문제 원인은 TPM (Trusted Platform Module / 신뢰할 수 있는 플랫폼 모듈) 내에 저장된 인증서와 현재 OS 상의 인증서가 일치하지 않게 되어 TPM에 저장되어 있는 인증서가 무효화 되었고, 이 때문에 TPM에 저장되어 있는 PIN, 지문으로는 로그인을 할 수 없게 된 것입니다.
부연 설명 드리면, 갤럭시북2 프로 제품은 Measured Boot가 적용되어 있습니다.
Measured Boot란 부트 로더, 부팅 드라이브 등 현재 Device 의 Hash 값을 TPM 에 저장한 후 ROOT 인증서로 서명하여 부팅 시에 TPM 내의서명된 Hash 값과 OS 가 가지고 있는 값이 같은지를 Check 하는 기능입니다.
Device Driver, OS Update, BIOS Update 등이 모두 Hash 값 변경에 영향을 줄 수 있는데 BIOS와 OS 업데이트가 같이 진행되면서 OS가 시스템이 변경된 수준의 변경 사항이 발생한 것으로 판단하여 TPM 상의 인증서를 무효화했고 이에 Windows Hello 로그인 문제가 발생하였습니다.
OS에서도 보안이 전반적으로 강화되고 있는 추세인데, 갤럭시북2 프로 제품의 경우 타사에서는 아직 적용하지 않은 신규 보안 기능까지 적용되어 있어서 예상치 못한 결과가 발생한 것 같습니다.
BIOS 개선 부분과 OS 개선 부분 모두 반드시 적용되어야 하는 사항이어서, 문제 발생 시 로그인을 할 수 없는 부분에 대해 마이크로소프트와 개선 방법에 대해서는 협의를 진행하고 있습니다.
이미 기존의 PIN/지문을 제거 후 신규 등록하셨을 것으로 추정되는데, 이 경우는 더 이상 문제가 발생하지는 않을 것으로 예상하고 있습니다.
혹시 계속해서 문제 발생하지 않을까 우려가 되시면, 조금 번거로운 과정이긴 하지만 아래 방법대로 진행하시면 TPM을 초기화 및 인증서 업데이트가 진행되어 인증서 미일치 문제를 근본적으로 해결하실 수 있습니다.
BIOS Setup (전원을 켠 후 F2 키 입력) 진입
Boot 메뉴에서 Secure boot control 를 Off 로 설정
Security → TPM Configuration → TPM Device를 Off 로 설정
Windows full boot and full shutdown (Shift 키를 누른 상태에서 시스템 종료 진행)
BIOS Setup > Secure Boot control 와 TPM Device를 On 으로 설정
Windows full boot and full shutdown
※ 단, Bitlocker나 지문인식 등이 Enable되어 있는 경우 문제가 발생할 수 있으니 모두 해제 후 진행
