18일 발생한, 글로벌 보안기업 크라우드스트라이크(CrowdStrike)의 업데이트 사고는 전 세계 IT 시스템에 심각한 피해를 발생시켰다. 역사상 최악의 IT 사고 중 하나라고 전문가들은 말한다. 이번 사고의 근본 원인은 크라우드스트라이크의 팔콘(Falcon) 센서 소프트웨어의 결함 있는 업데이트였다. 이로 인해 윈도우 시스템이 부팅 루프에 빠지거나 블루스크린 오류(BSOD)를 발생시키는 등 대규모 장애가 발생했다. 크라우드스트라이크 EDR을 사용한 2만9천여 개 기관에서 심각한 장애가 발생한 것이다.

이번에 발생한 최악의 업데이트 사고는 마이크로소프트 애저(Microsoft Azure)와 아마존 웹서비스(AWS), 구글 클라우드 등 주요 플랫폼에서 윈도우 가상 머신이 충돌하고 예기치 않게 재부팅되면서 전세계 항공사, 금융 기관, 병원 등 다양한 산업 분야에 연쇄적인 대규모 피해를 발생시켰다.

업데이트된 파일은 C-00000291*.sys라는 드라이버 파일로, 윈도우 시스템에서 치명적인 오류를 일으켰다. 이 파일은 메모리 스캐닝 기능에서 버그를 노출시켜 CPU 사용량을 급격히 증가시키고, 시스템 성능을 심각하게 저하시켰다. 또한, 설치 프로그램(MSIExec)과 크라우드스트라이크 소프트웨어 간의 충돌로 인해 여러 인스턴스의 msiexec.exe가 동시에 실행되면서 오류가 발생했다. 이러한 문제는 크라우드스트라이크의 업데이트 관리 및 검증 프로세스의 부족함을 드러냈다​.

◆이 사고로 발생한 전세계 주요 피해 사례

이번 크라우드스트라이크 업데이트 사고로 전 세계적으로 수많은 기업과 기관들이 큰 피해를 입었다. 크라우드스트라이크 업데이트 사고로 피해를 입은 기업들은 크라우드스트라이크의 보안 소프트웨어와 함께 마이크로소프트 윈도우 운영체제를 사용하는 기업들이었다. 주요 피해 사례는 다음과 같다:

▲항공사 및 공항 피해

미국의 아메리칸 항공, 델타 항공, 유나이티드 항공 등 주요 항공사들이 영향을 받았다. 연방항공청(FAA)은 여러 항공편의 운항을 중단시켰다. 유럽에서는 영국의 개트윅, 루턴, 스탠스테드 공항, 네덜란드의 스히폴 공항 등에서 체크인 절차에 문제가 발생했다. 아시아에서는 인도의 여러 공항에서도 승객의 탑승권 등록 문제로 혼란이 발생했다.

이번 사고로 전체 항공편의 23%만이 제시간에 출발했으며 1,300편 이상의 항공편이 취소되거나 지연됐다. 뉴질랜드에서 영국에 이르는 공항들은 금요일 아침 일찍부터 특히 승객의 탑승권을 등록할 수 없는 스캔 장애 상황이 발생했다. 인도와 북아일랜드에서는 출발 보드와 탑승권을 수기로 작성했다. 유럽 전역의 저가 항공사인 라이언에어를 포함한 항공사들은 온라인 체크인에 장애가 발생했다.

미국에서는 연방항공청(FAA)이 아메리칸 에어라인, 유나이티 및 델타 일부 한공편을 운항 중단시켰다. 델타항공은 여행할 예정인 승객에게 날짜에 따라 적은 비용 또는 무료로 항공편을 재예약할 수 있는 여행 면제권을 발행하며 사태를 수습하려 했다.

네덜란드 항공사 KLM은 시스템 중단으로 인해 항공편 처리가 불가능해졌으며, 문제 해결 전까지 대부분의 운영을 중단해야 했다고 밝혔다.

▲의료 기관 피해

미국의 여러 주에서는 병원에서 IT 시스템 문제로 인해 비긴급 수술과 절차가 취소되었다. 특히 매사추세츠 종합병원에서는 대규모 소프트웨어 중단으로 많은 환자들이 영향을 받았다. 영국에서는 국립보건서비스(NHS) 예약 시스템과 약국의 결제 시스템에 문제가 발생했다. 북아일랜드의 의료 서비스는 환자 기록에 접근할 수 없는 상황으로 인해 심각한 영향을 받았으며, 진료소의 3분의 2가 피해를 입었다.

▲금융 기관 피해

영국의 런던 증권 거래소가 다운되었고, 로이드 은행, 비자 등 주요 금융 기관에서 서비스 중단이 발생했다. 미국의 JP모건 체이스 등 금융 기관의 직원들이 회사 시스템에 접근하는 데 어려움을 겪었다. 이외 여러 국가의 은행에서 서비스 중단이 발생했다.

▲911, 소매점, 미디어, 선거시스템, 올림픽 조직위 등 피해

미국의 여러 주에서는 긴급 911 전화 서비스가 중단되었고, 알래스카, 미네소타, 애리조나, 인디애나, 오하이오, 뉴햄프셔 등이 영향을 받았다. 소매업에서는 테스코, 모리슨스, 세인즈버리 등의 소매점에서 결제를 처리할 수 없었다. 미디어 및 통신 업계에서도 MTV, VH1, 스카이, 일부 BBC 채널 등이 피해를 입었다​.

또 마리코파 카운티 선거에도 영향을 미쳐 특정 투표 장소에서 문제가 발생해 혼란을 겪었으며, 파리 올림픽 조직위원회도 IT 운영이 영향을 받아 유니폼 및 인증서 배달에 문제가 발생했다고 보고했다. 이외에도 스포츠 및 철도 운영사 등이 영향을 받았다. 이들은 모두 크라우드스트라이크의 팔콘 센서 제품을 사용하고 있었다.

◆크라우드스트라이크의 대응 방안

크라우드스트라이크는 문제를 인식한 후 조치를 취했다. 회사는 문제를 파악하고 수정 업데이트를 배포했다. 이 회사가 제시한 대응방안은 다음과 같다.

-문제 파일 삭제: 영향을 받은 시스템에서 C-00000291*.sys 파일을 삭제하고 시스템을 재부팅하도록 지침을 제공했다.

-복구 절차 제공: 안전 모드 또는 윈도우 복구 환경으로 부팅해 문제 파일을 삭제하고, 클라우드 및 가상 환경에서는 추가 단계를 통해 문제를 해결하도록 안내했다.

-고객 지원: 고객들에게 지원 포털을 통해 최신 업데이트를 제공하고, 문제 해결을 위한 가이드라인을 지속적으로 제공하고 있다.

◆피해 보상은...

크라우드스트라이크는 이번 사고로 피해를 입은 2만9천여 고객들에게 사과하며, 문제 해결을 위해 최선을 다하고 있다고 밝혔다. 현재로서는 구체적인 보상 계획이 발표되지 않았으나, 서비스 크레딧 제공이나 금전적 보상이 논의될 가능성이 있다. 고객들은 크라우드스트라이크의 지원 포털을 통해 최신 업데이트와 복구 절차에 대한 정보를 확인할 수 있다​.

◆전문가들의 비판적 의견

크라우드스트라이크의 업데이트 사고에 대해 여러 보안 전문가들이 비판적인 의견을 제시했다. 주요 비판 내용은 다음과 같다.

▲투명성 부족 및 책임 회피

모드제로 파스칼 젠커와 독립보안연구원 캐빈 뷰몬트는 크라우드스트라이크가 초기 사고 발생시 문제의 책임을 마이크로소프트의 문제로 돌리려 한 점을 비판하며, 충분한 테스트 없이 업데이트를 배포했다고 지적했다​.

▲업데이트 테스트 부족

이셋 제이크 무어와 오픈SSF 옴카 아라사라트남 등 여러 전문가들도 크라우드스트라이크가 소프트웨어 업데이트 전 충분한 테스트를 하지 않아 대규모 장애가 발생했다고 비판했다. 이들은 또한 단일 벤더에 의존하는 시스템적 위험을 경고하고, 이번 사건이 이를 잘 보여주는 사례라고 언급했다​.

◆크라우드스트라이크는 어떤 회사

크라우드스트라이크는 2011년에 설립된 엔드포인트 보호를 전문으로 하는 사이버 보안 회사로, 텍사스 오스틴에 본사를 두고 있다. 크라우드스트라이크는 주로 클라우드 기반의 보안 솔루션을 제공하며, 엔드포인트 보호, 위협 탐지 및 대응, 보안 관리 등의 서비스를 제공한다. 2024년 기준으로 전 세계적으로 2만9천여 개의 고객사를 보유하고 있다. 크라우드스트라이크의 주요 제품인 팔콘(Falcon) 플랫폼은 다양한 산업 분야에서 EDR 보안솔루션으로 중요한 역할을 하고 있다.

백악관에 따르면, 조 바이든 대통령은 이 대규모 IT 중단 사태에 대해 보고를 받았으며, 행정부 관계자들이 영향을 받은 기관들과 크라우드스트라이크와 연락을 취하고 있다고 밝혔다.

한편 크라우드스트라이크(CrowdStrike) 사장 겸 CEO인 조지 커츠(George Kurtz)는 "맥과 리눅스는 영향을 받지 않는다. 이번 사고는 보안 사건이나 사이버 공격이 아니다. 문제가 파악되었고 수정 패치가 배포되었다. 최신 업데이트는 지원 포털을 참조해주시기 바라며, 회사 웹사이트에서 완전하고 지속적인 업데이트를 제공할 것”이라고 사태 수습에 대해 언급했다.

◆”클라우드 기반 서비스 이용할 때 SLA 등을 어느 정도 자세히 작성해 문제 발생시 충분한 보상을 받을 수 있도록 할지에 대한 논의 필요”

크라우드스트라이크 업데이트 사건은 2024년 가장 중요한 IT 사건 중 하나로 기록될 것으로 보인다. 이번 사건은 글로벌 IT 시스템의 취약성을 드러냈으며, 강력한 비상 계획과 인프라의 다변화 필요성이 대두됐다.

기업들은 이번 사고를 통해 IT 인프라의 다변화와 업데이트 전 충분한 테스트의 중요성을 다시 한번 인식하게 되었다. 이번 사건은 단일 보안 소프트웨어에 의존하는 것이 얼마나 큰 위험을 초래할 수 있는지를 잘 보여주는 사례가 될 것으로 보인다.

한편 크라우드스트라이크는 이번 사고로 인해 법적 처벌과 보상 요구에 직면할 수 있으며, 구체적인 피해 규모는 아직 정확히 파악되지 않았으나, 각 기업이 겪은 직접적인 경제적 손실과 운영 중단으로 인한 간접적인 손실을 고려할 때, 수백만 달러에 이를 것으로 보인다고 전문가들은 말한다. 또한, 이번 사고로 인해 기업들의 평판이 손상되고, 고객 신뢰가 저하되는 등 장기적인 영향도 무시할 수 없다.

이번 사건의 총 피해 규모는 앞으로 몇 주 동안 결과를 종합해야 더 명확해질 것으로 보이며, 크라우드스트라이크는 고객들에게 사과하고 문제 해결을 위한 지원을 계속하겠다고 언급했다. 하지만 사고 시점 이후로 크라우드스트라이크 주가는 19% 이상 곤두박질 치고 있는 상황이다. 

김승주 고려대학교 교수는 “이번 사태를 통해 공공기관이나 금융기관들이 클라우드 기반 서비스를 이용할 때 SLA(Service Level Agreement) 등을 어느 정도 자세히 작성해 문제 발생시 충분한 보상을 받을 수 있도록 할지에 대한 논의가 활발히 이루어지길 바란다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★