1. 크라우드스트라이크 발 윈도우 컴퓨터 장애 발생으로 인한 파장
미국의 사이버 보안업체 크라우드스트라이크가 배포한 보안 프로그램이
마이크로소프트 윈도우와 충돌해 수많은 윈도우 기반 컴퓨터에서 블루 스크린이 뜨는 문제가 발생했습니다.
이로 인해 항공사, 주요 은행, TV 방송사, 의료 기관, 다양한 사업체의 서비스가 일시적으로 중단됐습니다.
유나이티드, 델타, 아메리칸 등 항공사들이 운항 시간을 늦추거나 취소하면서 승객들은 공항에 발이 묶였고,
영국 방송사인 스카이 뉴스(Sky News)는 일시적으로 방송을 중단했습니다.
유럽, 호주, 인도의 은행 고객들은 자신의 온라인 계정에 접근할 수 없었고,
영국의 진료실과 병원들은 환자 기록 및 예약 시스템을 사용할 수 없게 됐습니다.
2. 윈도우와 충돌한 보안 프로그램 : 소프트웨어 팔콘(Falcon)
‘엔드포인트 위협 탐지 및 대응(endpoint detection and response)’ 소프트웨어인 팔콘(Falcon)은
회사의 컴퓨터 시스템을 사이버 공격과 악성 소프트웨어에서 보호하기 위해 설계된 소프트웨어 입니다.
업데이트된 팔콘은 예상대로 작동하지 않았고,
윈도우 소프트웨어를 사용하는 컴퓨터에서 충돌을 일으키면서 재부팅이 불가능해진 것이었습니다.
가정용 컴퓨터의 경우 영향을 크게 받지 않았는데
이는 대규모 조직 단위에서 주로 사용되는 프로그램이기 때문입니다.
3. 이에 대한 크라우드스트라이크 사의 최신 공지글 요약 (2024.07.24 업데이트)
2024년 7월 19일, CrowdStrike는 Windows 센서에 대한 업데이트를 배포했으나,
이로 인해 시스템 충돌(블루스크린)이 발생했습니다.
해당 작업은 보안을 강화하기 위한 정기적인 업데이트 작업이었으며,
센서가 새로운 위협을 실시간으로 탐지하고 대응할 수 있도록 하기 위함이었습니다.
그러나 이번 업데이트에는 테스트 과정에서 발견되지 않은 오류가 포함되어 있었습니다.
이 오류는 특정 행동 패턴을 감지하는 과정에서 시스템 충돌을 일으켰습니다.
CrowdStrike는 문제를 빠르게 인지하고 영향을 받은 업데이트를 롤백하여 문제를 해결했습니다.
이번 사건을 통해 회사는 업데이트 과정에서의 검증 절차를 더욱 강화할 계획입니다.
3. 장애 해결 방법
윈도우 컴퓨터에 관리자 접근 권한이 있다면,
크라우드스트라이크는 아래의 단계를 따를 것을 권장하고 있습니다.
1. 윈도우를 안전 모드 또는 윈도우 복구 환경에서 부팅한다.
2. C:\Windows\System32\drivers\CrowdStrike 디렉토리로 이동한다.
3. C-00000291*.sys 파일을 찾아 삭제한다.
4. 컴퓨터를 정상 모드로 부팅한다.
위의 해결 방법은 쉽지만 누군가가 컴퓨터에 물리적으로 접근해야 합니다.
즉, 원격 장치일 경우 IT 팀이 어떤 장치에 문제가 발생했는지 일일이 추적해야 하며
이를 추적하는 과정에서 시간이 소요되게 됩니다.