2024년 크라우드스트라이크 사고

2024년 크라우드스트라이크 사고에 대한 내용이다.

결함이 있는 크라우드스트라이크 드라이버가 설치된 윈도우 서버 시스템에서 캡처된 죽음의 블루스크린 스크린샷

2024년 7월 19일, 미국 사이버 보안 회사인 크라우드스트라이크가 제작한 보안 소프트웨어의 잘못된 업데이트로 인해 마이크로소프트 윈도우를 실행하는 수많은 컴퓨터와 가상 머신이 충돌했다. 전 세계의 기업과 정부는 정보 기술 역사상 최대 규모의 중단으로 묘사되는 사태로 인해 영향을 받았다.^[1]

붕괴된 산업 중에는 항공사, 공항, 은행, 호텔, 병원, 제조, 주식 시장, 방송 등이 있었다. 긴급 전화번호, 웹사이트 등 정부 서비스도 영향을 받았다. 오류가 발견돼 당일 수정됐지만, 사고로 인해 항공 항공편이 계속 지연되고 전자 결제 처리에 문제가 발생하며 응급 서비스가 중단되는 등의 문제가 발생하고 있다.^[2][3][4][5]

시아란 마틴(Ciaran Martin)의 추정에 따르면 이번 사고로 인해 수십억 파운드에 달하는 경제적 피해가 발생할 것으로 예상된다.^[6]

배경

크라우드스트라이크는 사이버 공격으로부터 컴퓨터를 보호하도록 설계된 보안 소프트웨어 제품군을 생산한다. 팰컨 센서(Falcon Sensor) 제품은 개별 컴퓨터의 운영 체제 수준에서 네트워크 센서를 설치하여 위협을 감지하고 예방한다. 패치 (컴퓨팅)는 크라우드스트라이크에서 정기적으로 클라이언트에 배포되어 컴퓨터가 새로운 위협에 대처할 수 있도록 한다.^[7]

7월 19일 04:09 UTC에 애저의 윈도우 가상 머신이 재부팅 및 충돌을 시작했으며^[8] 06:48에 구글 컴퓨트 엔진도 문제를 보고했다. UTC 07:15에 구글은 크라우드스트라이크 업데이트에 결함이 있다고 발표했다.^[9] 크라우드스트라이크 CEO인 조지 커츠(George Kurtz)는 사이버 공격이 아닌 크라우드스트라이크의 잘못된 드라이버 업데이트가 중단의 원인임을 확인했다.

잘못된 업데이트 전날 마이크로소프트의 애저 클라우드 플랫폼은 중단되어 애저의 미국 중부 지역에 있는 일부 회사의 스토리지 및 마이크로소프트 365 애플리케이션에 대한 액세스가 차단되었다. 마이크로소프트에 따르면 이번 사건은 관련이 없지만 영향을 받은 회사의 고객에게 복합적인 문제이다.^[10]

기술적 세부 사항

2024년 7월 19일 04:09 UTC에 발행된 구성 파일(여기서는 채널 파일이라고 함)에 대한 업데이트가 윈도우 센서 클라이언트와 충돌하여 영향을 받는 컴퓨터가 중지 코드 PAGE_FAULT_IN_NONPAGED_AREA와 함께 블루스크린에 진입하게 되었다. 이로 인해 시스템이 부팅 루프 또는 복구 모드에 갇히게 되었다. 복구 키를 저장하는 서버도 영향을 받을 수 있으므로 비트로커 디스크 암호화를 사용하는 장치에서는 이 문제가 더욱 악화되었다. 이 문제는 주로 윈도우 10 및 윈도우 11을 실행하는 시스템에 영향을 주었지만 윈도우 7 또는 윈도우 서버 2008 R2를 실행하는 호스트는 영향을 받지 않았다. 영향이 크라우드 팰컨 소프트웨어를 설치한 윈도우 컴퓨터 및 서버로 제한되었으므로 대부분의 개인용 컴퓨터는 영향을 받지 않았다. 크라우드스트라이크는 UTC 05:27에 콘텐츠 업데이트를 되돌렸으며 되돌린 후 부팅된 장치는 영향을 받지 않는다. UTC 09:45에 CEO 조지 커츠는 수정 사항이 배포되었음을 확인했다.^[11][12]

해결책

영향을 받는 시스템은 안전 모드 또는 윈도우 복구 환경으로 부팅하고 %windir%\System32\drivers\CrowdStrike\C-00000291*.sys 파일을 삭제하여 복원할 수 있다. 이 프로세스는 각 개별 시스템에서 로컬로 수행되어야 하므로 영향을 받은 기업이 모든 시스템을 복원하는 데 며칠이 걸릴 수 있다.^[13]

일부 마이크로소프트 고객은 영향을 받은 장치를 여러 번 재부팅하면 문제가 해결될 수 있음을 발견했다. 어떤 경우에는 재부팅을 15번이나 해야 했다. 이는 컴퓨터를 반복적으로 다시 시작하면 장치가 충돌하기 전에 크라우드스트라이크 소프트웨어가 자동으로 업데이트될 수 있으므로 효과적일 것으로 가정된다.^[14]

영향

많은 비즈니스 부문에서 대기업 및 글로벌 기업이 윈도우 및 크라우드스트라이크 소프트웨어를 광범위하게 사용하고 있음을 반영하여 전 세계적으로 중단이 발생했다. 사건 당시 크라우드스트라이크는 포춘 500대 기업의 거의 60%와 포춘 1,000대 기업의 절반 이상을 포함하여 24,000명 이상의 고객을 보유하고 있다고 밝혔다. 영향을 받는 개별 컴퓨터의 수는 정확히 파악하기 어렵다.^[15]

시간대 차이로 인해 일반 대중이 경험한 주요 글로벌 소란은 거의 동쪽에서 서쪽으로 휩쓸려갔다. UTC 04:09에 오세아니아와 아시아가 현지 시간으로 정오쯤에 처음으로 문제를 겪었고, 유럽 국가는 이른 아침이었고, 아메리카 지역은 19일 자정에 막 진입했다. 일부 국가는 거의 영향을 받지 않았다. IT 자립을 위해 노력해온 중국은 외국 기업과 국내 고급 호텔이 영향을 받았지만 항공사, 은행 등 주요 서비스에서는 거의 영향을 받지 않았다. 국제 제재로 인해 미국 하이테크 기업의 서비스 이용이 제한된 러시아와 이란에서는 아무런 중단도 보고되지 않았다.^[16][17]

항공 운송

 

항공사 체크인 시스템이 중단된 후 인도네시아 응우라라이 국제공항에 에어아시아 승객들이 줄을 서고 있다.^[18]

전 세계적으로 예정된 항공편의 4.6%인 5,078편의 항공편이 취소되었다.^[19][20]

금융

영향을 받은 은행 중에는 캐나다의 캐나다 왕립은행(RBC) 및 토론토 도미니온 은행(TD Bank), 캐피텍 뱅크(Capitec Bank) 및 기타 남아프리카 은행, 여러 이스라엘 은행, RCBC, 메트로뱅크, 랜드뱅크, BDO, 유니언뱅크, 필리핀 제도 은행(BPI) 및 필리핀 국립 은행(PNB)와 같은 필리핀 은행이 있었다. 마야, GCash 등의 전자지갑도 필리핀에서 문제를 겪고 있는 것으로 보고되었다. 터키 데인즈뱅크(DenizBank) 웹사이트와 모바일 뱅킹 애플리케이션에 접속할 수 없었다. 비자 (기업)가 영향을 받았다. 싱가포르 거래소(SGX)와 DBS 은행을 포함한 수많은 싱가포르 회사들은 7월 19일 내내 다양한 수준의 서비스 문제를 보고했다.

지상 교통

온타리오주 윈저 (온타리오주)에 있는 앰배서더 다리(Ambassador Bridge)와 디트로이트-윈저 터널에서 장기간 지연이 발생하는 등 미국-캐나다 국경에서 교통 혼란이 보고되었다. 캐나다 국경 서비스국(Canada Border Services Agency)은 나중에 해결된 전화 보고 시스템의 부분적인 중단을 비난했다. 오랜 지연이 있었고 경찰은 운전자들에게 그 지역을 피하라고 권고했다. 워싱턴 메트로 지역 교통국(Washington Metro Area Transit Authority)은 미국에서 이른 아침에 약간의 서비스 지연을 겪었다. 웹사이트/실시간 추적은 7월 19일 오전 9시 30분경까지 사용할 수 없었다. 보스턴의 MBTA는 승객에 대한 차량 추적 및 도착 알림을 유실했다.^[21]

의료

북아메리카 전역의 많은 병원에서는 긴급하지 않은 수술과 방문을 일시 중단했다. 병원은 열려 있는 동안 환자 기록에 대한 접근이 제한되어 있다. 미국에서는 메모리얼 슬론 케터링 암센터(Memorial Sloan Kettering Cancer Center)가 마취가 필요한 모든 시술을 연기했고, 매스 제너럴 브리검(Mass General Brigham) 병원 시스템이 비응급 시술과 진료 방문을 모두 취소했으며, 신시내티 아동병원 의료센터(Cincinnati Children's Hospital Medical Center)도 영향을 받았다. 유니버시티 헬스 네트워크(University Health Network)는 캐나다에서 기술적인 문제를 겪었으며 병원의 임상 활동은 계속될 것이지만 예약이 지연될 수 있다고 경고했다. 환자 기록 시스템이 영향을 받자 뉴펀들랜드 및 래브라도 보건 서비스(Newfoundland and Labrador Health Services)가 비상 계획을 활성화하면서 다른 캐나다 병원들도 어려움에 직면했다.

미디어 및 통신

전 세계적인 사고로 인해 많은 미국 TV 방송국이 방송을 할 수 없었다. 영향을 받은 방송국 중 하나인 KSHB-TV는 스크립스 뉴스(Scripps News)를 통해 전국 뉴스를 방송해야 했다. ESPN은 미국에서 사고가 발생한 날 아침 스포츠센터의 아침 버전을 방송할 수 없었고 대신 ESPN 라디오의 언스포츠맨라이크(Unsportsmanlike)를 ESPN2와 동시 방송했다. ESPN과 ESPN2는 비록 온에어 그래픽이나 B-롤이 없었지만 나중에 스포츠센터 대신 Get Up! 및 First Take를 동시 방송했다. 메르세데스 AMG 페트로나스 F1 팀 역시 헝가리 그랑프리 금요일에 문제를 겪었으며, 메르세데스 대변인은 팀이 사용하는 모든 컴퓨터에서 문제를 수동으로 해결해야 했음을 확인했다. 이 문제는 엔진 고객인 맥라렌, 애스턴 마틴 및 윌리엄스에도 영향을 미쳤다.^[22]

정부

미국에서는 알래스카, 애리조나, 플로리다, 아이오와, 인디애나, 캔자스, 미시간, 미네소타, 뉴욕, 오하이오, 오리건, 펜실베이니아, 버지니아 일부 지역에서 911 (응급 전화번호) 서비스가 중단되거나 911 콜센터 운영이 중단되었다. 뉴햄프셔 전역에서 911이 다운되었다. 또한 알래스카는 비응급 콜센터에 문제를 겪었다. ADT도 영향을 받았다.

필리핀 하원 웹사이트 등 필리핀 정부 웹사이트도 사고로 인해 다운됐다.^[23]

캐나다에서는 토론토시가 영향을 받아 캐나다 자녀 수당 지급이 지연되었다. 뉴질랜드 의회에는 문제가 있었다. 선샤인 코스트 의회(Sunshine Coast Council)는 호주에서 영향을 받은 여러 의회 중 하나였다. 국가안보국(National Security Authority) 대변인은 슬로바키아의 여러 기관이 영향을 받았다고 확인했다.^[24]

소매업

필리핀의 슈퍼마켓은 POS 시스템 충돌로 인해 영향을 받았다. 독일 슈퍼마켓 체인 테구트(Tegut)는 일부 매장을 폐쇄했다. 고객들은 뉴질랜드의 푸드스터프스(Foodstuffs) 및 울워스(Woolworths) 슈퍼마켓에서도 결제 문제를 경험했다. 영국의 식료품 체인인 웨이트로즈(Waitrose)는 고객으로부터 현금만 받을 수 있었다. 호주 소매업체와 패스트푸드 체인점도 이번 사고로 타격을 받아 셀프 계산대와 온라인 주문 시스템이 중단되었다. 영향을 받는 슈퍼마켓에는 울워스와 콜스(Coles)가 포함되며, 대부분의 매장은 당일 거래를 중단해야 한다.

맥도날드 재팬은 금전 등록기 문제로 인해 매장의 3분의 1을 일시적으로 폐쇄했다. 글로벌 체인 스타벅스의 모바일 애플리케이션이 비활성화되었다.^[25]

기타 분야

폴란드 발트해 항구 그단스크에 있는 주요 컨테이너 허브인 DCT 그단스크는 마이크로소프트 운영 체제 중단으로 인해 터미널 운영에 영향을 미쳤다. 미국의 선적 항구는 대부분 영향을 받지 않았으며 휴스턴 항구(가장 많은 외국 톤수를 처리하는)만이 잠시 폐쇄되었다.^[26]

스웨덴에서는 말베르겟(Malmberget) 광산이 예방 조치로 대피되었다. 스웨덴에서도 축구 경기 티켓은 팔 수 없었다.^[27]

학술 저작물에 대한 영구적인 링크를 제공하는 디지털 개체 식별자(DOI)가 중단 도중과 이후에 해결되지 않았기 때문에 이 사건으로 인해 전 세계 학술 커뮤니티가 혼란을 겪었다.^[28]

반응

크라우드스트라이크의 CEO인 조지 커츠는 NBC 투데이 (미국의 텔레비전 프로그램)(Today) 라이브 인터뷰에서 “우리 회사를 포함해 고객, 여행자, 이로 인해 영향을 받은 모든 사람에게 우리가 끼친 영향에 대해 깊이 사과한다”고 대중에게 사과했다. 투데이 앵커인 서배너 거스리가 단일 소프트웨어 버그가 어떻게 그렇게 즉각적인 영향을 미칠 수 있는지에 대해 질문하자 커츠는 "우리 시스템은 항상 외부에 있는 이러한 적들의 최신 공격을 찾고 있다"라고 대답했다.^[29]

오스트레일리아 정부는 사고를 해결하기 위해 국가 비상 회의를 열었다. 국가 조정 메커니즘(National Coordination Mechanism)이 활성화되었다고 선언되었으며 앤서니 앨버니지(Anthony Albanese) 총리는 "오스트레일리아인들이 전 세계적으로 확산되고 광범위한 서비스에 영향을 미치는 중단에 대해 우려하고 있다는 것을 이해한다. 우리 정부는 국가 사이버 보안 코디네이터와 긴밀히 협력하고 있다."고 말했다. 그는 나중에 "이 단계에서는 중요 인프라, 정부 서비스 또는 트리플 0 서비스에 영향이 없다. 국가 조정 메커니즘이 활성화되어 현재 회의 중이다"라고 말했다. 빅토리아 주민들은 건물의 일부 자동 경보기가 사고로 인해 자동으로 소방서에 전화하지 않을 수 있으므로 화재 경보기가 울리거나 연기가 감지되면 트리플 0에 전화하도록 권고 받았다.

조 바이든 미국 대통령은 필요한 경우 지원을 제공하기 위해 크라우드스트라이크와 연락했다. 영국 정부의 코브라 (영국) 위원회는 이 사건을 논의하기 위해 만났다.^[30]

업계 반응

사이버 보안 컨설턴트인 트로이 헌트는 이 사건을 "역사상 가장 큰 IT 중단"으로 규정하고 Y2K 버그와의 영향을 비교하면서 "이번에 실제로 발생한 일을 제외하면 기본적으로 Y2K에 대해 우리 모두가 걱정했던 것이다"라고 말했다.

같이 보기

• 패치 (컴퓨팅)

각주

1. Milmo, Dan; Kollewe, Julia; Quinn, Ben; Taylor, Josh; Ibrahim, Mimi (2024년 7월 19일). “'Largest IT outage in history' hits Microsoft Windows and causes global chaos”. 《The Guardian》. 2024년 7월 19일에 확인함. 
2. “Live: 'Completely unprecedented' outage causes havoc with IT systems across globe”. 《ABC News》 (오스트레일리아 영어). 2024년 7월 19일. 2024년 7월 19일에 확인함. 
3. Browne, Ryan (2024년 7월 19일). “How a software update caused one of the world's biggest IT blackouts”. 《CNBC》 (영어). 2024년 7월 19일에 확인함. 
4. Godfrey, Paul; Druker, Simon; Wynder, Ehren (2024년 7월 19일). “911 call centers back online after IT outage causes global chaos”. 《United Press International》 (영어). 2024년 7월 19일에 확인함. 
5. “In 1st Statement After Outage, CrowdStrike CEO Says...”. 《NDTV.com》. 2024년 7월 19일에 확인함. 
6. Field, Matthew (2024년 7월 19일). “What is CrowdStrike? The $80bn IT giant behind Friday’s global meltdown”. 《The Telegraph》. 2024년 7월 20일에 확인함. 
7. Sharwood, Simon. “CrowdStrike code update bricking Windows machines around the world”. 《The Register》. 2024년 7월 19일에 확인함. 
8. “Azure status”. 《azure.status.microsoft》. 2024년 7월 19일에 확인함. 
9. “Google Cloud Service Health”. 《status.cloud.google.com》. 2024년 7월 19일에 확인함. 
10. “What Caused Such a Widespread Tech Meltdown?”. 《The New York Times》. 2024년 7월 19일. 2024년 7월 19일에 확인함. 
11. George_Kurtz (2024년 7월 19일). “CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We refer customers to the support portal for the latest updates and will continue to provide complete and continuous updates on our website. We further recommend organizations ensure they're communicating with CrowdStrike representatives through official channels. Our team is fully mobilized to ensure the security and stability of CrowdStrike customers.” (트윗). 2024년 7월 19일에 확인함. 
12. “Microsoft IT outage latest: Security firm Crowdstrike finds cause of global IT 'disaster' – as cyber attack ruled out”. 《Sky News》 (영어). 2024년 7월 19일에 확인함. 
13. “CrowdStrike issue causes major outage affecting businesses around the world”. MSNBC. 2024년 7월 19일. 2024년 7월 19일에 확인함. 
14. _aarony. “For @CrowdStrike #BSOD, rebooting 3 and up to 15 or more times is working on a large % of machines. It appears that sometimes the network stack is up long enough and CS update mechanism is able to fix the broken .sys file. Try rebooting over and over and over. Seriously.” (트윗).  |날짜=가 없거나 비었음 (도움말)
15. Plummer, R. (2024년 7월 19일). “Crowdstrike and Microsoft: What we know about global IT outage”. BBC. 2024년 7월 19일에 확인함. Each of those customers is a huge organisation in itself, so the number of individual computers affected is hard to estimate. 
16. Sanctioned Russia emerges unscathed in global IT outage
17. Global IT chaos: Why is Iran unaffected?
18. “Firefly, AirAsia systems down amid worldwide IT disruption”. 《nst.com.my》. 2024년 7월 19일. 2024년 7월 19일에 확인함. 
19. “Global IT chaos persists as Crowdstrike boss admits outage could take time to fix”. 《BBC News》. 
20. “Global IT outage: More than 5,000 flights cancelled; how security 'arms race' led to crash | as it happened”. Sky News면. 
21. John R. Ellement; Emily Sweeney (2024년 7월 19일). “Mass General Brigham cancels non-emergency surgeries, hospital visits due to software outage; Logan reports some flight delays”. 《The Boston Globe》. 
22. Collantine, Keith (2024년 7월 19일). “Global CrowdStrike outage leaves Mercedes fixing computers before practice”. 《RaceFans》 (영국 영어). 2024년 7월 19일에 확인함. 
23. “LIST: Philippine government websites down during global IT outage”. 《Philstar.com》. 2024년 7월 19일. 2024년 7월 19일에 확인함. 
24. “Aktualizácia CrowdStrike spôsobuje výpadky aj na Slovensku – SME Minúta”. 《www.sme.sk》 (슬로바키아어). 2024년 7월 19일에 확인함. 
25. Cerullo, Megan. “Microsoft outage shuts down Starbucks' mobile ordering app”. 《CBS News》 (미국 영어). 2024년 7월 19일에 확인함. 
26. “Business as usual at many of nation's ports despite global tech outage”. 
27. Melke, Gabriel (2024년 7월 19일). “Globala IT-problemen påverkade allsvenskan – Fotboll: Liverapportering: Allsvenskan 2024”. 《SVT Sport》 (스웨덴어). 2024년 7월 19일에 확인함. 
28. “Brief doi.org outage”. 《Your Crossref Community Forum》 (영어). 2024년 5월 29일. 2024년 7월 19일에 확인함. 
29. Smith, Alexander; Collier, Kevin (2024년 7월 19일). “What caused the global Microsoft outage? A humble software update”. 《NBC News》 (영어). 2024년 7월 19일에 확인함. 
30. “UK's Starmer being kept updated on IT outage but has not chaired emergency meeting, says spokesperson”. Reuters. 2024년 7월 19일. 2024년 7월 19일에 확인함.