전 세계를 강타한 윈도우 컴퓨터 장애 해결 방법
최근 전 세계의 윈도우 기반 컴퓨터에서 IT 장애가 발생하면서 항공사, 주요 은행, TV 방송사, 의료 기관, 다양한 사업체의 서비스가 일시적으로 중단되었다.
유나이티드, 델타, 아메리칸 등 항공사들이 운항 시간을 늦추거나 취소하면서 승객들은 공항에 발이 묶였고, 영국 방송사인 스카이 뉴스(Sky News)는 일시적으로 방송을 중단했다. 유럽, 호주, 인도의 은행 고객들은 자신의 온라인 계정에 접근하지 못했고, 영국의 진료실과 병원들은 환자 기록 및 예약 시스템을 사용할 수 없게 되었다.
이 모든 문제는 사이버 보안 회사인 크라우드스트라이크(CrowdStrike)의 윈도우용 콘텐츠 업데이트에 있었던 작은 결함에서 비롯되었다. 이 회사의 조지 커츠(George Kurtz) CEO는 결함에 영향을 받은 고객들의 문제를 해결하기 위해 적극적으로 협력하고 있다고 밝혔다.
커츠는 엑스(X)에 게재한 성명에서 “이것은 사이버 보안 사고나 공격이 아니다”라며 “무엇이 결함인지 확인해 분리 조치했고 수정된 업데이트를 배포했다. 고객들에게 최신 업데이트가 있는 지원 포털을 안내하고 있고, 향후 회사 웹사이트에서 완전하고 지속적인 업데이트를 제공할 것”이라고 말했다. 크라우드스트라이크는 MIT 테크놀로지 리뷰에 추가 업데이트를 확인할 수 있는 블로그를 알려주었다.
문제의 원인은?
이번 사태는 크라우드스트라이크의 업데이트 결함으로 인해 발생했다. 이 업데이트의 영향을 받은 서버와 컴퓨터들이 오프라인 상태가 되었고, 일부 윈도우 워크스테이션에서는 사용자가 부팅을 시도할 때마다 ‘죽음의 블루 스크린’이 나타났다. 한편, 맥과 리눅스는 이 영향에서 무사했다.
이 업데이트는 크라우드스트라이크의 ‘엔드포인트 위협 탐지 및 대응(endpoint detection and response)’ 소프트웨어인 팔콘(Falcon)에 대한 것이었다. 팔콘은 회사의 컴퓨터 시스템을 사이버 공격과 악성 소프트웨어에서 보호하기 위해 설계된 소프트웨어다. 그러나 업데이트된 팔콘은 예상대로 작동하지 않았고, 윈도우 소프트웨어를 사용하는 컴퓨터에서 충돌을 일으키면서 재부팅이 불가능해졌다. 가정용 컴퓨터의 경우 영향을 크게 받지 않았는데 크라우드스트라이크가 대규모 조직 단위에서 주로 사용되기 때문이다. MIT 테크놀로지 리뷰는 마이크로소프트에 이번 사태에 대한 의견을 요청했으나 답을 얻지 못했다.
독자적인 사이버 보안 연구자이자 컨설턴트이며 《사이버 보안 철학(Philosophy of Cybersecurity)》이라는 저서를 집필한 루카스 올레이닉(Lukasz Olejnik)은 “크라우드스트라이크의 팔콘 소프트웨어는 기본적인 운영체제 수준에서 작동하므로 여기서 문제가 발생하면 운영체제를 부팅할 수 없게 된다”고 말했다.
그렇다고 해서 모든 윈도우 컴퓨터에 문제가 생긴 것은 아니다. 올레이닉은 “업데이트가 배포될 당시 전원이 꺼져 있었던 컴퓨터는 이후 배포가 취소되면서 업데이트가 적용되지 않았을 것”이라며 “이 업데이트를 받고 재부팅한 컴퓨터는 클라우드스트라이크의 서버 관리 인프라에서 제공하는 자동 업데이트만 있어도 문제를 충분히 해결할 수 있다”고 설명했다.
문제가 발생한 컴퓨터를 수동으로 고치는 방법
윈도우 컴퓨터에 관리자 접근 권한이 있다면 해결 방법이 있다. 이번 업데이트로 문제를 겪고 있고 높은 수준의 접근 권한이 있다면 크라우드스트라이크는 아래의 단계를 따를 것을 권장한다.
1. 윈도우를 안전 모드 또는 윈도우 복구 환경에서 부팅한다.
2. C:\Windows\System32\drivers\CrowdStrike 디렉토리로 이동한다.
3. C-00000291*.sys 파일을 찾아 삭제한다.
4. 컴퓨터를 정상 모드로 부팅한다.
간단해 보이지 않는가? 위의 해결 방법은 쉽지만 누군가 컴퓨터에 물리적으로 접근해야 한다. 즉, 원격 장치의 경우 IT 팀이 어떤 장치에 문제가 발생했는지 일일이 추적해야 한다고 로열홀러웨이런던 대학교 정보보안부의 앤드류 드와이어(Andrew Dwyer)는 말했다.
드와이어는 “이번 사태는 범죄 조직이나 어떤 나라가 악의적으로 의도한 결과가 아닌 단순한 기술 장애였기 때문에 운이 좋았다고 볼 수 있다”며 “그러나 동시에 IT 공급망의 적당한 부분에 접근하면 전 세계적으로 큰 피해를 입히는 것이 얼마나 쉬운지 보여준다”고 강조했다.
IT 팀들은 문제 해결에 골치가 아프겠지만, 시스템에 장기적으로 심각한 피해가 가진 않을 것이다. 랜섬웨어가 아니라 단순한 업데이트 결함이었기 때문이다.
드와이어는 “만약 이번 사태가 랜섬웨어로 인한 것이었다면 몇 달 동안 심각한 장애가 발생했을 것”이라며 “팔콘과 같은 엔드포인트 위협 탐지 소프트웨어가 없으면 많은 조직이 사이버 보안에 더욱 취약해지겠지만 이러한 소프트웨어는 우리가 사용하는 컴퓨터 시스템에서 핵심 노드 역할을 하며 광범위한 접근 권한을 가지고 있기도 하다”고 지적했다.