주의. 사건·사고 관련 내용을 설명합니다.
이 문서는 실제로 일어난 사건·사고의 자세한 내용과 설명을 포함하고 있습니다.
이 문서는 실제로 일어난 사건·사고의 자세한 내용과 설명을 포함하고 있습니다.
1. 개요
| 사건을 설명한 안될공학의 영상 |
| 한눈에 이해할 수 있는 원인 영상(귀갱 주의) |
| | |
| 보안 소프트웨어 오류로 블루스크린이 띄워진 뉴어크 리버티 국제공항 풍경 | |
2024년 7월 19일 협정 세계시(UTC) 새벽 4시경(한국 시간 오후 1시경)부터 마이크로소프트 윈도우상에서 실행되는 크라우드스트라이크[1]의 EDR[2]보안 소프트웨어 '팰컨 센서'의 오류로 인해 전세계적인 전산망 마비 및 서비스 장애가 발생한 사건이다.
국내 언론들은 MS 클라우드의 문제라고 설레발치고 있었으나 이는 당시 발생하고 있었던 MS 클라우드의 장애[3]와 이 사건을 혼동한 것이고, 이 사건 자체는 MS 윈도우나 MS 클라우드 서비스가 아니라 기업들이 별개 구매하여 설치한 서드파티 소프트웨어의 문제 때문에 발생한 사건이다.[4] 언론 입장에서야 국민들이 이름조차 모르는 크라우드머시기가 사고 친 것보다는 그 유명한 MS가 사고 쳤다고 하는게 기사의 관심을 대폭 끌 수 있으니 좋을 것이다. 한때 크라우드스트라이크의 "크라우드"와 "클라우드"를 혼동하는 황당한 실수도 굉장히 자주 보였다.
증상은 주로 Windows 10이 설치된 PC에 블루스크린(BSOD: PAGE_FAULT_IN_NONPAGED_AREA, 0x00000050)이 표시된 뒤 임의로 계속해서 재부팅되는 형태로 나타났으며, CSAGENT.SYS 파일에 문제가 있다는 메시지를 출력했다.
이와 별개로 동년 4월부터 크라우드 스트라이크발 레드햇 리눅스에서 커널 패닉이 발생하고 있다. #
2. 발생 및 대처
문제의 원인인 크라우드스트라이크의 공식 성명에 따르면, 크라우드스트라이크사의 "팰콘 센서"라는 소프트웨어에 하자가 있는 패치가 배포되며 일어난 문제라고 한다.문제를 야기한 패치는 7월 19일 04:09 UTC(한국시각 7월 19일 13시 9분)에 배포되었고, 1시간 37분 후인 7월19일 05:27 UTC(한국시각 같은 날 14시 27분)에 롤백(원복) 조치가 되었다. 제작사는 초기 배포와 롤백 사이에 팰콘 소프트웨어가 설치된 윈도우 PC가 인터넷에 접속된 상태라면 하자가 있는 패치가 자동으로 설치, 실행되면서 그 PC가 다운된다고 설명했다. # 전세계적으로 사태가 심각할 정도로 확산된 것은 한국표준시 기준 7월 19일 오후 2시경부터다.
크라우드스트라이크사의 팰콘 센서 소프트웨어를 설치하면 윈도우 부팅시 자동연계 실행되어 악성코드가 실행할 법한 패턴이나 흔적을 분석하고 악성코드를 감지하는 역할을 하는데, 이 소프트웨어는 부팅과 연계되어 작동하기에 문제가 발생하면 PC 부팅이 되지 않게 된다.
마이크로소프트 CEO 사티아 나델라는 엑스(구 트위터)를 통해 크라우드스트라이크가 현 사태를 일으킨 업데이트를 배포하였으며, 마이크로소프트 역시 당사와 긴밀한 협조를 통해 문제를 통제하고 고객 IT 시스템의 복구를 돕겠다고 성명을 발표했다. #
크라우드스트라이크 사의 창립자이자 CEO인 조지 커츠는 X(트위터)를 통해 보안 사고나 사이버 공격은 아니라고 밝혔다. #
CrowdStrike는 Windows 호스트용 단일 콘텐츠 업데이트에서 발견된 결함으로 인해 영향을 받은 고객과 적극적으로 협력하고 있습니다. Mac 및 Linux 호스트는 영향을 받지 않습니다. 이는 보안 사고나 사이버 공격이 아닙니다. 문제가 확인되어 격리되었으며 수정 사항이 배포되었습니다. 최신 업데이트는 지원 포털에서 확인할 수 있으며, 앞으로도 웹사이트를 통해 지속적으로 업데이트를 제공할 예정입니다. 또한, 조직은 공식 채널을 통해 CrowdStrike 담당자와 소통할 것을 권장합니다. 저희 팀은 CrowdStrike 고객의 보안과 안정성을 보장하기 위해 전력을 다하고 있습니다.
2.1. 사용자 임시 조치법
크라우드스트라이크와 마이크로소프트의 공식 성명을 바탕으로 한 임시 조치법 중 일부이다. # #- 윈도우를 안전 모드로 부팅하거나 외장 드라이브에 탑재한 윈도우로 부팅
- C:\\Windows\\System32\\drivers\\CrowdStrike로 이동
- C-00000291*.sys 파일 찾아서 삭제
- 정상적으로 재부팅
주의점으로, 위의 조치법이 적절치 못할 수 있다. 개인용 PC가 아니라 기업용 컴퓨터에 이런 문제가 발생한 경우, 나무위키에 적힌 정보나 크라우드스트라이크 자체 정보를 직접 멋대로 따라하지 말고[5] 해당 기업의 IT 체제를 숙지하고 있는 사내 IT 부서의 안내를 따르는 것이 적절하다.
해결법의 골자는 하자가 있는 해당 파일을 삭제하거나 되돌려서 복구하는 것이다. 따라서 BBC의 사이버 전문기자 조 타이디(Joe Tidy)는 '이는 곧 기업 IT 담당자가 본부에서 명령을 실행해 한번에 고칠 수 있는 것이 아니라, 컴퓨터 한대씩 직접 재부팅해야 한다는 것'이라 말하며 사태를 단기간에 고치기 쉽지 않을 수 있다고 분석했다. # 즉 PC 자체가 부팅을 하지 못하는 만큼, PC를 사내망에 접속시켜 IT 관리자가 원격으로 고칠 수 없기에 IT 인원이 일일이 고쳐야 하는 고된 작업이 필요하다는 것.[6]
또한 BitLocker등의 암호화가 걸린 경우, 암호화를 다른 방식으로 풀고 해당 파일을 삭제하는 번거로움이 필요하다. 그리고 서버의 경우는 모니터가 없거나, 엔지니어가 멀리 떨어져 있거나, 물리적 접근을 할 수 없을 수도 있기에 굉장한 고역이 예상된다.[7]
3. 원인
크라우드스트라이크사의 보안 플랫폼 '팰컨 센서'의 업데이트 버전에 오류가 있어 문제를 빚은 것으로 알려졌다. 원래 팰컨 센서는 이러한 사태를 방지하기 위해 '지연 업데이트' 옵션을 제공하고 있고 대부분의 기업들이 해당 옵션을 사용하고 있었다. 그러나 지연 업데이트는 프로그램 자체를 업그레이드하는 대규모 패치에만 적용되고, 이번 문제는 수시로 발송되는 '정의 업데이트' 후 발생해 속수무책으로 당할 수밖에 없었다. 크라우드스트라이크 측은 온라인 채널 공지를 통해 문제를 인지하고 있으며 엔지니어링 팀이 문제를 해결하기 위해 작업 중이라고 설명했다.크라우드스트라이크의 첫번째 공식 성명에 따르면, 문제를 야기한 패치는 0527 UTC에 롤백 조치를 하였으며, 이 이전에 업데이트 되어 문제의 소프트웨어를 설치한 컴퓨터는 이 문제를 일으킬 것이라고 발표했다. 이 성명은 사태의 원인에 대해 "팰컨 센서 제품에 하자가 있는 업데이트가 나갔다" 정도의 원론적인 내용 밖에 안되었다. #
현지 시간 7월 20일에 발표한 두번째 공식 성명에서는 "하자가 있는 채널 파일이라는 .sys 파일이 배포되었다"의 내용과 문제가 된 채널 파일이 "논리적 오류를 일으켰다"라는 두리뭉실하고 원론적인 서술을 하여 사태의 근본적인 원인에 대해서는 추후의 발표를 기다리라며 말을 아꼈다. # 크라우드스트라이크 측에서 문제가 발생한 해당 .sys 파일 자체는 커널 드라이버는 아니지만, "채널 파일"이라는 특수한 파일이라 밝혔다. 문제가 된 채널 파일 291은 악성코드가 명명 파이프[8]를 쓰고 있는지 추정하는 것을 정의하는 파일이라고 설명했다.[9] 이런 채널 갱신은 하루에도 몇번씩 상시에 이루어지는데, 이 업데이트에서는 파일에 하자가 있어서 컴퓨터를 마비시켰다고 설명하였다.
한편 제3자의 업계 종사자에 의해 비공식적으로 분석한 결과에 의하면 문제가 된 해당 채널 파일은 전부 0(널 바이트)로 채워져 있었다고 한다.# 채널 파일을 읽고 그에 따라 적절히 역할을 수행하는 팰콘 센서 제품의 본 코드이자 커널 모드 드라이버인 CSAgent.sys가 비정상적인 채널 파일을 읽으면 그에 따라 적절한 오류 처리 없이 그냥 죽어버리고[10], 부팅도 막아버리는 것이다. # 채널 파일 자체는 실행 가능한 커널 코드는 아닌데, 그것을 읽고 그에 따라 동작하는 CSAgent.sys는 커널 코드이기에 문제가 발생하면 시스템을 통째로 먹통으로 만들어 버린다. 사측에서 발표한 "채널 파일이 (CSAgent.sys)에 논리적 오류를 일으켰다" 성명과 일맥상통하다. 같다. 다만, 사측에서 널 바이트가 문제의 원인이 아니라고 기술했지만, 왜 문제의 원인이 아닌지, 문제된 그 파일이 전부 널 바이트인건 전혀 관련이 없는 건지는 설명을 하지 않아 사측의 추가적인 분석이 필요해 보인다.
이런 업데이트가 어떻게 사내 검증 철차를 통과했는지, 어떻게 동시다발적으로 전 세계에 배포되었는지 큰 논란을 일으키고 있고, 사측의 공식적인 입장도 아직 없다. 프로그램 버그는 있을 수 있을지라도, 소프트웨어를 판매하는 업자들은 QA를 통해 피해가 고객에게 전가되지 않도록 방지할 의무가 있다.[11][12] 전문가들에 의하면 이러한 검증 철차를 건너뛰었다고 추측된다고 한다.# 이것이 사실이라면 소프트웨어 비즈니스 운영의 기본적인 안전장치 조차도 정상작동 하지 않고 있다는 안전불감증 문제로 보인다. 게다가 두번째 공식 성명에서는 채널 코드는 단지 설정 파일이고 코드가 아니기에 별도의 절차 없이 수시로 업데이트된다는 식의 서술이 있어 업계 중론은 QA 안전장치가 사실상 없다는 것이 기정사실화 되었다. 심지어는 일각에서는 이런 식으로 전세계로 뿌려진 것이 버그가 아니라 악의를 품은 악성코드였다면 전무후무의 초대형 사건이 일어났을 것이라는 의견도 있다.[13]
마이크로소프트사 역시 이런 하자가 있는 커널 코드가 무분별하게 뿌려진 상황에 책임이 있지 않느냐는 시선도 있다. 과거, 특히 윈도우 XP시절에 이런 식으로 하자가 있는 커널 드라이버가 무분별하게 배포되어[14] 그 당시 윈도우의 악명높은 불안정성을 야기한 전력이 있었기에, 이런 상황을 막을 정책이 아직도 없다는 것에 대해 불만을 표출하는 의견이 있다.
다만 이에 대해 마이크로소프트 대변인은 과거 2009년 유럽 위원회의 항의에 따라 서드파티 보안 소프트웨어 업체가 마이크로소프트와 동일한 윈도우 접근 권한을 제공해야 한다는 지침이 있어서 애플과 같은 방식으로 서드파티 업체에 권한을 제한할 수 없다고 주장했다. 그러자 이 주장을 들은 자유 소프트웨어 재단에서는 이를 비판하는 논평을 내었다.
4. 피해
전세계 수많은 분야에서 크고 작은 피해들이 연달아 발생했다. 완전히 복구되기까지 길게는 몇 주가 걸릴 것으로 보인다. 다만 한국에서는 국산 EDR 프로그램의 점유율이 높기 때문에 금요일 업무시간에 사태가 터졌음에도 외국만큼 큰 영향을 받지 않았다.4.1. 경제
영국 런던증권거래소와 말레이시아 증권거래소가 심각한 서비스 장애를 겪었다.#런던증권거래소는 주요 지수 산정이 평소보다 20분 늦게 시작됐다. 매매를 하지 못한 투자자도 있다고.
또한 전 세계적으로 장애가 일어나고 있다며 RNS 뉴스 서비스와 일부 데이터를 제공하지 못했다. 이후 거래소 측은 기술팀이 서비스 복구 노력 중이고 현재 증권거래소 등은 정상 운영중이라고 밝혔다.
이탈리아 밀라노증권거래소도 지수 산정이 30분간 지연됐다.
이스라엘 중앙은행은 국가 은행망에 "일부 영향이 갔다"고 밝혔다. #
남아프리카공화국 최대 규모의 은행인 캐피텍 은행의 수많은 고객들이 거래 거절 사태를 겪었다. #
알리안츠 역시 전산망 마비로 인해 직원들이 로그인을 할 수 없는 사태가 벌어졌다. #
영국 은행도 장애가 발생했으며 호주 최대 은행 커먼웰스는 송금 서비스가 중단됐다.
쿠팡 역시 쿠팡풀필먼트서비스와 쿠팡로지스틱스서비스가 공동 사용하는 전산망이 먹통 상태에 빠졌다. #
호주에서 은행 이체 서비스 장애, 현금자동입출금기 오류 등 금융권 피해가 잇따랐다.
미국, 독일, 브라질, 인도 등에서도 금융 서비스 장애가 발생했으며 일부 국가에서는 행정서비스까지 제대로 작동하지 않는 등 피해는 지속됐다.
테슬라의 일부 생산 공정도 한때 가동 중단되어 직원들이 일찍 퇴근했다. 일부 공장 컴퓨터 화면이 파랗게 변해버리면서 작업이 불가능해졌는데, 일론 머스크가 직접 "자동차 공급망에 발작을 일으켰다"고 밝혔다.
4.2. 교통
미국 워싱턴 DC의 대중교통을 담당하는 WMATA는 엑스(구 트위터)에 새벽 5시부터 시작되는 지하철 운행을 연기했고, 버스 운행 역시 영향을 받을 수 있다고 경고했다. #[15]보스턴 지역의 MBTA는 열차는 정상운행하지만 열차 위치와 도착 정보는 확인할 수 없다고 밝혔다. #
발트해의 주요 물류 허브인 폴란드 그단스크의 발틱 허브는 운영을 일시 중단했다. #[16]
미국 뉴저지 뉴어크의 물류 터미널들도 당일 운영 개시를 연기했다. #
런던 택시 기사들은 카드 결제가 막혀 현금만 받아야 했다. #
이탈리아의 철도 서비스 이탈로와 트레니탈리아는 운행 중 시스템이 다운되어 모두 중단되었고, 거기에 더해 승객들이 극심한 더위를 호소하는 긴급신고가 쇄도했다. 그리고 제노아 인근 항만에서는 자동 출입 게이트가 전산 마비로 작동하지 않아 컨테이너 하역을 하려는 트럭들이 20km 가까이 줄을 서는 일이 벌어졌다. #
7월 20일 미국과 멕시코 국경 검문소의 시스템에도 장애가 생기면서 입국심사가 마비되어 멕시코 북부 시우다드후아레스와 미국 남부 엘패소를 잇는 국경 도로에는 멈춰 선 차량들이 3차선 도로를 끝이 보이지 않을 정도로 가득 메웠다.
4.2.1. 항공
세계 곳곳 공항 카운터가 먹통이 됐다. 때문에 비행기를 타려던 승객들이 현지에 억류되는 일이 속출했다. 독일 베를린의 공항들에서 체크인이 지연되고 영국 에든버러 공항의 체크인이 마비됐다. 호주에서는 아예 항공편이 결항되었다. 네덜란드 암스테르담에 있는 스키폴 공항. 포르투갈.스페인 대부분의 공항, 스위스 등 유럽 주요 공항도 운영을 임시 중단했다. #세계 수많은 항공사들이 항공편 운항을 중단했다. 한국 시간 오후 7시 기준으로 전세계적으로 1390편 가량의 항공편이 결항됐다. # 미국의 주요항공사인 델타항공, 유나이티드항공, 아메리칸항공 등도 12시간 가량 운항이 중단되면서 세 항공사가 전국적으로 지상 정지를 당했다. 이후 새벽 1시 쯤에는 미국 국내 결항 비행편만 2000편을 넘어섰는데, 이로 인해 7월 19일 미국은 9.11 테러 이후 가장 비행기가 없었던 하루였다. # 미국 하늘 거기에다 아예 해당 소프트웨어를 쓰지 않는 사우스웨스트 항공 같이 전산망이 영향을 받지 않은 항공사들의 비행편들도 앞선 비행편들의 지연 및 결항이 누적되며 간접영향을 피해갈 수 없게 되며 세계 거의 모든 항공사들이 지연을 겪고 있다.
인도에서는 인디라 간디 국제공항에서 게이트 안내와 수하물 태그를 직원들의 수기로 작성하는 해프닝이 있었고,# 인디고 항공은 수기로 보딩패스를 작성하는 사태까지 벌어졌다. #
홍콩, 멕시코, 콜롬비아 등의 공항에도 유사한 장애가 발생해 비행기를 타려는 사람들로 긴 줄이 만들어졌다.
한국 국내선에서는 이스타항공, 제주항공, 에어프레미아의 발권과 예약 시스템에 오류가 발생해[17] 역시 직원들이 대거 투입되어 수기 발권을 하는 일이 벌어졌다.
인천국제공항 측도 오후 5시경부터 이스타항공, 제주항공, 젯스타, 델타항공, 홍콩 익스프레스, 아메리칸 항공, 에어프레미아 등 일부 항공사의 발권 시스템이 영향을 받아 온라인 예약, 모바일 체크인, 항공권 발권과 보딩 수속이 지연되고 있다고 밝혔다. 이로 인해 출국장에 탑승객들이 창구로 일제히 몰려 항공기 탑승 수속을 받으려는 줄이 길게 늘어서기도 했다.
김포국제공항과 제주국제공항에도 키오스크가 먹통이 되면서 발권과 수속을 기다리는 긴 줄이 늘어섰다. 3시간 이상 기다릴 정도였다.
7월 20일 국토교통부는 전국 공항에서 어제 하루 101편이 지연[18]되고 4편이 결항됐다고 밝혔다.
7월 20일 오전 3시 30분경 국내 저비용 항공사들의 IT 서비스는 모두 복구됐으나 외항사를 중심으로 문제가 지속됐다. 오전 델타항공과 유나이티드항공 등 8개 외항사 여객기 14편이 제시간보다 늦게 출발하거나 도착하는 등 차질을 겪었다. 이 중 3개 항공사 시스템은 20일 저녁 기준으로 아직 복구 중이다.
이날 여전히 전 세계 공항에서는 수천 개의 항공편이 취소되고 수만 편의 운항이 지연됐다. 미국에서만 3000편이 결항됐다. 만 하루동안 전세계적으로 4,700편이 취소됐으며 4만편 넘게 지연된 것으로 집계됐다.
4.3. 행정
미국 법무부는 Microsoft 365 등 프로그램을 이용할 수 없게 되어 다른 방안을 찾고 있다고 내부 메모로 전했다. #캘리포니아 샌디에이고에서는 구치소 수감 처리 시스템이 몇 시간 동안 다운되었다. #
독일 내무부와 뉴질랜드 의회도 IT 시스템 작동에 문제가 생기는 등 피해를 입었다.
4.4. 의료
영국 NHS는 의료기록 저장과 예약 시스템 장애 등 전산망 총체적 마비로 신규환자 예약, 진료 및 처방 등 모든 의료활동이 중단되었다. # 영국 약국 시스템 장애로 약국 처방, 서비스 운행이 중단되어 영국약국협회도 같은 문제를 겪고 있다고 전했다. #미국 애리조나 등 일부 지역에서 911 전산망 마비로 구급차 배차 등을 직접 일일이 전화를 걸어 진행하고 있다. # 예정된 수술도 취소되는 등 의료기관 피해가 속출했다.
미국의 주요 혈액은행들은 물류와 항공 마비로 인해 혈액 공급이 지연되거나 직원들이 차를 몰고 직접 혈액 전달에 나서기까지 했다. #
독일과 네덜란드에서는 병원의 진료와 수술 취소가 잇따랐다.
4.5. 방송
영국 Sky News는 사내망 마비로 생방송을 중단했다. 이후 아침 생방송이 불가능한 상태라며 사과문을 올렸다.프랑스의 CANAL+와 TF1는 방송을 진행할 수 없을 수준으로 방송국이 마비되었다.
호주 ABC와 SBS는 정규방송을 진행할 수 없게 되었고, SBS는 결국 이 소식을 인스타그램으로 시청자들에게 전했다. 영상 중간에 나오는 밀하우스 밴 하우튼과 We'll Be Right Back 밈은 덤... #
4.6. 게임
마이크로소프트의 Xbox와 게임패스 등 게임 서비스도 이용 불가 상태에 빠졌다.MS 자회사인 모장 스튜디오의 게임 마인크래프트의 일부 서버들이 영향을 받았으며, 그중 국내에서는 인터넷 방송인 서버 웰컴투 멋봉리가 잠시 다운되었다.
온라인 게임 검은사막은 오후 2시 17분부터 약 3시간동안 긴급 서버 점검을 진행한 뒤 서비스를 재개했다. #
레이싱 게임인 iRacing의 서버도 영향을 받아 한국시간 20일 오전2시 30분 까지도 복구가 되지 않고 있다.
그라비티도 오후부터 홈페이지를 비롯해 라그나로크 온라인 등 게임 접속에 장애가 발생해 긴급 점검을 진행했다.
4.7. 문화/스포츠
2024 파리 올림픽 조직위원회도 전산이 마비되는 등 IT 시스템에 타격을 입었으나, 대책을 이미 다 마련해뒀다며 비상대책을 가동한다고 밝혔다. #포뮬러 원의 메르세데스-AMG 페트로나스 포뮬러 원 팀도 블루스크린과 고전하는 모습이 사진에 포착됐는데,[19] 아이러니하게도 이 팀의 후원사 중 하나가 다름아닌 크라우드스트라이크라서 팀 크루들의 유니폼에 사건의 원흉 로고가 떡하니 붙은 모습이 찍혀 있다. 헝가리 그랑프리를 앞두고 있는데 이를 해결했는지는 불명이다.[20]#
뉴욕 타임스 스퀘어의 대형 전광판들이 하나둘씩 블루스크린으로 변하더니 일부 전광판은 완전 꺼져 버려 먹통이 됐다. #
아이유와 그녀를 보기 위해 미국으로 향했던 그녀의 팬들인 유애나들도 큰 피해를 입었다. 아이유는 이 기간 자신의 첫 미국 투어인 HEREH 공연중이었는데, 그녀가 자신의 팬카페를 통해 전한 바에 따르면 애틀란타 공연 이후 워싱턴 공연으로 이동하기 위해 팀 전원이 함께 예매해두었던 항공기가 결항되면서 팀 전원이 버스를 타고 육로로 11시간을 이동해야 했다고.#팬들도 공항 결항/연착의 반복으로 인해 공항에서 장시간 대기하는 불편을 겪은 사람이 많았다고 한다.
김창완의 경우 이 사태로 공항에 발이 묶여 자신이 진행할려는 라디오의 첫방송 생방을 못 할 처지였으나, 어찌저찌 잘 해결됐는지 무사히 첫방 생방에 참여할수 있었다.
4.8. 서비스업
일본 맥도날드는 POS기에 이상이 생겨 30% 가량의 점포를 닫고 상당수의 다른 점포들도 운영을 제한했다고 밝혔다. #오사카의 유니버설 스튜디오 재팬에서 계산 시스템에 이상이 생기면서 식당 등이 영업을 중지했다.
미국 애리조나 피닉스의 한 힐튼 호텔은 카드키 생성 시스템이 먹통이 되어 새로 체크인하는 투숙객들의 방을 직원들이 하나하나 열어줘야 했다. #
이 외 배송업체들은 배송 지연을 예고했으며 식료품점 등에서 결제가 제대로 되지 않았다.
5. 반응
5.1. IT업계
크라우드스트라이크의 창립자이자 CEO 조지 커츠는 NBC의 '투데이'에 원격으로 출연해 사태에 대해 사과하며 "우리의 임무는 모든 고객이 회복되도록 하는 것이고, 모든 고객이 원래 있던 곳으로 돌아가기 전까지 쉬지 않을 것"이라 다짐했다. #저명한 사이버 보안 컨설턴트 트로이 헌트는 "역사상 가장 큰 전산 마비 사태라고 해도 이르지 않다"#고 하고, "우리들 모두가 2000년 문제 당시에 걱정했던 우려가 실제로 일어났다"#고 표현했다.
해외 IT업계 커뮤니티에서는 크라우드스트라이크사의 부적절한 업데이트 배포에 대한 비판을 표하는 의견이 많다. 또한, 커널 모드 소프트웨어에서 오류가 나면 컴퓨터가 통째로 먹통이 되기에, 이런 식의 무분별한 커널 모드 코드에 대한 비판은 꾸준히 제기되어 왔으며, 이번 사태 때문에 커널 모드 소프트웨어를 사용을 중지해야 한다는 비판의 목소리가 다시 재조명 받고 있다. 라이엇 뱅가드 역시 커널 모드 코드 기반 안티 치트 소프트웨어이기에 이번 사태 때문에 또 재조명받았다.
또한 관련 업계 종사자라도 사내 IT나 보안 관련 업무를 하지 않으면 본인 회사가 무슨 EDR 솔루션을 쓰는지 알 이유가 없으므로 크라우드스트라이크라는 회사가 뭔지조차 모르는 사람도 굉장히 많다. 반 농담조로 EDR이 도대체 뭐냐고 묻는 사람도 있을 정도. 잘 알지도 못하는 회사가 잘 알지도 못하는 기업용 EDR 시장에서 점유율이 엄청난데 사고를 쳐서 세계를 혼란에 빠뜨렸다는 것이 충격적이라고.
5.2. 미국
미국 백악관 NSC 대변인 에이드리언 왓슨은 "사건을 인지하고 있고 문제와 영향을 살피는 중"이라 현지시각 오전 7시경 밝혔다. # 이후 미국 국토안보부는 엑스(구 트위터)에 "크라우드스트라이크와 마이크로소프트, 그리고 지방단체와 기반시설 파트너등과 시스템 다운을 완전히 분석하고 대처할 것"이라 입장을 내놓았다. # 9시 40분 경에는 조 바이든 대통령도 사건에 대해 브리핑을 받았고, 크라우드스트라이크와 피해 당사자들과 연락을 주고받고 있다고 전해졌다. #5.3. 영국
영국 다우닝가 10번지는 현지시각 정오 경 긴급회의를 소집했다.[21] #5.4. 일본
일본에서도 나리타 공항이나 USJ, JR서일본에서 자판기에 이르기까지 광범위하게 시스템 장애가 일어났지만, 2024년 7월 20일 기준 키시다 내각에선 별다른 코멘트를 내놓지 않았다.5.5. 대한민국
대한민국 과학기술정보통신부는 크라우드스트라이크 한국 지사와 소통하면서 국내 피해 상황을 파악했고, 마이크로소프트 한국 지사에도 가능한 한 빨리 사고 원인과 피해 규모를 파악해 줄 것을 요청했다. # 한국인터넷진흥원은 공식 사이트에 대처 방안을 공고했다. #카카오 독과점으로 인해 여러번 홍역을 치른 경험이 있는 한국에서는, 이번 사태를 두고 MS의 독점시장 구조를 비판하는 기사가 여럿 올라왔고 이에 동조하는 반응 또한 적지 않다. 다만 이는 MS와 Windows의 존재가 제공하는 국제 표준과 경제적 효율성을 간과한 견해이며, 인구수 5천만 남짓한 국가의 내수기업과 전세계를 상대로 장사하는 글로벌 괴물기업을 그대로 동일선상에 놓고 비교한 매우 단순한 사고이다.[22] 게다가 한국에서 카카오 관련 문제가 많이 일어난 것은 독과점 이전에 기본적으로 카카오 자체가 기술적으로 부실하고 결함이 많은 탓이다.[23] 카카오톡/문제점 및 비판 참고.
6. 영향
파일:CRWD_2024-07-20_09-51-27.png
이 사건으로 인해 크라우드스트라이크는 천문학적인 규모의 소송을 피하기 어려워졌다. 또한 회사의 주가도 나스닥 장전 시간외거래에서 최저 21%나 급감했다. 약 160억 달러가 증발한 셈이다.# 이후 개장 전 조금씩 다시 상승세를 보여 13% 가량 감소로 선방했고,#[24] 개장 후에는 저가매수의 기회로 본 투자자들의 매수 탓인지 오히려 주가가 상승했다.
마이크로소프트도 영향을 받아서 주가가 일시 하락했지만, 7월 19일 장 마감 기준 0.74% 하락으로 S&P 500 지수 낙폭 대비 큰 차이를 보이지 않았다.
한편, 크라우드스트라이크가 직접 운영하고 있는 크라우드스트라이크 레이싱팀은 당장의 영향을 받지는 않았으나,[25] 사태의 영향과 수습을 위해 2024년 7월 21일에 버지니아 인터내셔널 레이스웨이에서 열리는 GT 월드 챌린지 아메리카 레이스 참가를 포기했다.
7. 기타
미국 동부 시간 새벽 5시 39분,[26] 빈센트 플리부스티어(Vincent Flibustier)라는 이름의 X 유저가 '크라우트스트라이크 첫 출근날 작은 업데이트 하나 푸시하고 오후 쉬는 중'이라는 글을 올렸다. # 이 글을 접한 수많은 X 유저들이 재개시하며 '사건의 원흉'이라는 내용으로 글이 확산되었고, 몇 시간 뒤 플리부스티어는 '불공정하게 해고됐다'며 글을 연달아 올렸다. #[27]하지만 빈센트 플리부스티어는 당연하다면 당연히도 크라우드스트라이크 직원이 아니었고, 그의 정체는 벨기에의 패러디 언론사 Nordpresse의 운영자였다. #[28] 사이트 홍보 차원인지, 관심을 받기 위해서인지, 아니면 단순 트롤링인지 몰라도 상당한 사람들이 이에 낚였다.
8. 관련 보도
- Live Updates: Global Tech Outage Grounds Flights and Hits Businesses - 뉴욕 타임스
- Microsoft IT outage linked to cyber security firm Crowdstrike hits airlines, railways and media outlets globally – live news - 더 가디언
- Global tech outage live updates: Flights grounded and offices hit as internet users face disruptions - AP
- Planes grounded as worldwide IT outage hits airlines and banks - BBC
- CrowdStrike issue causes major outage affecting businesses around the world - CNBC
- 전세계 IT 대란에 발칵…공항 멈추고 통신·방송·금융 차질 - 연합뉴스
- 전 세계 IT 시스템 먹통 원인은 보안 업체 '크라우드 스트라이크' 업데이트 - 조선일보
- 전세계 곳곳 'MS발 쇼크'…항공·금융·통신·방송 죄다 먹통됐다 - 중앙일보
- 전세계 MS發 '대혼란'…국내 항공·게임 서버도 '먹통' - 한국경제
- MS 클라우드 서비스 먹통···항공·방송·금융 등 ‘글로벌 IT 대란’ - 경향신문
- 전세계 결항에 통신, 방송 마비..."MS 클라우드 원인" - YTN
- ‘초연결 세계’의 재앙… MS 오류에 통신·항공·금융·방송 마비 대란 - 세계일보
- MS 클라우드 서비스 장애…세계 곳곳 항공·통신 '마비' - JTBC
- 공항·방송사 올스톱‥'MS 클라우드 장애' 전 세계 마비 - MBC
- 국내도 'MS 대란'‥항공권 발권도, 온라인 게임도 '먹통' - MBC
- "전세계가 멈췄다" 클라우드가 뭐길래 - MBC
- MS 클라우드 장애…세계 곳곳 통신 대란 - SBS
- 올림픽 IT시스템 타격…조직위 "비상대책 가동" - SBS
- 발권 장애 · 수속 지연…이 시각 인천공항 - SBS
- IT 기업들 사용 비율 높아 큰 혼란…국내 영향은? - SBS
- IT 대란 전 세계 발칵…항공·금융·의료 줄줄이 마비 - KBS
- MS클라우드 서비스 장애로 국내 항공·게임 업계도 피해 - KBS
- 동시다발 IT대란…원인은? - KBS
- 타임스퀘어 꺼지고 탑승권은 수기로…최악의 'IT 대란' 후폭풍 - JTBC
- 아들 수술 앞둔 어머니, 공항서 '발 동동'…여행객들도 "휴가 망쳤다" - JTBC
- 전 세계 먹통 만든 MS 오류, 복구에는 "몇 주 걸린다"…왜? - JTBC
- 테슬라 공장도 멈춰 세운 'IT 먹통'‥"완전 복구에 수주 소요" - MBC
- MS 클라우드 오류로 100여 편 결항 - MBC
- 최악의 'IT 대란' 이틀째…"완전 복구에 몇 주 걸릴 듯" - SBS
- 365일 번쩍거리던 타임스퀘어마저…테슬라 공장도 멈췄다 - SBS
- 항공사 시스템 12시간 만에 복구…취약한 '초연결' 사회 - SBS
- “일부 복구됐지만”…클라우드 ‘빅3’ 집중에 경고음 - KBS
- 타임스스퀘어 전광판도 꺼졌다…전 세계 피해 속출 - KBS
- ‘발권 먹통’ 국내 저비용항공사, 12시간 만에 복구 완료 - KBS
9. 관련 문서
- 2000년 문제[29]: 전 세계에서 벌어지는 동시다발적 컴퓨터 오류라는 점이 이 사건과 비슷하다. 하지만 이 사건과는 반대로 2000년 문제는 미리 대처를 한 덕분에 큰 문제는 없었다.
- 2022년 알약 랜섬웨어 오진 사태: 보안 프로그램이 Windows와 충돌하여 전산 마비를 일으켰다는 점에서 해당 사건과 유사함이 있다.
- 크라우드스트라이크
- Windows 10
- 통신장애
- 블루스크린
[1] 팔로 알토 네트웍스에 이은 세계 2위 규모의 사이버보안 기업이다. 개인용 보안 프로그램보단 기업을 대상으로 하는 회사다.[2] Endpoint Detection and Response로, 간단히 말하자면 악성코드를 자동으로 탐지하고 알아서 제거하는 기업용 안티바이러스 소프트웨어이다.[3] 당시 한국 시간으로 오전 7~8시경부터 MS 클라우드 서비스인 Azure에서 설정을 잘못 건드려 스토리지와 서버 사이의 연결에 문제가 발생하면서 MS의 각종 클라우드 기반 서비스에 다양한 문제가 발생하고 있었다. MS 측에서는 트래픽 우회 조치를 통해 장애 완화를 시도하였으나, 장애 자체는 12시간 이상 지속되었으므로 크라우드스트라이크발 장애가 발생할 때까지도 여전히 해당 장애로 인한 영향은 남아 있었다. 이 장애의 MS 측 인시던트 ID는 MO821132.[4] 심지어 한국 정부에서는 이번 사건을 계기로 규모가 큰 IT서비스 업체를 대상으로 멀티 클라우드(여러 클라우드 업체를 함께 사용하는 것)를 권고한다는데, 멀티 클라우드를 쓰면 특정 클라우드에 국한된 장애가 발생했을 때 영향을 감소시킬 수 있는 것은 사실이지만 이번 사건 자체는 애초에 특정 클라우드의 장애가 아니었기 때문에(예를 들면 아마존 AWS에서도 피해가 발생함) 좀 엉뚱한 대책이라고 할 수 있다. 멀티 클라우드를 썼어도 이번 사례처럼 특정 소프트웨어를 똑같이 쓰고 있었다면 동일한 장애가 발생했을 것이기 때문이다.[5] 공식 대처법 중 상황에 따라 대처 방안이 대여섯개 되는데, 비관계자라면 어느 것을 골라야 하는지 판단하기 어렵다.[6] 호주의 한 IT 관리자는 이번 사건의 복구 과정에서 각 PC별로 다른 비트로커 복구 키를 입력하는 과정에 바코드를 자동 생성하는 스크립트와 바코드 스캐너를 조합하여 활용하는 아이디어를 선보이기도 했다. 이는 바코드 스캐너가 글자를 매우 빠르게 입력하는 일종의 키보드처럼 작동하기 때문에 가능한 일이다. 만약에 QR코드처럼 담을 수 있는 정보량이 훨씬 많은 방식을 사용했다면 사람이 직접 키보드를 만지는 일 없이 모든 작업을 진행할 수 있는 스크립트를 복구 대상 PC에 자동으로 입력시킬 수도 있었을 것이다.[7] 단 이 경우 ipmi(BMC)가 지원된다는 조건하에 원격조작을 통해 해결을 하면 되긴하나 서버의 칩셋 상태에 따라 접속 처리속도가 심하게 느리거나 접근이 불가한 수준일 수 있다. 여담으로 ipmi는 전원 제어부터 바이오스까지도 원격제어가 가능한 보드 관리 인터페이스이다.[8] Named pipe: 윈도우에서 프로세스끼리 소통하는 창구 역할. 사측에서는 악성코드에서 자주 쓰인다고 한다.[9] 간단히는 뭐가 악성코드고 뭐가 악성코드가 아닌지 정리한 데이터베이스와 비슷하다.[10] 제대로 된 소프트웨어는 비정상적인 입력을 읽으면 에러를 출력하되, 어떤식으로나마 진행은 되게 하여 시스템을 통째로 멈추게 하는 일을 방지하여야 한다.[11] 보통 소프트웨어 업데이트는 개발자가 만들자 마자 모든 사용자에게 동시에 바로 배포되는 것이 아니라, 사내에서 전문적으로 테스팅를 하는 팀인 QA가 미리 준비한 테스트를 돌려 소프트웨어의 안정성을 검증하고, 사용자들의 일부에게 배포하여 실제로 문제가 없는지 면밀히 분석하고 문제가 없다 싶으면 점진적으로 모든 사용자에게 천천히 배포하는 절차를 가진다.[12] QA 팀으로 넘겨주기 전에 개발 팀에서도 정상적으로 작동하는지 확인하는데, 개발 팀마저도 확인하지 않은 것일 수 있다. 대부분 기업이 선호하는 자동화 QA 특성상 버그가 있더라도 처음 작동에서는 치명적인 오류가 바로 발견되지 않는 경우도 있다. 자동화 도구에서 발견하지 못 한 버그는 일단은 넘어가거나 사용자 피드백을 기다린 다음 수동 QA를 진행하고는 한다. 지금처럼 수동 QA 엔지니어 없이 자동과 수동을 병행하게 된다면 문제가 발생한 이후에나 고칠 수 있다.[13] 팰컨 센서같은 커널 모드 드라이버는 커널 코드이기 때에 사실상 컴퓨터를 아무런 제약 없이 마음대로 주무를 수 있다. 게다가 크라우드스트라이크 자체가 일종의 해킹 방지 대책인 만큼, 그 자체에 악성코드가 심어졌다면 실체조차 확인하기 어려울 수도 있다.[14] 그 이전에도 빌 게이츠의 굴욕 사건 때문에 WHQL 인증을 도입했는데, XP는 이 인증이 도입된 초기였던 데다 사용자 계정 컨트롤이 없었기 때문에 커널 드라이버의 불안정성이 여전히 해소되지 않았다.[15] 이후 현지시각 6시 35분에 지하철 정상운행을 알렸다. #[16] 이후 현지시각 오후 1시경 운영을 재개했다.#[17] 셋 모두 아마데우스의 자회사 나비테어(Navitaire)의 시스템을 사용한다.[18] 제주항공, 이스타항공, 에어프레미아 3사는 인천국제공항에서 31편, 김포와 제주 등 다른 국내 공항에서 61편 등 총 92편.[19] 모터스포츠 분야에서 컴퓨터가 왜 필요하냐 싶겠지만, 연습 세션, 퀄리파잉, 레이스에서 사용할 타이어 및 차량 부품들의 상태, 레이스 중 기록을 기록한 텔레메트리를 보며 드라이버들에게 팀 무전으로 정보를 전달해야 하기 때문에 굉장히 중요하다.[20] 물론 정상적으로 그랑프리를 진행하기 위해선 무조건 텔레메트리가 필요하기 때문에 해결됐을 것으로 보인다.[21] 키어 스타머 총리는 볼로디미르 젤렌스키와 내각 관료들과 양자회담을 진행중이어서 불참했다.[22] 무엇보다 IT 분야 자체가 비전공자에게는 벽이 높고 막연한 영역이다보니 시장 환경을 깊이 생각하기가 어려운 현실도 있다.[23] 한국에서 카카오톡이 국민 메신저에 등극한 것은 단순히 '먼저' 출시한 덕분에 자리를 선점해서이지, 기술력이나 메신저로서의 기능성은 라인이나 텔레그램보다도 못하다는 평가를 받는다.[24] 다만 말이 선방이지 여전히 큰 액수로, 호주 ABC는 호주 최대의 광업 및 석유기업인 산토스의 시가총액에 해당하는 120억 달러가 크라우드스트라이크에서 빠진 셈이라 비유했다. #[25] 당장 CEO 조지 커츠도 드라이버로써 참가한다.[26] 이는 UTC 오전 9시 39분으로, 위에 나와있듯 문제의 시작은 UTC 4시 9분이었다.[27] 애초에 거짓말일 수 밖에 없는게, 다른 팀도 아니고 Kernel을 직접적으로 제어하는 팀이라면, 입사 하루만에 업무를 맡기지 않는다. 아무리 뛰어난 인재라고 하더라도, 최소한의 적응기와 코드 분석 기간을 준다.[28] 벨기에식으로 읽으면 '뱅상 플리뷔스티에'다.[29] 2000년이 되면 컴퓨터들이 두 자릿수로 저장된 00년을 1900년과 2000년으로 동시에 인식해서 1월 1일이 되자 마자 전세계 모든 컴퓨터들이 동시다발적으로 오류가 난다는 위기론이었다. 하지만 미리 코드 보수와 검증 작업을 대처하여 우려했던 큰 문제는 없이 대체로 무사히 지나갔다.