개발 보안...
크라우드 스트라이크 사태 본문
발생
2024년 7월 19일 한국 시간 오후 1시경
원인
마이크로소프트 윈도우상에서 실행되는 크라우드스트라이크 사의 '팔콘 센서' EDR보안 소프트웨어에 하자가 있는 패치가 배포되며 전세계적인 전산망 마비 및 서비스 장애 발생
크라우드스트라이크의 조지 컬츠 CEO는 “이번 일은 보안 사고나 사이버 공격이 아니”다, "MS 윈도(Windows)의 호스트용 프로그램에서 결함이 발견됐다”라고 함
팔콘 센서 : 시스템의 모든 활동을 실시간으로 분석(알려진 정보로 검사하는 게 아님)하여 보안 위협을 감지하고 대응하는 프로그램
EDR : 엔드포인트 탐지, 대응. 팔콘 센서에서 제공하는 기능. 악성코드를 자동으로 탐지하고 알아서 제거하는 기업용 안티바이러스 소프트웨어
평소 팔콘 센서 프로그램은 MS가 제공하는 클라우드(애저·Azure)에 기반해 본사 시스템과 연결된 상태로 운영됨. 하지만 업데이트는 서버나 PC 단위에서 이뤄지는 바람에 이번 사태가 발생함.
보안 에이전트가 커널 모드(링 0)에서 실행되면서, WHQL(Windows Hardware Quality Labs) 인증을 우회할 수 있도록 허용하는 P-Code를 사용한 것이 주요 발생 원인임. 일반적으로 보안 드라이버는 정식 인증 절차를 거쳐야만 커널 모드에서 실행될 수 있는데, CrowdStrike는 ELAM(Early Launch Anti-Malware) 인증만 유지하며 일부 코드를 P-Code 형태로 업데이트했음. 이 방식은 드라이버 업데이트의 신속성을 제공하지만, 검증되지 않은 코드가 커널 모드에 삽입될 위험이 있음.
또한, CrowdStrike는 팔콘센서 EDR이 부트-스타트(boot-start) 드라이버로 동작하여, 오류가 발생했을 때 운영체제가 부팅되는 즉시 충돌(블루스크린)이 발생. 복구가 훨씬 어려워지는 문제가 생김.
링 0 : 시스템의 핵심이 실행되는 가장 높은 권한의 레벨. 링 0에서 실행되는 코드는 모든 하드웨어와 메모리에 제한 없이 접근할 수 있음. 성능과 안정성에 매우 중요.
WHQL : Microsoft가 진행하는 테스트 과정으로, 하드웨어와 드라이버가 Windows와의 호환성 및 신뢰성 기준을 충족하는지 확인함. 테스트를 통과한 드라이버나 소프트웨어는 Windows 운영체제와 원활하게 작동할 것이라는 인증을 받게 됨.
ELAM : 안티멀웨어 드라이버에 적용되는 특정 인증 요구 사항. 이 인증은 해당 드라이버가 다른 서드파티 드라이버보다 먼저 부팅 과정에서 로드될 수 있음을 보장함. 루트킷이나 기타 악성 소프트웨어에 대한 첫 번째 방어선을 제공함.
P-Code : 보통 소프트웨어가 실행되기 전에, 소스 코드를 직접 기계어로 번역함. 근데 P-Code는 일부 코드를 드라이버 업데이트 시 WHQL 인증 과정을 완전히 거치지 않고 커널 모드에서 실행할 수 있도록 함.
부트-스타트 드라이버 : 보통 일반적인 프로그램 오류는 운영체제 부팅 후 수정할 기회가 있지만 이것은 시스템 부팅 시 가장 초기 단계부터 로드되도록 함
피해
전 세계적으로 2만곳 이상 고객을 가진 크라우드스트라이크가 배포한 업데이트 패치가 마이크로소프트 윈도 운영체제와 충돌한 탓에 이를 사용하던 서버와 PC가 화면에 '죽음의 블루스크린'을 띄우며 작동을 멈춤. 87%의 기업이 가동을 중단 했고, 38%의 기업은 24시간 이상 지속된 심각한 운영 장애를 겪음. 사태 발생 당시 MS 윈도가 72.1%로 PC 운영체제 시장 점유율이 가장 높았음.
전 세계가 IT 대혼란에 휩싸였지만 우리나라는 상대적으로 피해가 덜 함. 우리나라는 정부 주도로 은행 등 금융회사와 증권업계, 보험업계에서 2007년부터 국내 보안정책의 근간으로 추진한 망분리 제도 덕분이라는 말이 있음. 공공부문에서 시행된 망분리 제도가 은행 등 일반 업계의 핵심 분야에 먼저 적용돼 피해를 줄였다는 얘기.
고려대 정보보호대학원 김승주 교수는 “국내에서 큰 사고의 여파가 일어나지 않은 건 2006년부터 우리 공공기관 및 금융권에 도입된 ‘획일적 망분리 정책’ 및 독소조항들로 인해 외산 클라우드의 한국 시장 진출을 막아 준 CSAP(Cloud Security Assurance Program) 보안인증이 큰 역할을 했다고 본다”고 말했다.
그리고 애초에 한국은 크라우드스트라이크 프로그램을 사용하는 곳이 적다고 함. 피해를 입은 국내 기업은 10곳. 국내는 공공기관이나 대기업, 증권/금융업계는 대부분 국산 보안 프로그램을 사용하는 것으로 알려져 있음. 특히 공공기관의 경우 'CC(공동평가기준) 인증' 이라는 강한 보안규제를 받고 있어 해외 프로그램이 들어오기 힘들음.
해결
컴퓨터별로 업데이트된 프로그램이 이미 MS 윈도와 충돌해버린 상태에서는 원격으로 네트워크에 접속해 문제를 해결하는 것이 불가능한 만큼 엔드포인트 고객들이 각자 오류에 대응해야 함.
크라우드스트라이크는 이날 공지에서 각 사용자가 컴퓨터를 윈도 '안전 모드' 혹은 '복구 모드'로 부팅해 특정 파일을 삭제할 것을 해결책으로 제시함.
원인 제공 업체 '크라우드스트라이크'는 피해 보상을 구체적으로 어떻게 진행했는지에 대한 언급은 없음.
기타
주목할 만한 점
공항, 은행 등 주요 인프라가 한 회사의 클라우드 서비스를 사용하는 탓에 이같이 작은 보안 업데이트 오류 하나에도 동시다발적인 대형 마비 사태가 벌어졌다는 점도 주목할 만함.
클라우드 서비스는 이를 사용하는 개별 회사로선 유지·관리 비용을 절감한다는 장점이 있지만 중앙 시스템에서 문제가 생기면 피해 규모와 범위가 걷잡을 수 없이 커질 수 있는 구조적 위험이 있기 때문
특히 이 서비스를 제공하는 회사가 MS와 같이 시장 지배력이 큰 회사라면 해킹과 같은 사이버 공격이 아니더라도 피해는 전 세계적으로 발생하게 됨
또 다른 피해
크라우드 스트라이크가 유발한 기술 문제를 복구시켜 준다며 악성코드를 유포하고, 크라우드 스트라이크의 지원을 가장한 피싱 이메일을 통해 개인정보 입력을 유도한 사례 발견
느낀점
글로벌 기업도 잘못된 패치를 배포하여 사태가 발생했는데 클라우드 서비스 업체같은 외부에만 의존하고 맡기면 피해를 막기가 더욱 어려운 것 같다. SW 공급망의 안정성과 보안에 대한 경각심을 내려놓으면 절대 안된다. 국내 피해는 적은 반면 해외는 동시다발적으로 막대한 피해가 발생했는데 각국 IT 환경과 정책 차이가 위기 대응에 얼마나 중요한 역할을 하는지 알게되었다. 이와중에 피싱을 통한 2차 피해가 있는 것을 보고 보안 문제가 일어나면 그 일만 해결하면 되는 것이 아니라 또 다른 피해(보안 관련 피해 뿐만 아니라 금융의 경우 생계 문제가 생김)겪을 수 있다는 것을 보고 보안의 중요성에 대해 더 생각해보게 되었다.
참조
- https://www.yna.co.kr/view/AKR20240719156400108?input=1195m
- https://ezo.io/blog/crowdstrike-outage-and-the-blue-screen-of-death/
- https://www.theadaptavistgroup.com/company/press/crowdstrike-outage-research?utm_medium=website&utm_source=blog&utm_campaign=tag_avst-brand_blog_web_crowdstrike-press-release_awn_prs_evg_glob_all_en__&__hstc=61790195.b7e86d712f19ee44b79bda13753423e6.1743132879214.1743132879214.1743132879214.1&__hssc=61790195.2.1743132879214&__hsfp=2232757334&_gl=1*12a55cy*_gcl_au*OTU1Nzk3MzY3LjE3NDMxMzI4Nzk.*_ga*MTgwNTc3NTI1NC4xNzQzMTMyODc5*_ga_C6V1F2HSMM*MTc0MzEzMjg3OS4xLjEuMTc0MzEzMzMyNi41OS4wLjE3MjU3OTkxNTU.
- https://news.mt.co.kr/mtview.php?no=2024072113440040514
'IT 대란' 원인은 보안 패치…전세계 연결돼 인프라 먹통 | 연합뉴스
(이스탄불=연합뉴스) 김동호 특파원 = 공항을 비롯해 방송·금융·의료 등 인프라를 한꺼번에 마비시킨 '글로벌 IT 대란'의 원인으로 보안 플랫폼...
www.yna.co.kr