크라우드 스트라이크 IT대란에 관한 정리 및 사견

최근 7월 19일 발생한 크라우드 스트라이크社 IT대란 사고에 관련하여 글을 찾아보니 다들 투자 및 주가 관련하여 적어놓으셨다보니 아쉬움을 느꼈습니다 이에, 저의 관점에서 정리 및 사견을 적어보고자합니다.

1) 사건개요
- 7월19일 크라우드 스트라이크에서 제공하는 '팔콘 센서' 업데이트 이슈로 블루스크린(BSOD) 발생한 사고입니다.

1-1) 크라우드 스트라이크랑 팔콘이 뭔데?

크라우드 스트라이크 : 클라우드 기반 사이버 보안업체로 맥아이피 임원들이 퇴사하여 2011년도에 설립한 회사라고 합니다.

우리나라에서는 생소하지만 시가 총액이 팔로알토 다음가는 2위 규모이기도 하고 EDR 백신분야에서는 세계 보안시장이 18%로 마이크로소프트사(25%) 다음으로 점유율이 높은 회사라고 하네요  

팔콘 : 크라우드 스트라이크 회사에서 제공하는 차세대 백신(NGAV) 시리즈이고 '팔콘센서'의 경우 최신 소프트웨어 다운 및 서버 전송하는 에이전트였다고 합니다.

2) 전세계 피해현황은 어느정도?
- 전세계에서 850만대의 기기에 영향을 준 것으로 알려져 있습니다. 이는 전체 기기의 1%라고 하네요

- 대표적으로 금융(영국런던 증권거래소, 이스라엘 주앙은행), 방송(영국 skynews) 등 항공사 5000대 이상이 지연되거나 취소하는 등 피해를 입었으며, 국내에서는 저가항공사(이스타, 제주) 나 게임사 (펄어비스)에서 장애를 겪었다고합니다.

여기서 시사점은 국내는 해외에 비해 피해가 적었다는 점인데 다양한 관점이 있어 아래에 좀더 상세히 얘기해보겠습니다.

3) 언제 배포가 시작되었는데?
- 해당 업데이트 패치는 한국 시간으로 7월 19일 13:09분에 시작되어 14:27분 롤백이 진행되었다고 합니다.

4) 그래서 원인이 뭐야?
- 현재까지 공식 2차 답변까지 나온 상태이나 공식적인 답변은 없는 상태입니다.

다만, 제3자 분석 및 의견 중 가장 유력한 내용이 있어서 적어봅니다.

[원인]
- 291 채널파일이라고 불리는 .sys 파일이 널값(0)으로 채워져 있는것이 식별, 이를 펠콘센서의 커널모드 드라이버인 CSagent.sys가 읽어낼때 오류를 적절하게 처리하지 못해 블루스크린을 야기 시킴

이는 크라우드 스트라이크사에선 부인하였지만 상세한 근거는 아직 밝히지 못하고 있는 상태라고 하네요

5) 국내 대응 현황
- 현재 우리나라의 피해는 크지 않습니다. 총 10개의 회사에서 피해를 입었다고 하고 (물론 쉬쉬하는 부분도 있을거지만) 과기정통부에서는 19일 관련 보도자료 및 KISA 측과 긴급대응팀을 구성 후 대응하고 있으며 특히 SKT,KT 등 26개의 주요 통신 분야와 금융쪽은 피해는 없는것으로 발표되었습니다.

6) 사고의 시사점 및 사견

해당 사고의 시사점은 아래 2개와 같다고 생각합니다. 다른 기사보면 초연결성 등을 얘기하던데 너무 두루뭉실하기도하고 너무 당연한 얘기라 뺐습니다.

(S/W 공급망) 계속적으로 중요시 여겨지는 공급망 이슈입니다. 특히 클라우드 공급망이나 보안 공급업체 등으로 연결되어 있는 현재의 특징이 잘 반영된 사고라고 생각합니다.

해당 이슈의 직접적인 원인은 수시로 진행되는 업데이트로 인해 QA(테스트)의 경시되는 안일함과 동시다발적으로 배포되는 SW공급망의 특성이 시너지를 일으킨 최악의 사고라고 생각합니다.

이를 뒷받침 해주는게 보통 중요 업데이트의 경우 지연 업데이트를 적용하나 자잘한 업데이트의 경우 바로 적용되는 구조인데,

해당 사고의 경우 바로 적용되는 중요도가 낮은 업데이트여서 발생하였습니다. 이는 해당 업데이트는 중요도가 낮은 업데이트였고 수시로 있던 상황이니 제대로된 테스트 없이 배포된 상황이라고 추론하는게 맞을 것 같습니다.

이는 전자금융감독규정이나 소프트웨어 개발가이드에서 잘 나와있듯이 공급망을 사용할땐 스테이징서버 등 사전 테스트도 중요하겠지만 언제나 그렇듯 개발자 교육 및 사고 복구(롤백 계획 수립 등)등이나 모니터링또한 같이 수립해야된다고 생각합니다.

(망분리) 다른 한편의 시각에서는 우리나라가 망분리 환경이라서 피해가 덜한거 아니냐? 라는 의견이 있습니다. 대체적으론 망분리보단 공급망 이슈라서 말도 안되는소리라고 생각하시는것 같은데 저는 반반인것 같습니다.

왜냐하면 보통 외부망의 경우 바로 업데이트가 되지만 내부망의 경우에는 파일을 수동으로 옮겨서 패치되는 망분리 특성상 해당 사고처럼 하루만에 이슈가 식별되는 사고 특성상 어느정도 도움이 되지 않았을까? 하는게 저의 의견입니다. 물론 인터넷망의 경우 중요도가 낮다보니 업데이트 시 테스트 환경으로 많이 쓰시는 경우가 있다보니  더욱 도움이 되지 않았을까..

다만, 보통 이러한 업데이트 특히 백신이나 보안 프로그램 업데이트의 경우 망연계 솔루션의 스트리밍으로 업데이트 서버를 예외처리하여 연결해놓는 경우도 존재하다보니 사실 위의 말이 크게 의미가 있는 의견인가 싶기도 합니다.

현재 우리나라는 망분리가 풀리는쪽으로 개선되나보니 보도되는 뉴스의 경우 격하게 망분리랑 관련없다 라고 말하는 분위기라고 느껴지긴했습니다. 다만 해당 사고가 망분리 규제 개선에 큰 영향을 미치진 않을 것 같네요

두서 없이 의견 적다보니 글의 내용이 많아졌네요 앞으로도 빛이 밝으면 암도 짙어지는 것처럼 공급망의 편리함으로 발생할 리스크를 잘 조절해나아가면 좋겠습니다.