개요
윈도우 10과 함께 제공하고 있는 PC 등에는 기본적으로 Secure boot 기능이 적용되어 있다. 시스템을 안전하게 유지하지만 특정 버전의 리눅스 및 이전 윈도우를 실행하는 경우에 선택적으로 보안부팅을 해야할 수 있다. 그리고 필자가 알아보게된 결정적 이유는 윈도우 11로의 업데이트를 하는 과정에서 조립PC 구입시 보안부팅이 설정이 안되어 있었다. UEFI BIOS 화면에서 Secure boot 가 잘못 설정되어 있다면 윈도우 설치 진행이 안될 수도 있다. 이때 적용 여부를 체크해야하는데 그 방법에 대해 알아보고자 한다.,
UEFI 펌웨어 또는 Bios 진입 없이 간단하게 체크 가능하고 그대로 하면 쉽게 할 수 있다.
Secure boot란
부팅방식으로 UEFI를 이용할 때, 펌웨어의 유효성을 체크하는 것을 말한다.
서명이 있는 신뢰할 수 있는 펌웨어를 통해서만 부팅을 허용하는 일종 안전 장치다. 보안 부팅을 사용하도록 설정 하고 완전히 구성한 경우 컴퓨터는 맬웨어등으로부터 감염 그리고 공격에 안전할 수 있다. 윈도우 설치를 위해 USB 부팅 디스크를 만들게 되는데 이때 USB 제조사에서 적용해둔 신뢰할 수 있는 Firmware가 없어지게 된다. 이때 Secure boot가 활성화된 상태라면 이 활성을 해제 한 후 설치가 가능하다.
UEFI모드와 레거시 모드는 무슨 차이
UEFI모드
Unified Extensible Firmware Unterface의 약어로
최신 PC용의 표준 펌웨어 인터페이스이다. 기술이 발전하여 기기의 온도와 전력 모니터링, 원격보안, 가상화 및 T프로세서 확장 등으로 바이오스를 발전 시켜야할 필요성이 커지게되고 기존의 인터페이스를 대체하기 위해 생겨난 유틸이다.
장점은 2테라 바이트 이상의 고용량 하드 디스크 제어가 가능하고 하드웨어를 진단하지 않고 빠른 OS부팅이 가능하며 보안 부팅과 같은 다양한 기능을 적용할 수 있다. 바이오스 설정 화면도 GUI가 크게 개선 되어 사용성이 좋다.
레거시 바이오스(Legacy BIOS)
20년 전 운영 체제를 가동을 위해 설계된 오래된 유틸리티로 16비트 시스템, 최대 1MB의 메모리밖에 액세스 할 수 없다. 오래된 BIOS 펌웨어는 최신의 PC와 호환 되는 것이 조금씩 어려워 지고 있기 때문에, 레거시 바이오스를 대신해서 2010년 이후 UEFI모드로 전환이 진행되고 있다. 하지만 아직 레거시 모드를 디폴트로 제공하는 업체도 아직 많다.
최신 PC에서는 레거시 바이오스와 UEFI 모드 둘다 부트 모드로 적용되어 선택적으로 진행 할 수 있게 해주고 있다.
Secure Boot 적용 여부 체크 방법
윈도우 버튼 옆 검색창에 시스템 정보를 검색
BIOS 모드 및 보안 부팅 상태를 확인
BIOS 모드에 UEFI가 표시되고 보안 부팅 상태에 해제 이 표시되면 보안 부팅이 비활성화된 것
활성화하는 방법
2단계를 거쳐야함
1.윈도우가 설치된 MBR을 GPT로 변환
2.메인보드 BIOS 설정에서 UEFI모드 활성
우선 계정을 로컬계정으로 변경
1단계전 확인사항
1.win10 버전 v1703 이상
2.legacy bios 또는 UEFI 사용 여부 확인
3.win10 설치된 드라이브 파티션 3개 미만
4.bitlocker 사용시 드라이브 암호 해독 및 비활성화
위 조건 중 하나라도 미만족시 변환 불가, 윈도우 재설치 없이 변환할 수 없음
레거시로 표시된 경우 전환이 가능
버전 확인은 윈도우키 + R 누르구 winver 입력 현재 버전 확인
윈도우키와 영문R을 누르면 해당 OS의 버전을 확인할 수 있음
이 작업의 위험성을 인지하고 백업을 받고 진행해야함
윈도우 + I 단축키를 눌러 설정창에서 좌측의 복구 메뉴에서 고급 시작 옵션의 지금다시 시작 버튼 클릭
단축키인 윈도우와 영문i를 누르면 설정이나오고 거기에서 복구탭
시스템이 다시 시작되고 고급 시작 옵션 화면이 표시되면 문제해결 메뉴 클릭
복구탭에서 다시시작을 누르고 옵션 선택
고급 옵션 선택
옵션선택을 누르면 PC초기화와 고급옵션이나옴 거기서 고급옵션을 선택
명령 프롬프트 선택
문제해결 > 고급옵션에 들어오면 나오는 명령 프롬프트
명령 프롬프트를 실행 할 계정을 선택
명령프롬프트상 계정
선택한 계정의 비밀번호를 입력
- 계정 비밀번호 설정하지 않은 경우는 계속버튼을 눌러줌
명령프롬프트 창에서 계정 암호를 입력하는 모습
명령 프롬프트 창에서 다음 명령어를 실행 후 시스템 호환이 가능한 경우 별다른 오류가 표시되지 않고, "Validation completed successfully" 메세지가 표시 됩니다.
<명령어>
mbr2gpt /validate
mbr2gpt/balidate 입력한 후 모습
GPT 변환 유효성 검사가 완료되면 다음 명령어를 실행하여 MBR>GPT 변환을 수행합니다.
<명령어>
mbr2gpt /convert
명령어 실행
명령어 실행시 새로운 EFI 파티션이 생성되고 필요한 모든 UEFI부팅 파일 및 기타 GPT 구성 요소 파일이 해당 파티션에 설치 됩니다. 마지막으로 UEFI 모드로 시스템을 부팅할 수 있도록 BCD를 업데이트합니다.
UEFI 모드 변환하는 모습
UEFI 모드 변환 성공 메세지가 표시되면 이제 명령 프롬프트를 닫고 시스템을 다시 시작합니다.
시작하면서 UEFI를 사용하도록 설정안했다면 부팅과정시 DEL키, F12 등 (프로세스별 실행키)로 들어가서 적용이 되어있는지 확인하여야 합니다.
주의점 윈도우를 GPT로 변환 후 메인보드가 Legacy BIOS가 아닌 UEFI를 사용하도록 설정해야하며 변경 없이 부팅하면 윈도우를 찾을 수 없다는 오류 메세지가 표시됩니다.
혹시 BIOS 모드에서 UEFI모드 변환 부팅에 실패 하면 BIOS 모드로 변경 후 이전 수행한 백업으로 윈도우를 복원하여야 합니다.
그래서
CSM지원 비활성화로 설정
제 프로세스에서 지원하는 보안부팅은 CSM지원을 비활성화하였을 때 나타나게 되어있었습니다. 그래서 비활성화를 하면 아래 보안부팅 메뉴가 생기고 거기에서 비활성화를 활성화로 바꿔주면 됩니다. 그리고 설정 저장 후 재부팅
윈도우 + R 단축키를 눌러서 msinfo32 들어가면
시스템 정보 상에 보이는 BIOS 모드 UEFI 그리고 보안부팅의 상태
보안부팅이 생긴 모습
윈도우 보안 > 장치 보안에도 보안부팅이 생긴것을 알 수 있습니다..