brunch

라이킷 15 댓글 공유

You can make anything
by writing

C.S.Lewis

프로젝트 리스트 바로가기
계정을 잊어버리셨나요?
by 안철준 Jul 24. 2024

크라우드스트라이크 사태 정리

지난 7월 19일 금요일이었죠. 전 세계적인 IT 대란이 발생했습니다.


지난 7월 19일 금요일이었죠. 전 세계적인 IT 대란이 발생했습니다.

크라우드스트라이크 (CrowdStrike) 라는 사이버 보안 기업의 제품을 패치하는 과정에서 심각한 시스템 충돌이 발생한 겁니다.

빠르게 대처 방안이 배포되고 복구가 진행되고 있지만,

피해 규모가 너무 크고 광범위해서 복구에 시간이 많이 소요될 것으로 보입니다.

며칠이 지난 지금, 조금 차분히 이번 크라우드스트라이크 사태를 정리해 보려 합니다.

혹시 잘못된 정보가 있다면 피드백 부탁 드립니다


뉴저지주 뉴어크 공항의 블루스크린 (출처 : Atlanta 중앙일보)





문제의 시작


한국시간 7월19일 금, 13시9분, 크라우드스트라이크 사의 팰콘 센서라는 EDR (Endpoint Detection and Response) 보안 소프트웨어의 패치가 배포되었습니다.

그런데 이 패치가 자동으로 설치된 마이크로소프트 윈도우에서 오류가 발생하기 시작합니다. 

문제를 파악한 크라우드스트라이크는 패치를 배포한 지 1시간 37분 후에 콜백 조치를 합니다.

하지만 그 사이에 수많은 PC, 서버 및 시스템이 인터넷에 연결된 상태였고, 

연결된 윈도우 시스템에는 자동으로 이 패치가 설치 되었죠.

설치된 업데이트는 윈도우 시스템과 충돌이 일으키기 시작합니다. 

충돌이 발생한 PC는 블루 스크린이 뜨면서 결국 시스템 멈춰 버리게 됩니다.  

크라우드스트라이크 측은 해당 이슈가 보안 사고나 사이버 공격은 아니며,

원도우 호스트용 업데이트에서 발견된 결함으로 윈도우 OS 시스템에서만 문제가 발생했다고 발표했습니다.





피해의 규모


단순한 오류였지만 피해는 전세계적으로 퍼져나갔습니다.

항공, 교통, 병원, 행정, 방송, 게임, 광고, 서비스업, 은행 등 전방위적인 피해가 속출했습니다

장애가 발생한 시스템 또는 PC의 수가 850만 대가 넘을 거라는 추정치도 있습니다

특히 항공 시스템이 먹통이 되는 바람에 수많은 항공편이 결항 또는 지연되는 사태가 발생했는데요,

7월19일 한국시간 오후7시 기준으로 전세계적으로 1,390편의 항공편이 결항되었다는 기사도 있었습니다

영국 NHS 의뢰 시스템이 마비되어 신규 환자 예약, 진료 및 처방 등 모든 의료 활동이 중단되는 사태도  벌어졌습니다.

영국 Sky News는 생방송이 중단되는 상황이 발생했고, 프랑스나 호주도 비슷한 상황이었습니다.

피해 규모나 범위가 너무 광범위해서 완전한 복구까지는 몇 주 정도가 소요될 것으로 예상하고 있습니다.




원인과 대처


원인은 크라우드스트라이크 보안 솔루션 ‘펠컨 센서’의 업데이트 버젼의 오류로 알려졌구요.

커널 모드의 소프트웨어의 경우 시스템과의 충돌 가능성이 있기 때문에 배포 전에 충분한 검증과 테스트가 이루어져야 하는데 이 부분의 오류나 실수가 있었던 것으로 보고되고 있습니다.

빠르게 대처 방법이 배포가 되었는데요.

윈도우를 안전모드로 부팅해서 특정 파일을 찾아 삭제 후 재부팅하면 해결된다는 방법입니다.

하지만 문제가 발생한 PC가 부팅이 되지 못하는 상태이기 때문에

IT 관리자가 원격으로 고치거나 조처하기 어려워서 개별 PC를 직접 해결해야 하는 어려움이 있습니다.

물리적으로 접근하기 어려운 서버나 기타 보안 암호화가 되어 있는 상태인 경우 복구에는 더 많은 리소스와 시간이 필요할 수도 있겠죠.





의견들


크라우드스트라이크 사의 팰콘 센서는 PC, 노트북, 서버, 라우터 등과 같은 엔드포인트에서 멀웨어나 공격 행위 등의 의심스러운 활동들을 감지하기 위해 심층적인 시스템 억세스가 필요한 바이러스 백신 솔루션입니다.

새로운 위협에 대비하기 위해 정기적으로 자동적으로 업데이트해야 하고, 이러한 자동 설치의 권한을 미리 부여받게 됩니다.

통상적으로 보안과 안정성을 강화하는 순기능으로 동작되는 이 프로세스가 이번처럼 시스템 전체를 훼손할 수도 있다는 문제가 드러난 거죠 

멀웨어나 보안 공격들이 더욱 진화되고 정교화되면서 방어를 위한 백신 소프트웨어는 지속적인 연결 그리고 더 광범위한 제어가 필요하게 되는데, 이런 과정이 전체 시스템과의 충동 가능성을 높힐 수 있다는 겁니다.

그래서 사실 크라우드스트라이크의 이번 이슈는 모든 보안 솔루션이 잠재적으로 가질 수 있는 위험 요소라고 보는 게 맞겠죠.

또 하나, 이렇게 광범위하게 피해의 규모가 커진 이유를 클라우드와 네트워크 때문으로 얘기하기도 합니다. 

수많은 IT 인프라들이 서로 연결되어 있기 때문에 이번 사태와 같은 연쇄 반응이 일어나게 되었다는 겁니다.

이런 규모의 사태는 사실 누구도 예상하지 못했던 결과이지요.

이제 앞으로 이런 유사한 위기가 재발하는 것을 어떻게 막을 것인지에 대한 깊은 질문이 계속될 것입니다.





이번 <수요레터>는 크라우드스트라이크의 IT 중단 사태에 대해 살펴 봤습니다.

다음에도 또 흥미로운 이야기로 준비하겠습니다.



촌장 드림





















keyword
안철준 소속 잇츠맨 직업 CEO

채널온티비의 대표입니다. 잇츠맨( IT'sMAN) 콘텐츠 큐레이터이며, 테크 | IT | 트렌드 | 책 에 관심을 가지고 매주 <수요레터>를 발행합니다.
구독자 55
작가의 이전글 구글은 왜 32조원에 보안 기업을 인수하려는 걸까?
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari