윈도우 11은 이전 버전들과 달리 강화된 보안 요구사항을 적용하고 있습니다. 특히 TPM 2.0과 Secure Boot를 필수 최소 요구사항으로 지정하면서 많은 사용자들이 업그레이드 과정에서 혼란을 겪고 있습니다. 이러한 요구사항은 단순히 사용자를 불편하게 만들기 위한 것이 아니라, 랜섬웨어와 루트킷 같은 고급 위협으로부터 시스템을 보호하기 위한 필수 조치입니다.
최근 5년 내에 출시된 PC 대부분은 TPM 2.0을 지원하지만, 실제로 펌웨어 설정에서 활성화되어 있지 않은 경우가 많습니다. 또한 Secure Boot는 UEFI 부팅 모드에서만 작동하므로, 레거시 BIOS를 사용하는 시스템은 추가 작업이 필요합니다. 이 글에서는 윈도우 11의 핵심 보안 기능들을 상세히 살펴보고, 각 기능을 올바르게 설정하고 활용하는 방법을 안내합니다.
윈도우 PC 전반의 보안 설정에 대해서는 더 포괄적인 접근이 필요합니다.
TPM 2.0의 역할과 중요성
TPM(Trusted Platform Module)은 컴퓨터 메인보드에 내장되거나 CPU에 통합된 보안 전용 칩입니다. 암호화 키, 디지털 인증서, 비밀번호 등 중요한 보안 정보를 하드웨어 수준에서 안전하게 저장하고 관리합니다. 소프트웨어만으로는 접근할 수 없는 독립적인 보안 영역을 제공하기 때문에, 악성 소프트웨어가 시스템에 침투하더라도 보안 키를 탈취하기 어렵습니다.
윈도우 11에서 TPM 2.0을 필수 요구사항으로 지정한 이유는 명확합니다. BitLocker 드라이브 암호화, Windows Hello 생체 인증, 하드웨어 기반 보안 컨테이너 등 현대적인 보안 기능들이 모두 TPM에 의존하기 때문입니다. TPM 1.2 버전도 일부 보안 기능을 제공하지만, SHA-256 암호화 알고리즘 지원, 더 강력한 키 생성 능력 등 TPM 2.0의 개선사항들이 오늘날의 보안 위협에 대응하는 데 필수적입니다.
현재 사용 중인 PC에 TPM 2.0이 탑재되어 있는지 확인하는 방법은 간단합니다. Windows 검색창에 ‘tpm.msc’를 입력하고 실행하면 TPM 관리 도구가 열립니다. 여기서 TPM 버전, 제조사 정보, 상태를 확인할 수 있습니다. 만약 ‘호환되는 TPM을 찾을 수 없습니다’라는 메시지가 표시된다면, BIOS/UEFI 설정에서 TPM이 비활성화되어 있거나 하드웨어가 지원하지 않는 것입니다.
Secure Boot의 작동 원리
Secure Boot는 UEFI 펌웨어에 내장된 보안 기능으로, 컴퓨터 부팅 시 디지털 서명이 검증된 운영체제와 드라이버만 로드할 수 있도록 제한합니다. 전통적인 부트킷과 루트킷 공격은 운영체제가 로드되기 전 부팅 과정을 감염시켜 탐지를 회피하는데, Secure Boot는 바로 이 지점을 보호합니다.
부팅 과정에서 UEFI 펌웨어는 운영체제 로더의 디지털 서명을 확인합니다. 마이크로소프트나 하드웨어 제조사가 승인한 인증 키로 서명된 부트로더만 실행이 허용됩니다. 만약 악성 소프트웨어가 부트 섹터를 변조했다면 서명 검증에 실패하여 부팅이 중단됩니다. 이를 통해 운영체제가 로드되기도 전에 위협을 차단할 수 있습니다.
Secure Boot를 사용하려면 시스템이 UEFI 모드로 부팅되어야 합니다. 레거시 BIOS 모드에서는 이 기능을 지원하지 않습니다. 기존에 레거시 모드로 윈도우를 설치했다면, MBR2GPT 도구를 사용하여 데이터 손실 없이 UEFI 모드로 전환할 수 있습니다. 다만 이 작업은 시스템 파티션 구조를 변경하므로 반드시 전체 백업을 수행한 후 진행해야 합니다.
| 부팅 모드 | Secure Boot 지원 | 파티션 형식 | 윈도우 11 호환성 |
|---|---|---|---|
| UEFI | 지원 | GPT | 완전 호환 |
| 레거시 BIOS | 미지원 | MBR | 호환 불가 |
BIOS/UEFI에서 보안 기능 활성화하기
윈도우 11 설치나 업그레이드를 위해서는 BIOS/UEFI 설정에서 TPM과 Secure Boot를 활성화해야 합니다. 메인보드 제조사마다 설정 메뉴 구조와 명칭이 다르지만, 기본적인 접근 방법은 유사합니다. 컴퓨터를 재시작한 후 부팅 초기 화면에서 Del, F2, F10 키 중 하나를 눌러 펌웨어 설정에 진입합니다.
TPM 설정은 보통 ‘Security’, ‘Advanced’, ‘Trusted Computing’ 같은 메뉴에 위치합니다. Intel 플랫폼에서는 ‘PTT(Platform Trust Technology)’, AMD 플랫폼에서는 ‘fTPM(Firmware TPM)’ 또는 ‘PSP fTPM’으로 표시됩니다. 이 옵션을 ‘Enabled’로 변경하면 CPU에 내장된 펌웨어 기반 TPM이 활성화됩니다. 일부 고급 메인보드는 별도의 TPM 모듈을 장착할 수 있는데, 이 경우 ‘Discrete TPM’과 ‘Firmware TPM’ 중 하나를 선택해야 합니다.
Secure Boot 활성화는 보통 ‘Boot’ 메뉴에서 진행합니다. 먼저 ‘Boot Mode’를 ‘UEFI’로 설정하고, ‘Secure Boot’ 옵션을 ‘Enabled’로 변경합니다. 일부 시스템에서는 ‘CSM(Compatibility Support Module)’을 비활성화해야 Secure Boot를 켤 수 있습니다. CSM은 레거시 BIOS 호환성을 제공하는 기능으로, UEFI 모드에서는 필요하지 않습니다. 설정을 변경한 후 ‘Save & Exit’로 저장하고 재부팅하면 변경사항이 적용됩니다.
Windows Hello와 TPM 연동
Windows Hello는 얼굴 인식, 지문 인식, PIN을 사용하는 생체 인증 시스템입니다. 기존의 비밀번호 방식보다 훨씬 안전하면서도 편리한 로그인 경험을 제공합니다. 이 기능의 핵심은 생체 정보와 인증 키가 TPM 칩 내부에 암호화되어 저장된다는 점입니다. 서버로 전송되지 않고 로컬 장치에만 보관되므로 데이터 유출 위험이 근본적으로 차단됩니다.
Windows Hello를 설정하려면 설정 앱에서 ‘계정 > 로그인 옵션’으로 이동합니다. 얼굴 인식을 사용하려면 IR(적외선) 카메라가 필요하고, 지문 인식은 지문 인식 센서가 탑재된 노트북이나 외장 지문 리더기가 필요합니다. 하드웨어가 없다면 PIN 방식을 사용할 수 있는데, 일반 비밀번호와 달리 PIN은 장치에 종속되어 원격 공격으로부터 안전합니다.
PIN 설정 시 최소 4자리 숫자를 입력하지만, 보안을 강화하려면 6자리 이상의 영문자와 특수문자를 포함한 복잡한 PIN을 사용하는 것이 좋습니다. PIN 입력 실패 횟수가 누적되면 자동으로 잠금 상태가 되며, BitLocker 복구 키로만 해제할 수 있습니다. 이러한 다층 보안 구조가 TPM 2.0을 기반으로 작동하여 무차별 대입 공격을 효과적으로 차단합니다.
BitLocker 드라이브 암호화 활용
BitLocker는 윈도우에 내장된 전체 디스크 암호화 솔루션입니다. 드라이브 전체를 암호화하여 노트북 분실이나 도난 시에도 데이터를 보호합니다. TPM 2.0과 결합하면 사용자가 별도로 비밀번호를 입력하지 않아도 정상 부팅 시 자동으로 복호화되며, 하드웨어 변조나 부팅 파일 손상이 감지되면 복구 키를 요구합니다.
윈도우 11 Pro, Enterprise, Education 에디션에서 BitLocker를 사용할 수 있습니다. Home 에디션은 ‘장치 암호화’ 기능만 제공하는데, 이는 BitLocker의 간소화 버전으로 TPM이 있으면 자동으로 활성화됩니다. BitLocker를 수동으로 활성화하려면 제어판에서 ‘BitLocker 드라이브 암호화’를 검색하여 실행하고, 암호화할 드라이브를 선택한 후 절차를 따릅니다.
암호화 과정에서 가장 중요한 것은 복구 키를 안전하게 백업하는 것입니다. 복구 키는 48자리 숫자로 구성되며, TPM 오류나 하드웨어 교체 시 드라이브에 접근하는 유일한 방법입니다. 마이크로소프트 계정에 온라인으로 저장하거나, USB 드라이브에 텍스트 파일로 백업하거나, 종이에 인쇄하여 안전한 장소에 보관해야 합니다. 복구 키를 분실하면 암호화된 데이터를 영구적으로 잃게 됩니다.
보안 기능 호환성 확인 및 문제 해결
윈도우 11로 업그레이드하기 전에 PC 상태 검사 앱을 실행하여 시스템이 모든 요구사항을 충족하는지 확인해야 합니다. 마이크로소프트 공식 웹사이트에서 ‘PC 상태 검사’ 도구를 다운로드하여 실행하면, TPM 2.0, Secure Boot, CPU 호환성 등을 자동으로 점검하고 문제가 있는 항목을 알려줍니다.
가장 흔한 문제는 TPM이 펌웨어에서 비활성화되어 있는 경우입니다. 이 경우 앞서 설명한 방법으로 BIOS/UEFI 설정에서 활성화하면 해결됩니다. Secure Boot 오류는 보통 레거시 BIOS 모드로 부팅하는 시스템에서 발생하는데, UEFI 모드로 전환하면 됩니다. 다만 MBR 파티션 테이블을 GPT로 변환하는 과정이 필요하므로 전문 지식이 없다면 전문가의 도움을 받는 것이 안전합니다.
일부 오래된 CPU는 TPM 2.0을 지원하지 않습니다. 윈도우 11은 공식적으로 Intel 8세대(2017년 이후) 및 AMD Ryzen 2000 시리즈(2018년 이후) 이상을 요구합니다. 이보다 오래된 시스템은 별도의 TPM 2.0 모듈을 구매하여 메인보드의 TPM 헤더에 장착할 수 있지만, 모든 메인보드가 이를 지원하는 것은 아닙니다. 메인보드 사양을 확인하거나 제조사 웹사이트에서 호환 모듈 목록을 참조해야 합니다.
보안 정책 및 향후 전망
마이크로소프트는 윈도우 11에서 TPM 2.0과 Secure Boot를 필수 요구사항으로 유지하며 앞으로도 이러한 기조를 강화할 것으로 보입니다. 클라우드 기반 서비스, 원격 근무 환경, IoT 기기 연동 등 보안 위협이 복잡해지는 상황에서 하드웨어 기반 보안은 선택이 아닌 필수가 되었습니다. 향후 윈도우 업데이트에서는 가상화 기반 보안(VBS), 하이퍼바이저 보호 코드 무결성(HVCI) 등 더 고급 기능들이 기본으로 활성화될 가능성이 높습니다.
기업 환경에서는 이미 TPM과 Secure Boot를 활용한 제로 트러스트 보안 모델을 구축하고 있습니다. Intune, Azure AD와 연동하여 장치 상태를 지속적으로 모니터링하고, 보안 요구사항을 충족하지 못한 장치는 자동으로 네트워크 접근을 차단합니다. 개인 사용자도 이러한 보안 기능을 적극적으로 활용하여 랜섬웨어, 피싱, 신원 도용 같은 위협으로부터 자신을 보호해야 합니다.
윈도우 10을 계속 사용하는 사용자라면 보안 설정에 더욱 주의를 기울여야 합니다.
자주 묻는 질문 (FAQ)
❓ 윈도우 11 설치 시 TPM 2.0이 없으면 어떻게 해야 하나요?
2017년 이전 출시된 CPU는 TPM 2.0을 지원하지 않을 수 있습니다. 메인보드에 TPM 헤더가 있다면 별도의 TPM 2.0 모듈을 구매하여 장착할 수 있습니다. 헤더가 없거나 모듈 구매가 어렵다면, 윈도우 10을 계속 사용하거나 하드웨어 업그레이드를 고려해야 합니다. 레지스트리 수정으로 우회 설치하는 방법도 있지만 보안이 약화되므로 권장하지 않습니다.
❓ Secure Boot를 활성화하면 리눅스 듀얼 부팅이 안 되나요?
최근 주요 리눅스 배포판(Ubuntu, Fedora 등)은 Secure Boot와 호환되는 부트로더를 제공하므로 정상적으로 듀얼 부팅할 수 있습니다. 다만 일부 오래된 배포판이나 커스텀 커널을 사용하는 경우 서명 문제로 부팅이 차단될 수 있습니다. 이 경우 UEFI 설정에서 'Secure Boot Mode'를 'Standard'에서 'Custom'으로 변경하고 키를 추가하거나, 임시로 Secure Boot를 비활성화해야 할 수 있습니다.
❓ BitLocker 복구 키를 분실했을 때 어떻게 하나요?
마이크로소프트 계정에 복구 키를 백업했다면 account.microsoft.com/devices에서 확인할 수 있습니다. Azure AD에 가입된 기업 장치라면 관리자가 복구 키를 보유하고 있을 수 있습니다. 어디에도 백업하지 않았다면 드라이브를 복호화할 방법이 없으며 데이터가 영구적으로 손실됩니다. 따라서 BitLocker 활성화 시 반드시 복구 키를 여러 위치에 백업해야 합니다.
❓ TPM이 활성화되어 있는데도 윈도우 11 설치가 안 됩니다.
TPM 버전이 1.2인지 확인하세요. 윈도우 11은 TPM 2.0만 지원합니다. tpm.msc를 실행하여 사양 버전을 확인할 수 있습니다. 또한 Secure Boot가 활성화되어 있는지, UEFI 모드로 부팅하는지 점검해야 합니다. 일부 메인보드에서는 펌웨어 업데이트가 필요할 수 있으니 제조사 웹사이트에서 최신 BIOS 버전을 확인하세요.
❓ Windows Hello PIN을 잊어버렸을 때 어떻게 복구하나요?
로그인 화면에서 'PIN을 잊으셨나요?'를 클릭하면 마이크로소프트 계정 비밀번호로 인증하여 PIN을 재설정할 수 있습니다. 오프라인 계정을 사용하는 경우 보안 질문에 답변하거나 복구 드라이브로 부팅하여 계정을 복구해야 합니다. 너무 많은 시도 실패로 장치가 잠겼다면 BitLocker 복구 키를 입력해야 할 수 있습니다.