MS발 'IT 대란' '블루스크린 해결방법 '크라우드스트라이크' 파일 충돌

최악의 'IT 대란'으로  마이크로소프트의 클라우드(애저)를 사용하는 크라우드스트라이크의 보안 파일 업데이트하면서 윈도우와 충돌로 MS발 'IT 대란' 블루스크린이 발생한 것으로 알려지고 있습니다.

 

 

 

1. MS발 'IT 대란' 블루스크린의 현상

 
이번 MS발 'IT 대란' 블루스크린은 마이크로소프트(MS) 윈도 운영체제(OS)를 쓰는 컴퓨터에서 ‘치명적인 오류 발생’ 등과 같은 메시지와 함께 화면 전체가 파란색으로 채워지는 현상입니다. 무한 루프는 컴퓨터에서 프로그램이 끝없이 반복 작업을 하는 것입니다.
 
세계 각지의 공항, 병원, 금융사, 공공기관 등에서 대규모 전산 장애가 발생했습니다.
 
미국에서는 델타 항공, 유나이티드 항공, 아메리카 항공 등 주요 항공사들이 통신 문제로 인해 운항을 중단했습니다. 유럽 내 공항들도 전산 장애로 항공편 접수 및 탑승 절차가 지연되거나 중단된 상황입니다.
 
영국에서는 스카이 뉴스 방송사가 전산 장애로 생방송을 중단했으며, 의사들이 사용하는 예약 시스템이 모두 작동하지 않고 있습니다.
 
호주에서는 경찰 내부 시스템과 통신회사 시스템 등에 장애가 발생했습니다. 슈퍼마켓 등 매장에서 사용하는 결제 시스템이 작동하지 않는 사례도 보고되었습니다.

블루스크린으로 불리는 윈도우 오류화면

 

2. 'IT 대란' 블루스크린 원인

 
이번 전 세계적인 전산 장애의 원인으로는 처음에 마이크로소프트의 클라우드가 지목되었습니다.
 
지난 7월 18일 오후 늦게부터 미국 동부 지역을 중심으로 MS 클라우드에 장애가 발생한 것이 사태의 시작이었습니다.
 
이로 인해 미국 중부 지역에서 MS 클라우드 애저 서비스, 마이크로소프트 365 앱 제품군, 엑스박스 게임패스 등 마이크로소프트 서비스가 일부 중단되었습니다.
 
또한, 미국 프런티어 항공사, 얼리전트, 선컨트리 등 저가 항공사들의 항공편도 다수 결항 및 지연되었습니다.
 
하지만 마이크로소프트가 클라우드 장애를 복구했다고 밝힌 후에도 유사한 서비스 장애는 전 세계로 확산되고 있습니다.
 
CNBC와 더버지 등의 매체는 사이버 보안 업체 크라우드스트라이크(CrowdStrike)의 업데이트 오류가 이번 사태의 원인이라고 보도했습니다.
 
크라우드스트라이크가 배포한 업데이트가 윈도우 운영체제와 충돌을 일으켰다는 것입니다.
 
영향을 받은 PC들은 오류 화면이 나타나며 작동이 멈추고, 계속해서 복구 모드로 진입하는 '자동 복구 루프' 현상에 빠진 것으로 전해졌습니다.
 
실제로 미국 온라인 커뮤니티 레딧과 엑스(구 트위터) 등 SNS에서는 기업의 IT 관리자 및 개인들이 크라우드스트라이크 업데이트로 인한 윈도우 PC 먹통 현상을 보고하고 있습니다.
 

타임스퀘어 광고 화면 오류

 

3. 'IT 대란' 국내 피해상황

 
국내에서도 이스타항공, 제주항공, 에어프레미아의 항공권 예약·발권 시스템에 오류가 발생해 발권이 지연되었습니다.
 
이들은 독일 아마데우스 자회사인 나비테어(Navitaire) 발권 시스템을 사용하고 있으며, 이 시스템은 MS 클라우드 기반으로 운영되고 있습니다.
 
델타항공, 유나이티드항공, 홍콩익스프레스, 에어프랑스, 네덜란드항공, 젯스타에어웨이즈, 타이에어아시아엑스 등 7개 외항사도 시스템 장애를 겪고 있습니다.
 
발권 중단으로 현재 공항에서는 각 항공사 직원들이 수기 발권(매뉴얼 발권)으로 체크인을 진행하고 있습니다. 제주항공 관계자는 “시스템 장애로 수속이 지연되고 있지만, 수기 발권으로 처리하고 있다”며 “수기 발권으로 시간이 더 걸리면서 일부 항공편이 지연되고 있다”고 말했습니다.
 
인천국제공항은 자체 구축 클라우드를 사용하고 있어 공항 운영에는 문제가 없는 상태입니다. 10개 항공사를 제외한 대한항공 등은 아마존웹서비스(AWS)를 기반으로 서비스를 운영 중이어서 운영에 차질이 없습니다.
 
MS 애저를 이용하는 게임 서비스에도 장애가 발생했습니다.
 
펄어비스 ‘검은사막’, 그라비티 ‘라그나로크’에 게임 접속 장애가 발생했습니다.

미국 MS의 클라우드 서비스에 장애가 발생하면서 19일 오후 제주항공 홈페이지에 '서비스 점검중'이라는 문구가 표시돼 있다.

 

4. '크라우드스트라이크'의 팰컨 센서 (Falcon Sensor)

 
이번 사고는 MS 운영체제(OS) '윈도(Windows)'를 사용하는 서버 등에 '애저(Azure)'라는 클라우드 방식으로 보안 플랫폼을 제공하는 업체 '크라우드스트라이크'의 보안 소프트웨어 '팰컨 센서'(Falcon Sensor)의  업데이트 결함으로 발생했습니다.
 
크라우드스트라이크의 최고경영자(CEO) 조지 커츠는 자신의 X(트위터)에 "윈도 호스트용 업데이트에서 발견된 결함으로 인해 영향을 받은 고객들과 활발히 협업 중"이라고 해명했습니다.
 
커츠는 "보안 사고나 사이버 공격은 아니다"라고 사용자들을 안심시켰습니다.
 
커츠에 따르면 맥(Mac)과 리눅스(Linux) 운영체제를 사용하는 호스트는 이 문제의 영향을 받지 않습니다.
 
커츠는 "이 문제를 확인한 후 수정 사항을 배포했다"며 "웹사이트에서 완전하고 지속적인 업데이트를 제공할 예정"이라고 강조했습니다.
 
크라우드스트라이크의 엔드포인트가 충돌해 죽음의 블루스크린(Blue Screen Of Death, BSOD) 에러가 나타났기 때문에 원격으로 업데이트할 수 없습니다.
 
이 문제를 해결하기 위해서는 하나하나 수동으로 처리해야 해 며칠은 걸릴 것이라고 예상되며 앞으로도 여진이 이어질 전망입니다.
 
크라우드스트라이크에 따르면 포춘 500대 기업 중 절반 이상이 이들의 소프트웨어를 사용하고 있습니다. 며칠 간은 전 세계적으로 IT 대란의 여파가 이어질 수밖에 없을 것으로 보입니다.

 

5. 클라우드 서비스의 문제점

 

클라우드 방식이 관리도 편하고 비용도 절감할 수 있는 장점이 있지만, 중앙 시스템에 문제가 생기면 전 세계 인프라가 동시에 마비될 수 있다는 취약점이 드러났다고하는 전문가 의견도 있습니다.
 
전 세계 주요 인프라 시스템이 한 회사의 서비스에 의존하고 있으며, 작은 오류로 인해 동시에 다운된 것이 충격적입니다. 이번에 문제가 된 MS는 클라우드 시장에서 2위 사업자입니다.
 
시너지 리서치 그룹에 따르면 2023년 4분기 기준 전 세계 클라우드 점유율은 아마존 AWS 32%, MS 애저 24%, 구글 클라우드 11% 순입니다.

시너지 리서치 그룹 클라우드 서비스 점유율 추이

 

6. 'IT 대란' 블루스크린 해결방법

 
과학기술정보통신부에 따르면 이번 MS의 장애의 직접적인 요인은 두 가지입니다.
 
하나는 미국 애저 중앙 US 리전에서 발생한 클라우드 애저 서비스 장애, 다른 하나는 크라우드스트라이크 소프트웨어 업데이트로 인한 장애입니다.
 
과기정통부와 KISA는 보호나라&KrCERT/CC 홈페이지(www.boho.or.kr)에 문제가 되는 업데이트 파일을 삭제하는 긴급 조치 방안을 안내했습니다.
 
(1)긴급 조치
< 방법: 안전 모드에서 문제 파일 삭제>
1.안전 모드로 부팅 → 복구 화면에서 '고급 복구 옵션 보기'를 클릭 → 고급 복구 옵션 메뉴에서 '문제 해결'을 선택 →  '고급 옵션'을 선택 → '시작 설정'을 선택하고 '다시 시작'을 클릭 → 재부팅 후 4 또는 F4 키를 눌러 안전 모드에서 PC를 시작
2.안전 모드에서 명령 프롬프트(관리자) 또는 Windows PowerShell(관리자) 실행3.C:\Windows\System32\drivers\CrowdStrike 디렉터리로 이동
4.C-00000291*.sys 패턴과 일치하는 파일 검색 및 삭제
(2)주의사항
o 긴급조치 전후 발생할 수 있는 외부 침입에 대비하여 보안강화
o CrowdStrike社 제품군 업데이트 삭제 등을 사칭하는 파일 등에 주의
(3)기타 문의사항
o CrowdStrike社 홈페이지 주소 : https://www.crowdstrike.com/ko-kr/

 

 

7. '크라우드스크라이크' 회사의 해결 방법 안내

 
크라우드스트라이크는 이날 공지문을 통해 "팔콘 센서와 관련된 윈도우 컴퓨터 충돌 현상을 인지했다"며 "기술진이 문제의 업데이트 파일을 찾아 되돌렸다"고 밝혔습니다.
 
또한, 컴퓨터가 계속 충돌하거나 인터넷에 접속할 수 없을 경우, 아래 세 가지 방법 중 하나를 선택해 수동으로 해결할 것을 권고했습니다. 팔콘 센서는 크라우드스트라이크의 보안 솔루션입니다.
 
첫 번째 방법은 문제 파일을 직접 삭제하는 것입니다. 컴퓨터를 윈도우 '안전 모드'로 부팅한 뒤 'C:\Windows\System32\drivers\CrowdStrike' 폴더로 이동해 'C-00000291*.sys' 형식의 파일을 삭제하고 재부팅하면 정상화됩니다. 크라우드스트라이크는 문제 파일의 이름이 'C-00000291abc'와 같은 형태일 수 있다고 설명했습니다.
 
두 번째 방법은 안전 모드로 부팅한 후 '크라우드스트라이크(CrowdStrike)' 폴더의 이름을 변경하는 것입니다. 안전 모드에서 '명령 프롬프트(관리자)'를 열고 'cd \windows\system32\drivers'를 입력한 뒤 'ren CrowdStrike CrowdStrike_old'를 입력하면 폴더의 이름이 변경됩니다. 이후 재부팅하면 됩니다.
 
세 번째 방법은 레지스트리 설정을 변경해 'CSAgent' 서비스를 차단하는 것입니다. 안전 모드에서 '레지스트리 편집기'를 열고 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent' 경로로 이동한 후, CSAgent 키의 오른쪽 창에서 '시작(Start)' 항목을 찾아 더블 클릭한 뒤 '1(서비스 자동 시작)'을 '4(사용 안 함)'으로 변경하고 재부팅하면 해결됩니다.
 
조지 커츠 크라우드스트라이크 최고경영자(CEO)는 이날 "윈도우용 보안 업데이트에서 발견된 결함"이라며 "보안 사고나 사이버 공격이 아니다"라고 설명했습니다. 크라우드스트라이크에 따르면 맥(MacOS)과 리눅스(Linux) 환경은 이번 장애의 영향을 받지 않았습니다.