19일 전세계 정보통신(IT) 대란을 일으킨 원인은 미국 사이버 보안 기업인 크라우드스트라이크가 배포한 보안 소프트웨어(SW) 업데이트 파일 때문인 것으로 확인됐다.
크라우드스트라이크는 안티바이러스·사이버 위협대응 시스템 등 기업용 보안 SW 개발사로, 포춘 100대 기업 중 상당수가 이 회사 제품을 쓴다.
공항·항공 멈춰 세운 보안 SW업데이트 파일…어쩌다 이런 일이
IT업계에 따르면, 이 날 오후 2시(한국 시간)를 전후로 미국, 유럽 등 해외에서 크라우드스트라이크를 기업용 보안 SW로 쓰는 기업·기관에서 PC가 먹통이 되는 ‘블루스크린’ 피해가 속출하기 시작했다.
크라우드스트라이크가 자사 고객사들을 상대로 온라인 보안 솔루션 업데이트를 진행해왔는데, 이날 업데이트 파일 하나가 마이크로소프트(MS) 윈도10 운영체제(OS)와 충돌했던 것. MS 클라우드 서비스 ‘에저’ 역시 윈도 기반이다. 사태 초반 MS 클라우드 서비스에 장애가 발생한 것으로 오해했던 것도 이 때문이다.
피해가 눈덩이처럼 불어난 건 윈도 기반의 여러 글로벌 시스템과도 충돌하면서 연쇄 피해가 발생하면서다. 대표적으로 윈도 기반의 글로벌 항공발권 시스템인 ‘나비테어’에 장애가 발생하면서 이곳 프로그램을 쓰는 전세계 항공·공항의 발권업무가 마비되는 초유의 사태까지 발생했다.
미국 연방항공청(FAA)에 따르면, 델타 항공, 유나이티드 항공, 아메리칸 항공을 포함한 여러 주요 미국 항공사의 모든 항공편이 이날 시스템 장애로 운항이 중단되거나 발권이 지연됐다. 영국 런던 개트윅 공항과 독일 베틀린공항, 스코틀랜드 에든버러 공항, 프라하 공항, 터키항공, 마드리드항공 등도 운행에 차질을 빚었다.
국내에서도 제주항공, 이스타항공, 에어프레미아 등 국내 저비용항공사(LCC) 3곳과 인천국제공항에서 발권 시스템 장애를 겪었다.
이 외에 크라우드스트라이크 보안 제품을 쓰는 수많은 기업과 기관들의 서버와 업무용 PC들이 먹통되는 피해를 입었다. 국내에서는 펄어비스, 라그나로크 등 대형 게임사들이 서비스 장애 피해를 입었다.
크라우드스트라이크는 어떤 회사
크라우드스트라이크는 시가총액이 116조원에 달하는 미국 보안업체다. 안티바이러스와 사이버 위협 대응시스템, 클라우드 보안 등을 주력 제품으로 보유한다. 우리나라에서는 안랩 등 토종 보안기업에 밀려 이 회사를 모르는 이용자들이 많지만 기업·기관 IT담당자들 사이에선 그래도 꽤 알려져 있다.
포춘 100대 기업 중 상당수가 이 회사 보안 제품을 쓰고 있다. 2014년 영화사 소니픽처스 해킹 사건 등을 파헤쳐 이름을 알렸다.
이번에 문제가 된 제품은 엔드포인트 보안 플랫폼인 ‘팔콘’ 시리즈다.
크라우드스트라이크는 뒤늦게 자사 제품의 결함을 인정했다. 조지 커츠 크라우드스트라이크 최고경영자(CEO)는 이날 “MS 윈도에 대한 콘텐츠 업데이트 과정에서 결함이 발견됐다”며 “이번 결함으로 영향을 받는 고객들과 적극적으로 협력하고 있다”고 밝혔다. 이어 “맥과 리눅스는 영향을 받지 않는다”면서 “보안 사고나 사이버 공격이 아니다”라고 설명했다.
보안 전문가들은 이번 사고에 대해 의아해 하고 있다. 익명을 요구한 한 보안 전문가는 “세계적인 기업이 통상 소프트웨어 업데이트를 진행할 때 고객사들의 운영체제 시스템과 충돌하는 지 여부를 테스트하고 검증이 완료됐을 때 실제 파일을 전송하는데 이 과정에 문제가 발생한 것 같다”고 진단했다.
만약 먹통 피해를 입었다면 복구는 어떻게?
마이크로소프트와 크라우드스트라이크는 사태 발생 후 긴급 패치 개발을 논의 중이다. MS는 이날 공지를 통해 “우리는 크라우드스트라이크에 의한 업데이트로 영향을 받았다”며 “계속해서 문제를 겪고 있는 고객은 크라우드스트라이크에 추가 지원을 요청해야 한다”고 밝혔다.
임시방편으로는 보안 SW 업데이트 이전 상태로 돌리는 ‘롤백’ 조치를 해야 한다. 한국인터넷진흥원(KISA)은 크라우드스트라이크 제품 사용자 중 블루스크린 현상이 발생한 경우라면 안전 모드로 접속해서 문제 파일을 삭제하고, 크라우드스트라이크 폴더 이름을 바꾸는 한편, 레지스트리 편집기 활용으로 CS에이전트 서비스를 차단해줄 것을 제시했다.
다만, 크라우드스트라이크는 일반 PC 사용자가 아닌 기업·기관용으로 보안 제품을 판매하기 때문에 가정용 PC 이용자들의 피해는 많지 않을 전망이다.
보안업계 관계자는 “기업 전산 담당자들이 서비스를 정상 복구하기 위해선 사내 서버와 PC들을 일일이 점검해 조치할 수 밖에 없다”며 “이 때문에 크라우드스트라이크의 복구 패치가 나오기 전까진 피해 복구에 상당한 시일이 걸릴 수 있다”고 말했다.
한편, 이 날 글로벌 IT대란 피해가 속출하자 과학기술정보통신부도 한국 MS 등에 서비스 장애 원인과 피해 규모를 파악해 줄 것을 요청했다. 다만, 크라우드스트라이크의 경우 한국에 지사가 없어 이에 대한 후속 대응 요구는 쉽지 않을 것으로 전망된다.