보안 (크라우드 스트라이트) 프로그램에 의한 시스템 장애와 영향 그리고 교훈

한국 시간 2024년 7월 19일 금요일 오후 마이크로소프트 클라우드 서비스 장애가 발생했습니다. 처음에는 사이버공격인지 단순 장애인지 알 수 없었습니다. 그리고, 크라우드 스트라이크 제품 시스템에 장애도 보고되었습니다. 이 둘이 연관있는지 별도 사건인지도 확실하지 않았습니다.

 

* 장애

처음에는 마이크로소프트 클라우드 문제로 보도되었습니다.

 

. 전 세계 '사이버 정전' 사태..."MS 클라우드 장애가 원인" (YTN, 2024.07.20)

https://www.ytn.co.kr/_ln/0104_202407200051418059?ems=28566

전 세계 '사이버 정전' 사태..."MS 클라우드 장애가 원인"

 

. 세계 곳곳 'MS발 패닉' .. 항공. 통신 전부 멈췄다.

https://www.youtube.com/watch?v=ErohnTXjBzc

 

 

. 동시다발 IT대란 왜 이런 일이 ?

https://www.youtube.com/watch?v=ZulvesCUQvY

 

. Global IT outage

https://www.youtube.com/watch?v=wkP7EHkzXr8

 

 

사건 당일 관련 유튜브 영상 뜬거보고 참 부지런하다는 생각도 했습니다.

 

. 전세계 윈도우 블루스크린… 공항 마비, 업무 마비, 마트까지 전세계 기업용 컴퓨터와 서버가 먹통이 된 원인과 현 상황 (feat. 크라우드스트라이크)

https://www.youtube.com/watch?v=875KNDEH6ts

 

초반에는 사이버공격이나 MS 클라우드 문제로 발생했다고 오해되기도 했습니다.

(나중에는 일부는 의도적인게 아닐까 싶기도 하더군요.)

 

https://www.boannews.com/media/view.asp?idx=131495

MS 윈도 먹통 사태 여파... 국내에서의 항공기 지연·결항 피해 점검해보니

 

https://byline.network/2024/07/21-350/

 

 

국내에는 큰 피해는 없었습니다.

 

https://byline.network/2024/07/22-346/

 

 

 

https://www.youtube.com/watch?v=DRjRI-Z4028

 

 

* 전개

 

블루스크린을 발생시킨 CrowdStrike는 바로 사과했습니다.

 

 

https://twitter.com/George_Kurtz/status/1814316045185822981

X의 George Kurtz님(@George_Kurtz)

 

 

 

 

https://www.crowdstrike.com/blog/to-our-customers-and-partners/

To Our Customers and Partners | CrowdStrike

 

https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

Falcon Content Update Remediation and Guidance Hub | CrowdStrike

 

 

 

마이크로소프트는 850 만대의 시스템이 영향을 받았을거라고 밝혔다.

 

 

https://blogs.microsoft.com/blog/2024/07/20/helping-our-customers-through-the-crowdstrike-outage/

Helping our customers through the CrowdStrike outage - The Official Microsoft Blog

 

 

https://www.boannews.com/media/view.asp?idx=131496

크라우드 스트라이크 팔콘 제품으로 인한 윈도 ‘먹통’ 사태, 긴급 대응 조치는?

 

 

국내 LCC 항공 시스템이 복구되고 있다고 합니다.

 

https://www.youtube.com/watch?v=gPYlQoe9C6k

 

 

* 원인

 

사람들이 버그에 대한 여러 의견을 나타냅니다.

 

https://twitter.com/hackerfantastic/status/1814315027911843998

X의 hackerfantastic.x님(@hackerfantastic)

 

 

https://twitter.com/Perpetualmaniac/status/1814376668095754753

X의 Zach Vorhies / Google Whistleblower님(@Perpetualmaniac)

 

논리 오류에 의해 문제가 발생했다고 밝혔습니다.

 

 

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Technical Details: Falcon Update for Windows Hosts | CrowdStrike

 

https://www.crowdstrike.com/blog/tech-analysis-channel-file-may-contain-null-bytes/

Tech Analysis: Channel File May Contain Null Bytes | CrowdStrike

 

 

 

* 복구

 

이번에 문제가 된건 블루스크린으로 윈도우가 부팅되지 않아 수작업으로 처리해야했습니다.

 

 

https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

Falcon Content Update Remediation and Guidance Hub | CrowdStrike

 

 

 

* 누군가에게는 기회

 

이런 기회를 이용하는건 꼭 있죠.

바로 '경쟁사' 그리고 '범죄자'입니다.

 

 

몇 개 보안 제품에서 자사 EDR을 사용하라고 홍보합니다.

 

그런데, 맥(!) 제품은 안전하다는 광고도 보입니다

 

 

https://www.macworld.com/article/2404446/massive-global-it-outage-is-a-perfect-ad-for-buying-a-mac.html

Massive global IT outage is a perfect ad for buying a Mac

 

'공격자'들은 크라우드 스트라이크 윈도우 시스템 먹통 사건을 공격에 이용합니다.

 

 

https://twitter.com/anyrun_app/status/1814944383910789393

X의 ANY.RUN님(@anyrun_app)

 

https://www.boannews.com/media/view.asp?idx=131501

[긴급] 크라우드 스트라이크發 윈도 시스템 ‘먹통’ 사태 악용한 사이버 공격 발생했다!

 

SentinelOne 의 매출이 증가했다고 합니다.

얼마나 지속될지는 지켜봐야합니다.

 

https://www.theglobeandmail.com/investing/markets/stocks/S-N/pressreleases/28320564/sentinelones-revenue-soars-after-the-crowdstrike-outage-is-now-a-golden-opportunity-to-buy-the-stock/

Sentinelone Inc Cl A (S-N) Quote - Press Release

 

 

 

* 장난

이런 사건에는 장난이 빠질 수 없죠.

마치 본인이 입사 첫날 사고 친 것 처럼 글을 남긴 사람이 있는데, 그냥 어그로로 보입니다.

 

https://twitter.com/vinceflibustier/status/1814233715641389456

X의 Vincent Flibustier 👽님(@vinceflibustier)

 

 

 

* 교훈

 

몇몇 사람들은 보안 연구가들이 기술적인 내용을 설명했지만 언론은 불확실한 내용에 관심을 가진다는 짤도 돌았습니다.

 

 

 

 

https://m.ddaily.co.kr/page/view/2024072107235489693

 

 

MS는 “이 사건은 글로벌 클라우드 제공업체, SW 플랫폼, 보안 공급업체 및 사용자 등 광범위한 생태계가 서로 연결돼있음을 보여준다”며 “기술 생태계 전반에 걸쳐 현존하는 메커니즘을 사용해 안전한 배포와 재해복구를 우선시하는 게 얼마나 중요한지 일깨워주는 사건”이라고 전했다.

 

 

* 여파

 

앞으로 CrowdStrike 는 여러 소송 문제에 직면할 듯 합니다.

 

. CrowdStrike Faces Class Action Lawsuit Over Global IT Outage (2024.08.02)

https://www.bankinfosecurity.com/crowdstrike-faces-class-action-lawsuit-over-global-outage-a-25931

CrowdStrike Faces Class Action Lawsuit Over Global IT Outage

 

델타항공은 크라우드스트라이크와 마이크로소프트 양사에 보상을 요구했다고 합니다.

. 크라우드스트라이크 사태 책임 공방…델타항공, MS 책임론 제기 (IT WORLD, 2024.08.06)
https://www.itworld.co.kr/news/346623#csidx8849571b771efd8b28509950283c129

크라우드스트라이크 사태 책임 공방…델타항공, MS 책임론 제기

 

* 마지막으로

이번 문제는 사실 '품질관리' 였습니다.

안타깝게도 블루스크린은 지금도 많은 업체에서 발생시키고 있습니다.

(이 글은 VMware 환경의 우분투에서 작성 중인데 이상하게 옥션 사이트에 들어가서 물건을 구매하려면 블루 스크린이 발생합니다.)

 

문제는 내부 품질테스트에서 걸러지지 않고 고객에게 배포된 점입니다.

 

찾기 어려운 버그는 늘 존재합니다.

 

1980년 대 의료기기에 의한 유명한 사건이 있습니다.

이 사건의 경우 버그가 특정한 상황일 때 발생해서 원인을 찾는게 오래걸렸습니다.

 

https://www.youtube.com/watch?v=ULPFnogE75w

 

 

 

https://www.ciokorea.com/news/347722

칼럼 | 크라우드스트라이크 사태에 대한 기업 IT 전문가들의 관점

 

 

 

SW 공급망 품질 관리에 대한 좋은 글로 마무리하겠습니다.

 

. 강은성의 보안 아키텍트ㅣ크라우드스트라이크, 보안SW, SW공급망 품질 관리 ( CIO, 2024.08.16)

https://www.ciokorea.com/news/347610

강은성의 보안 아키텍트ㅣ크라우드스트라이크, 보안SW, SW공급망 품질 관리