출처: DALLE3를 사용하여 만든 이미지(VentureBeat)
크라우드스트라이크(CrowdStrike)가 목요일 늦게 발표한 잘못 구성된 콘텐츠 업데이트로 인해 마이크로소프트 윈도우 시스템 전반에 걸쳐 전 세계적인 중단이 발생하여 전 세계에서 가장 중요한 서비스 중 상당수가 오프라인 상태가 되었습니다.
CrowdStrike는 사이버 공격을 방지하기 위해 의심스러운 행동을 식별하는 시스템 활동을 모니터링하여 Falcon Sensor가 실시간 위협 탐지 및 엔드포인트 보호를 수행하는 데 사용하는 콘텐츠를 업데이트하려고 시도했습니다. 콘텐츠 업데이트에는 악의적인 활동을 미세 조정하도록 설계된 로직이 포함되어 있으며 CrowdStrike가 실시간으로 지속적으로 수집하는 최신 위협 인텔리전스를 기반으로 합니다.
"이것은 코드 업데이트가 아닙니다. 이것은 실제로 콘텐츠에 대한 업데이트였습니다. 이것이 의미하는 바는 악의적 행위자를 찾는 방법에 대한 몇 가지 추가 논리를 구동하는 단일 파일이 있다는 것입니다. 그리고 이 논리는 마이크로소프트 환경에서만 밀려나 문제를 일으켰다."라고 크라우드스트라이크의 CEO이자 설립자인 조지 커츠(George Kurtz)가 오늘 CNBC와의 인터뷰에서 짐 크레이머(Jim Cramer)에게 말했습니다.
즉각적인 글로벌 영향
이 중단은 호주에서 처음 발견되었으며, Windows 컴퓨터가 충돌하고 BSOD(Blue Screen of Death)가 표시되었습니다. 잘못된 업데이트로 인해 전 세계적으로 Windows 정전이 발생하여 Windows 기반 시스템을 사용하여 비즈니스를 운영하는 수십 개의 공항, 항공사, 은행 기관 및 서비스 회사에 영향을 미쳤습니다.
수십만 명의 여행객이 전 세계 공항에 발이 묶였습니다. 월스트리트 저널이 보도한 플라이트어웨어(FlightAware) 데이터에 따르면 금요일 오후 현재 약 2,600편의 미국 항공편이 취소되었으며, 전 세계적으로 4,200편 이상의 항공편이 취소되었습니다.
IT 중단의 영향은 Microsoft Azure 클라우드 플랫폼에도 퍼졌습니다. Azure 고객은 "CrowdStrike Falcon 에이전트를 사용하는 Windows 컴퓨터에서 응답 없음 및 시작 실패를 경험하여 온-프레미스 및 다양한 클라우드 플랫폼 모두에 영향을 미치고 있다."라고 불평했습니다. Azure 상태는 중단이 미국, 유럽, 아시아 태평양, 중동 및 아프리카의 4개 지역에 걸쳐 Azure 가상 머신에 여전히 영향을 미친다는 것을 보여줍니다.
IT 팀은 클라우드 기반 시스템을 실행하는 모든 고객에 대해 개별화된 업데이트가 필요한 많은 클라우드 기반 구성으로 인해 긴 주말과 힘든 7월을 보내고 있습니다. IT 팀에게 휴식을 주고, 가능하다면 잘못된 구성이 해결될 때까지 대규모 프로젝트를 연기합니다.
가동 중단은 사이버 복원력 향상을 위한 조치를 촉구해야 합니다
기업의 사이버 복원력이 높을수록 공격, 침입 및 침해를 포함한 다양한 불리한 조건을 예측하고, 견디고, 복구할 수 있는 능력이 향상됩니다. CISO는 고위 경영진과 이사회에서 사이버 복원력을 핵심 역할의 핵심 부분으로 올바르게 파악해야 하는 경우가 많습니다.
트러스트웨이브의 CISO 코리 대니얼스(Kory Daniels)는 최근 "이사회는 '공식적인 직함의 최고 회복탄력성 책임자(Chief Resilience Officer)'를 두는 것이 중요한가?"라는 질문을 하기 시작했다고 말했습니다. VentureBeat는 더 많은 이사회가 광범위한 위험 관리 프로젝트 팀에 사이버 복원력을 추가하고 있다는 사실을 알게 되었습니다. 공급망 전반에 혼란을 야기하는 세간의 이목을 끄는 랜섬웨어 공격은 유나이티드 헬스케어(United Healthcare)의 침해 사례에서 알 수 있듯이 모든 기업이 견뎌내기 위해 가장 비용이 많이 드는 공격 중 하나입니다.
잘못된 구성으로 인한 가동 중단은 기업 DNA의 핵심 부분이 될 정도로 적극적으로 추진되는 고유한 형태의 사이버 복원력의 필요성을 강조합니다. 잘못 구성된 업데이트로 인해 전역 중단이 계속 발생합니다. 이는 복잡하고 통합된 시스템으로 정의되는 상시 가동되는 실시간 세계의 영역과 관련이 있습니다. "규모도 중요하지만 소스도 중요한데, 예를 들어 Snowflake는 SaaS 구성 오류로 인한 것이고, SolarWinds는 러시아의 지원을 받는 공급망 공격이었습니다."라고 Baer는 말했습니다.
이번 주의 글로벌 정전은 국가의 사이버 보안이 취약하거나 존재하지 않는 경우 국가 차원의 공격이 어떤 모습일지 보여줍니다. 국가 사이버 복원력 및 사이버 방어와 관련하여 무엇이 위태로운지 엿보려면 최근 발표된 2024년 미국 정보 커뮤니티의 연례 위협 평가를 확인하십시오.
잘못된 구성에 대응하기 위해 사이버 복원력은 문제를 신속하게 식별 및 정의하고, 수정 사항을 정의하고(이상적으로는 자동화할 수 있는 규모로), 영향을 받는 모든 고객 및 개인과 과도하게 커뮤니케이션해야 합니다. 내부 사이버 복원력을 올바르게 구축하려면 정확하고 모든 사람이 쉽게 액세스할 수 있으며 가능한 한 실시간으로 보고할 수 있어야 합니다. 목표는 업데이트에 관련된 모든 사람에게 결과를 소유하고 파트너 플랫폼 간의 회귀 테스트 및 테스트가 완료되었음을 알 수 있는 기회를 제공하는 것이어야 합니다.
"CrowdStrike의 Falcon 서비스는 Windows 시스템에서 소프트웨어를 사용하는 많은 고객에게 영향을 미치는 불행한 글로벌 중단을 겪었습니다. 크라우드스트라이크의 사고 대응팀이 근본 원인을 파악하고 고객에게 신속하게 알린 것은 칭찬할 만한 일이며, CEO의 블로그는 정직하고 명확했다."라고 JFrog의 현장 CISO인 폴 데이비스(Paul Davis)는 VentureBeat에 말했습니다.
Kurtz는 소셜 미디어 플랫폼 X와 LinkedIn에 업데이트를 계속 게시합니다. 아래의 가장 최근 X 게시물에서 그는 중단이 어떻게 발생했는지에 대한 근본 원인 분석을 제공하기로 약속했습니다.
"보안 분야에서는 항상 예상치 못한 상황에 대비하고 예상치 못한 사건에 대비해야 합니다. 완벽한 소프트웨어는 없습니다. 어쨌든 소프트웨어는 인간에 의해 만들어지며, 실수를 저지르는 것은 인간입니다. 가장 중요한 것은 문제를 얼마나 빨리 식별하고 복구하느냐입니다."라고 Davis는 VentureBeat에 말했습니다.
시스템 복구
크라우드스트라이크(CrowdStrike)는 서비스 중단의 영향을 받은 시스템을 복구하고 잘못 구성된 업데이트의 영향을 받는 시스템 또는 호스트를 찾기 위한 지침을 사이트에 게시 했습니다.
먼저 영향을 받는 컴퓨터를 안전 모드로 시작해야 합니다. 이 단계는 업데이트가 필요한 Falcon Sensor 소프트웨어가 Windows 운영 체제의 하위 디렉토리에 포함되어 있기 때문에 필요합니다. 안전 모드로 부팅하는 것은 이 하위 디렉토리에 액세스하고 필요한 업데이트를 수행하는 데 필수적입니다.
영향을 받는 PC에서 BitLocker 또는 기타 FDE(전체 디스크 암호화) 소프트웨어를 사용하는 경우 각 컴퓨터에 대한 복구 키가 필요합니다. CrowdStrike는 영향을 받는 시스템을 복구하는 방법을 자세히 설명하는 블로그 게시물에서 다음 단계를 권장합니다.
사이버 복원력은 고객 신뢰의 대용물입니다
"보안 공급업체는 고객의 성과를 손에 쥐고 있다는 점을 이해해야 합니다. 크라우드스트라이크가 앞으로 같은 방식으로 업데이트를 추진하지 않을 것이라고 생각한다."라고 베어는 벤처비트에 말했습니다. 전 세계적인 정전으로 인해 수십만 명의 삶이 혼란에 빠지고 비즈니스가 중단되고 있습니다. 클라우드 기반 시스템에 의존하여 고객과 연결하는 설계자의 작업 현장부터 수천 명의 동료가 로그인할 수 없는 대규모 기업에 이르기까지, 오늘날의 경험은 사이버 복원력이 보안 이니셔티브 그 이상임을 분명히 보여줍니다. 고객 경험의 초석이 되어야 합니다.
고객의 신뢰를 얻고 유지하는 것은 비즈니스를 가능한 한 사이버 복원력으로 만드는 데 달려 있습니다. 가동 중단은 모든 기업이 유사한 사건에 얼마나 잘 대비하고 있는지 평가하기 위해 도가니로 볼 필요가 있는 강력한 사건입니다.
글로벌 시스템 간의 복잡한 통합 및 연결을 감안할 때 향후 중단이 발생할 수 있습니다. 모든 기업은 사이버 복원력에 대한 책임을 지고 나중이 아닌 지금 당장 탁월한 성과를 거둘 수 있도록 선택해야 합니다.
이상의 기사는 2024년 7월 19일 VentureBeat에 게재된 “CrowdStrike’s IT outage makes it clear why cyber resilience matters”제목의 기사 내용을 편집하여 작성하였습니다.
* 원문정보 출처 : CrowdStrike's IT outage makes it clear why cyber resilience matters | VentureBeat
저작권자 ⓒ 창조아고라, 무단 전재 및 재배포 금지