MIT 기술 리뷰 설명: 저희 작가가 복잡하고 난해한 기술 세계를 밝혀내어 앞으로 무엇이 나올지 이해하는 데 도움을 드립니다. 자세한 내용은 여기에서 읽을 수 있습니다.
전 세계적으로 대규모 IT 중단으로 인해 Windows PC가 작동을 멈추고 항공사, 주요 은행, TV 방송국, 의료 서비스 제공업체 및 기타 기업이 마비되었습니다.
유나이티드, 델타, 아메리칸을 포함한 항공사는 항공편을 지상에 내리고 지연시켜 공항에 승객을 갇히게 했고, 영국 방송국 스카이 뉴스는 일시적으로 방송이 중단되었습니다. 한편, 유럽, 호주, 인도의 은행 고객은 온라인 계좌에 접속할 수 없었습니다. 영국의 병원과 진료소는 환자 기록과 예약 시스템에 접속할 수 없게 되었습니다.
이 문제는 사이버 보안 제공업체 CrowdStrike의 Windows 머신용 단일 콘텐츠 업데이트의 결함에서 비롯되었습니다. CrowdStrike의 CEO인 George Kurtz는 회사가 영향을 받은 고객과 적극적으로 협력하고 있다고 말합니다.
그는 “이것은 보안 사고도 아니고 사이버 공격도 아니다”고 말했다. 성명 X에 대해. “문제가 식별되고 격리되었으며 수정 사항이 배포되었습니다. 최신 업데이트는 고객 지원 포털로 안내하며 웹사이트에서 완전하고 지속적인 업데이트를 계속 제공할 것입니다.” CrowdStrike가 지적했습니다. MIT 기술 리뷰 그것의 블로그 고객을 위한 추가 업데이트가 제공됩니다.
문제의 원인은 무엇입니까?
이 문제는 CrowdStrike의 잘못된 업데이트에서 비롯되었는데, 이로 인해 영향을 받는 서버와 PC가 오프라인 상태가 되었고 일부 Windows 워크스테이션은 사용자가 부팅을 시도할 때 “죽음의 블루 스크린”을 표시했습니다. Mac 및 Linux 호스트는 영향을 받지 않습니다.
이 업데이트는 회사의 컴퓨터 시스템을 사이버 공격과 맬웨어로부터 보호하도록 설계된 “엔드포인트 탐지 및 대응” 소프트웨어인 CrowdStrike의 Falcon 소프트웨어를 위한 것이었습니다. 하지만 예상대로 작동하지 않고, 이 업데이트로 인해 Windows 소프트웨어를 실행하는 컴퓨터가 충돌하고 재부팅되지 않았습니다. Windows를 실행하는 홈 PC는 CrowdStrike가 주로 대규모 조직에서 사용되기 때문에 영향을 받을 가능성이 적습니다. Microsoft는 논평 요청에 즉시 응답하지 않았습니다.
“CrowdStrike 소프트웨어는 하위 수준 운영 체제 계층에서 작동합니다. 이 수준의 문제는 OS를 부팅할 수 없게 만듭니다.” 독립 사이버 보안 연구원이자 컨설턴트이며 저자인 Lukasz Olejnik의 말입니다. 사이버 보안의 철학.
그는 Windows를 실행하는 모든 컴퓨터가 같은 방식으로 영향을 받은 것은 아니며, CrowdStrike이 업데이트를 푸시한 시점(현재 철회됨)에 컴퓨터 시스템이 꺼져 있었다면 업데이트를 받지 못했을 것이라고 지적했습니다.
손상된 업데이트를 받고 재부팅된 시스템을 실행하는 머신의 경우, CloudStrike의 서버 관리 인프라에서 자동으로 업데이트를 적용하면 충분할 것이라고 그는 말했습니다.
“하지만 수천 또는 수백만 건의 경우, 이는 수동적인 인간의 개입이 필요할 수 있습니다.”라고 그는 덧붙여 말했습니다. “이는 많은 IT 직원에게 정말 나쁜 주말이 다가온다는 것을 의미합니다.”
영향을 받은 컴퓨터를 수동으로 수정하는 방법
시스템에 대한 관리자 액세스가 필요한 Windows 컴퓨터에 대한 알려진 해결 방법이 있습니다. 영향을 받고 높은 수준의 액세스가 있는 경우 CrowdStrike에서 다음 단계를 권장했습니다.
1. Windows를 안전 모드나 Windows 복구 환경으로 부팅합니다.
2. C:WindowsSystem32driversCrowdStrike 디렉토리로 이동합니다.
3. “C-00000291*.sys”와 일치하는 파일을 찾아 삭제합니다.
4. 컴퓨터를 정상적으로 부팅합니다.
간단해 보이지 않나요? 하지만 위의 수정은 관리하기 꽤 쉬운 반면, 누군가가 물리적으로 입력해야 하므로 IT 팀은 영향을 받은 원격 컴퓨터를 추적해야 한다고 런던 대학교 Royal Holloway의 정보 보안 부서 Andrew Dwyer는 말합니다.
“우리는 이것이 범죄 조직이나 다른 국가의 착취가 아니라 정전이라는 점에서 매우 운이 좋았습니다.”라고 그는 말합니다. “또한 IT 공급망의 올바른 부분에 들어가면 상당히 큰 글로벌 피해를 입히는 것이 얼마나 쉬운지 보여줍니다.”
그는 이 문제를 해결하려면 앞으로 일주일 정도는 IT 팀이 골머리를 앓을 것이지만, 영향을 받은 시스템에 장기적으로 심각한 손상을 입힐 가능성은 매우 낮다고 말했습니다. 랜섬웨어가 아니라 엉망진창인 업데이트였다면 이런 일은 일어나지 않았을 것입니다.
“이게 랜섬웨어라면 몇 달 동안 심각한 중단이 있었을 수도 있습니다.” 그는 덧붙여 말했습니다. “엔드포인트 감지 소프트웨어가 없다면 많은 조직이 훨씬 더 취약한 위치에 있었을 것입니다. 하지만 그들은 우리가 사용하는 컴퓨터 시스템에 많은 액세스 권한을 가진 시스템의 중요한 노드입니다.”