 바로 설치됨(installed)으로 보여지지 않습니다)

위 그림은 이미 한 번 설정한 상태이기에, StandardInstalled 라고 표시되어 있습니다.
(착각한 것일 수는 있는데, 보안적용 후 msinfo32에서 확인되지 않아 디폴트값으로 재 적용한 그림입니다)

이로써, Secure Boot를 설정되게 됩니다.

바이오스 저장을 하고 나가면 재부팅될 것입니다.


그런데, 뭔가 이상합니다.

더 이상 키보드 연타로 바이오스를 진입하는 "퀵 메뉴"가 보이지 않게 됩니다.
(퀵메뉴(진입키)키가 없다면, 바이오스 뿐만 아니라 부팅USB 메모리를 통해 설치도 할 수 없게 됩니다)

표면적인 예시이지만, 이것만으로도 여러가지 상황에서 불편할 수 있다는 것을 예측할 수 있습니다.


msinfo32를 열어보면, 위와 같이 "보안 부팅"이 설정된 것을 알 수 있습니다.

그럼...

해제는 어떻게 할까요?

보안 부팅(Secure Boot)이 설정된 Windows 10 에서는 더 이상 키보드 연타로 바이오스를 수정할 수 없게 됩니다.
(무조건 암호로 로그인한 제어판 설정을 통해 펌웨어로 진입해야 합니다)

다시 앞선 과정을 거쳐 바이오스로 진입합니다.


Secure Boot 에서 "언체크"를 합니다.
(단순히 이것 뿐입니다)


저장을 하면 재부팅 될 것입니다.


다시 원래대로 퀵메뉴가 활성화 된 것을 알 수 있습니다.

이 기능의 실험으로, 자신의 환경에 따라 곤란한 일이 발생 할 수 있음을 알 수 있을 것입니다.


Msinfo32를 통해 살펴보면, 보안 부팅이 해제된 것을 알 수 있습니다.



[기타]



요점은 보안 부팅은 안전한 시스템을 제공하지만, 1인용 PC일 경우 평소 사용시 더 불편할 수도 있습니다.
(적응하면 불편하지 않을 수도 있지만, 개인 PC들은 예측없이 다양하게 만지는 경우가 많습니다)

특히, 게임용이면 말이죠.

문제시 평소 쉽게 리셋(물리적)을 눌러 진입하던 바이오스를, 안전 부팅이 설정되어 있다면 윈도우10을 부팅을 해야만 진입 할 수 있을 것입니다.
(그런데, 고장으로 부팅 못하면 어떻게 될까요?)

뭐 어떻게든 할 수 있겠지만, 쓸데없이 피곤해집니다.

부팅 메모리를 통해 뭔가 작업을 한다면, 그것 또한 쉽게 할 수 없을 것입니다.
(해제하지 않으면 아무것도 할 수 없을 수 있습니다)

미처 생각하지도 못하고, 하드웨어를 교체했다면 곤란한 상황에 빠질 수 있습니다.

근본적으로 Secure Boot는 내가 아닌 제3자의 접근을 막기 위함이기 때문입니다.
(하지만, 자칫 그 3자에 자신이 포함될 수 있습니다)




[잡담]




*개인적으로 이런 옵션을 게시물로 작성할 때마다 "다소 책임감?"을 느낍니다.
(초보자가 잘 못 따라하다 돈과 시간이 들어가는 상황이 생길 수 있기 때문입니다) 

2~3일 신중하게 고민했습니다.

FAST BOOT 옵션 처럼, 안전 부팅도 적용하면 더 불편함을 느끼는 것은 무엇 때문인지...
(분명히 안전하고 빠르고 좋은 것인데..)

==

*팁 : 전원 인가 후, 모니터 화면이 Windows OS 진입까지의 화면 블랙 현상은, FAST BOOT ON 상태일 때 나타납니다.
(Windows 화면 진입 전에 각종 정보를 표시하고 싶다면 OFF 하십시오)

==

*다시 해제하게 되었습니다 : 저도 쓸데없이 실험으로 많이 만집니다.
(정말 필요한 것이 아니라면, Secure boot 까지 가정(개인)에서는 쓰지 않아도 될 것 같습니다)


*Windows 11 에서는 아마도 반 강제적으로 Secure Boot를 사용할 가능성이 있지만, 여전히 선택 사항입니다.
(Windows 11의 배경은, Windows 10 환경의 Legacy(MBR) + CSM 호환성과 보안의 잇슈 사이에 마소가 보안을 택한 OS일 것입니다)


UEFI / GPT / FAST BOOT / Secure Boot / TPM 등은 Legacy(바이오스 MBR)에 비해 혁신적이고 안전해지고 빨라집니다.
(하지만, 조립 D.I.Y 커스텀의 잇점이 사라지는 딜레마에 고민할 것입니다)

"점점 애플 및 대기업 완제품을 닮아가네?" ----> Windows 11??



*팁 : 


위 그림은 Asus 보드의 Secure Boot가 활성화된 그림입니다.

*경고 : 

UEFI로 설치했다 하더라도, Secure Boot를 사용하지 않거나 지원하지 않는 시스템에서 Windows UEFI 모드 선택하면, 무한 바이오스 진입을 경험할 수 있습니다.

해결 : 이럴 경우 Secure Boot를 끄거나 "기타 OS"를 선택하면 부팅이 될 것입니다.
(제조사 바이오스 기본값은 "기타OS" 입니다)



UEFI로 윈도우가 설치되어 있다면, Secure Boot를 지원하는 PC인지 알 수 있습니다.
(주 : 위 그림에 표시된 정보 결과에 Secure Boot 암호는 설정되지 않았습니다)

단지, OS가 UEFI로 설치됨으로 인한 옵션이 활성화되었다 라는 표시일 뿐입니다.


댓글 6개:

  1. 보안 부팅에 대한 자세한 정보가 없었는데....
    유용한 정보 얻어 갑니다.

    답글삭제
  2. 조립피시 사용자에겐 아주 위험할 수 있는 기능이네요. 딱히 필요도 없지만 개인적 만족감때문에 시큐어부트를 켜보고 사용해볼까 했는데 이 글을 읽고 생각을 접었습니다

    답글삭제
    답글
    1. 댓글 감사합니다.
      보안이 중요한 회사나 기업에서는 사용하는 것이 좋겠지만, 가정에서(개인PC) 이것을 사용한다고 딱히 잇점은 없었습니다.
      (말하자면, 이것을 설정한다고 멀웨어나 바이러스가 안 걸리는 것은 아니니까요)

      삭제
  3. 윈도우 11 업데이트 문제발생으로 검색중에 이 글을 봅니다.. 조립컴이라서 시큐리티 부팅이 설정 안되있어 윈도우 11 요구사항에 충족하는데도 윈도우 업데이트에선 여전히 최소시스템 요구사항에 충족되지 않는다고 뜨네요.. 시큐리티 부팅을 설정후 윈도우 11 업데이트 한 다음에 다시 시큐리티 부팅을 꺼볼까도 싶은데 따라하지말고 참고만 하라고 하셔서 고민되네요..

    답글삭제
    답글
    1. 무슨 말씀인지 이해하였습니다.
      보안에서는, 윈도11 지원 조건 프로그램(마소 기본)을 실행하면, TPM과 보안 부팅을 지원합니다 라는 메시지가 있으면 윈도11을 설치할 수 있습니다.
      (게시물 하단 그림 참고)
      안전부팅 암호설정 여부와는 관계없는 것으로 알고 있습니다.
      하지만, 최근에 어떻게든 윈도11이 변경되었을 수도 있습니다.

      기본적으로 UEFI로 설치해야 안전부팅은 작동합니다.
      혹시, 레거시 MBR로 설치하신 것은 아닌지 확인해보십시오.

      삭제

소중한 의견, 가급적 빠른 답변을 드리겠습니다.