보안 동향/보안 기술 및 지식

2024년 크라우드스트라이크발 전산 마비 사태

rinaisme 2024. 7. 24. 00:24

https://www.youtube.com/watch?time_continue=1&v=875KNDEH6ts&embeds_referring_euri=https%3A%2F%2Fnamu.wiki%2F&source_ve_path=MjM4NTE

https://news.jtbc.co.kr/article/article.aspx?news_id=NB12206394

 

MS 클라우드 서비스 장애…세계 곳곳 항공·통신 '마비'

미국 마이크로소프트의 클라우드 서비스 장애로 현재 국내 일부 항공사들이 업무에 차질을 빚고 있는데요. 세계 곳곳에서는 항공과 ..

news.jtbc.co.kr

 

보안 소프트웨어 오류로 블루스크린이 띄워진  뉴어크 리버티 국제공항  풍경

https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

 

Falcon Content Update Remediation and Guidance Hub | CrowdStrike

Access consolidated remediation and guidance resources for the CrowdStrike Falcon content update affecting Windows hosts.

www.crowdstrike.com

https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=71500

 

KISA 보호나라&KrCERT/CC

KISA 보호나라&KrCERT/CC

www.boho.or.kr

 

- 원인

문제의 원인인 크라우드스트라이크의 공식 성명에 따르면, 크라우드스트라이크사의 "팰콘 센서"라는 소프트웨어에 하자가 있는 패치가 배포되며 일어난 문제라고 한다.

문제를 야기한 패치는 7월 19일 04:09 UTC(한국시각 7월 19일 13시 9분)에 배포되었고, 1시간 37분 후인 7월19일 05:27 UTC(한국시각 같은 날 14시 27분)에 롤백(원복) 조치가 되었다. 제작사는 초기 배포와 롤백 사이에 팰콘 소프트웨어가 설치된 윈도우 PC가 인터넷에 접속된 상태라면 하자가 있는 패치가 자동으로 설치, 실행되면서 그 PC가 다운된다고 설명했다.  전세계적으로 사태가 심각할 정도로 확산된 것은 한국표준시 기준 7월 19일 오후 2시경부터다.

크라우드스트라이크사의 팰콘 센서 소프트웨어를 설치하면 윈도우 부팅시 자동연계 실행되어 악성코드가 실행할 법한 패턴이나 흔적을 분석하고 악성코드를 감지하는 역할을 하는데, 이 소프트웨어는 부팅과 연계되어 작동하기에 문제가 발생하면 PC 부팅이 되지 않게 된다.

마이크로소프트 CEO 사티아 나델라는 엑스(구 트위터)를 통해 크라우드스트라이크가 현 사태를 일으킨 업데이트를 배포하였으며, 마이크로소프트 역시 당사와 긴밀한 협조를 통해 문제를 통제하고 고객 IT 시스템의 복구를 돕겠다고 성명을 발표했다. 

크라우드스트라이크 사의 창립자이자 CEO인 조지 커츠는 X(트위터)를 통해 보안 사고나 사이버 공격은 아니라고 밝혔다.

" CrowdStrike는 Windows 호스트용 단일 콘텐츠 업데이트에서 발견된 결함으로 인해 영향을 받은 고객과 적극적으로 협력하고 있습니다. Mac 및 Linux 호스트는 영향을 받지 않습니다. 이는 보안 사고나 사이버 공격이 아닙니다. 문제가 확인되어 격리되었으며 수정 사항이 배포되었습니다. 최신 업데이트는 지원 포털에서 확인할 수 있으며, 앞으로도 웹사이트를 통해 지속적으로 업데이트를 제공할 예정입니다. 또한, 조직은 공식 채널을 통해 CrowdStrike 담당자와 소통할 것을 권장합니다. 저희 팀은 CrowdStrike 고객의 보안과 안정성을 보장하기 위해 전력을 다하고 있습니다."

- 조치법

  2. C:\Windows\System32\drivers\CrowdStrike로 이동
  3. C-00000291*.sys 파일 찾아서 삭제
  4. 정상적으로 재부팅

현지 시간 7월 20일에 발표한 두번째 공식 성명에서는 "하자가 있는 채널 파일이라는 .sys 파일이 배포되었다"의 내용과 문제가 된 채널 파일이 "논리적 오류를 일으켰다"라는 두리뭉실하고 원론적인 서술을 하여 사태의 근본적인 원인에 대해서는 추후의 발표를 기다리라며 말을 아꼈다. 크라우드스트라이크 측에서 문제가 발생한 해당 .sys 파일 자체는 커널 드라이버는 아니지만, "채널 파일"이라는 특수한 파일이라 밝혔다. 문제가 된 채널 파일 291은 악성코드가 명명 파이프를 쓰고 있는지 추정하는 것을 정의하는 파일이라고 설명했다. 이런 채널 갱신은 하루에도 몇번씩 상시에 이루어지는데, 이 업데이트에서는 파일에 하자가 있어서 컴퓨터를 마비시켰다고 설명하였다.

 

 

'보안 동향 > 보안 기술 및 지식' 카테고리의 다른 글

CSAP (클라우드 보안 인증)  (0) 2024.07.16
제로데이(0-Day, Zero-Day) 공격  (0) 2024.07.10

'보안 동향/보안 기술 및 지식'의 다른글

  • 현재글2024년 크라우드스트라이크발 전산 마비 사태

관련글

티스토리툴바