침해사고/위협동향

"내부 검증 실패한 실시간 업데이트가 문제"…크라우드스트라이크, IT장애 예비 조사 결과 발표

이상일 기자

[디지털데일리 이상일기자] 크라우드스트라이크는 24일(현지시간) 최근 발생한 윈도 운영 체제 시스템 충돌 사건에 대한 예비 조사 결과를 홈페이지를 통해 발표했다.

크라우드스트라이크의 설명에 따르면 7월 19일, UTC 기준 04:09에 새로운 위협 기법에 대한 텔레메트리 수집을 목적으로 윈도 센서의 내용 구성 업데이트를 배포했다. 이 업데이트는 평소와 같은 정기적인 보안 강화 작업의 일환이었으나, 문제가 있는 신속 대응 콘텐츠(Rapid Response Content) 업데이트로 인해 일부 윈도 시스템이 충돌하는 상황이 발생했다. 이로 인해 블루스크린(Blue Screen of Death, BSOD) 현상이 나타났다는 것이 크라우드스트라이크의 설명이다.

문제의 업데이트는 센서 버전 7.11 이상을 실행하는 윈도 호스트에 적용되었으며, 7월 19일 04:09부터 05:27 사이에 온라인 상태였던 시스템들이 영향을 받았다. 맥(Mac)과 리눅스(Linux) 호스트는 이 문제의 영향을 받지 않았다. 크라우드스트라이크는 문제 발생 후 1시간 18분 만인 05:27에 해당 업데이트를 롤백해 문제를 해결했다는 입장이다.

크라우드스트라이크가 밝힌 이번 사고의 원인은 신속 대응 콘텐츠 업데이트 과정에서 발생한 오류였다. 크라우드스트라이크는 보안 내용을 두 가지 방식으로 업데이트하는데 첫 번째는 센서와 함께 제공되는 센서 콘텐츠(Sensor Content)이며, 두 번째는 신속 대응 콘텐츠다. 센서 콘텐츠는 광범위한 테스트를 거쳐 배포되며, 클라우드에서 동적으로 업데이트되지 않는다. 반면 신속 대응 콘텐츠는 보다 빠르게 변화하는 위협에 대응하기 위해 설계되었으며, 실시간으로 업데이트된다.

7월 19일 배포된 두 개의 새로운 IPC(InterProcessCommunication) 템플릿 인스턴스 중 하나가 콘텐츠 검증시스템(Content Validator)의 버그로 인해 문제 있는 콘텐츠 데이터를 포함한 채 검증을 통과했다. 이로 인해 해당 데이터가 센서에 로드되면서 메모리 읽기 오류가 발생했고, 윈도 시스템이 충돌하는 상황이 초래되었다는 것이 크라우드스트라이크의 분석이다.

크라우드스트라이크는 이번 사고를 계기로 소프트웨어의 탄력성과 테스트 절차를 대폭 강화할 계획이라는 입장이다. 신속 대응 콘텐츠의 테스트를 더욱 철저히 하고, 추가적인 검증 체크를 도입할 예정이며 또한, 점진적인 배포 전략을 도입해여 업데이트를 단계적으로 배포하고, 센서와 시스템 성능을 모니터링해 고객에게 더 큰 제어권을 제공한다는 계획이다.

특히 크라우드스트라이크는 이번 사고를 통해 내부 보안 시스템의 강화 필요성을 절감하고, 이를 개선하기 위한 다양한 조치를 취하고 있다고 밝혔다. 이번 예비 사고 조사 결과 외에도, 추가 조사가 완료되는 대로 최종 원인 분석 보고서를 공개할 예정이라는 설명이다.

이상일 기자
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널