# 윈도우의 CrowdStrike 제품 오류로 대량 블루스크린 사태 발생

> Clean Markdown view of GeekNews topic #15923. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=15923](https://news.hada.io/topic?id=15923)
- GeekNews Markdown: [https://news.hada.io/topic/15923.md](https://news.hada.io/topic/15923.md)
- Type: news
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2024-07-20T08:30:22+09:00
- Updated: 2024-07-20T08:30:22+09:00
- Original source: [boho.or.kr](https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&amp;pageIndex=1&amp;nttId=71499&amp;menuNo=205020)
- Points: 6
- Comments: 4

## Summary

CrowdStrike의 Falcon 제품군 최신 패치로 인해 윈도우 시스템이 블루스크린으로 비정상 종료되는 문제가 발생했습니다. 이로 인해 전 세계 은행, 항공사, TV 등에서 대규모 서비스 오류와 운영 차질이 빚어졌습니다. 문제 해결을 위해 안전모드에서 특정 파일 삭제, 폴더 이름 변경, 레지스트리 수정 등의 긴급 조치 방법을 설명합니다. 해외에선 금요일 오전에 발생해서 아주 큰 난리였는데 한국 시간으론 금요일 밤이었던지라  그나마 조용히? 지나간 것 같네요.

## Topic Body

- 사이버보안업체 CrowdStrike社가 배포한 Falcon제품군 최신 패치 적용 시 윈도 시스템이 비정상 종료(블루스크린) 되는 문제 발생  
  - 전 세계 은행, 항공사, TV 등에서 대규모 서비스 오류로 운영 차질  
- 긴급 조치 방법   
  - 방법1: 안전모드로 부팅하여 Windows/System32/Drivers 의 "C-00000291*.sys" 파일을 삭제  
  - 방법2: 안전모드 부팅후 CrowdStrike 폴더의 이름을 변경  
  - 방법3: 안전모드 부팅후 레지스트리에서 CSAgent 자동실행 안되도록 변경  
- CrowdStrike사에서 변경된 부분을 원래대로 복원한 파일을 릴리즈 했으나, 블루스크린 뜨는 장비의 경우 위 세가지 방법중 하나를 적용할 것

## Comments


### Comment 27427

- Author: xguru
- Created: 2024-07-21T09:21:32+09:00
- Points: 1

[CrowdStrike의 위기, 라이벌들에게 공격의 기회를 제공하다](https://news.hada.io/topic?id=15924)

### Comment 27420

- Author: zihado
- Created: 2024-07-20T11:09:50+09:00
- Points: 1

K-망분리의 승리!

### Comment 27405

- Author: xguru
- Created: 2024-07-20T09:06:59+09:00
- Points: 1

관련해서 전세계 공항/병원/법원/은행 등이 마비가 되었습니다.  
NYT 기사 [Outage for Microsoft Users Knocks Out Systems for Airlines and Hospitals in Chaotic Day](https://www.nytimes.com/live/2024/07/19/business/global-tech-outage?unlocked_article_code=1.8U0.kuJ_.Jc7TFMl0Evpt&smid=nytcore-ios-share&referringSource=articleShare)에서 여러가지 상황들을 보실 수 있습니다.   
- 전세계 비행편 중 약 8% 가 취소  
- 적어도 3개 이상의 미국 주(State)에서 911 시스템이 중단   
- 인천 공항  
  - 제주항공 셀프체크인 키오스크도 중단되어 손으로 적은 보딩패스를 발행   
  - 델타항공도 문제가 발생해서 지연  
- 인도의 공항들에서도 손으로 적은 보딩패스 발행

### Comment 27402

- Author: xguru
- Created: 2024-07-20T08:30:50+09:00
- Points: 1

CrowdStrike의 공식 입장문 https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/  
  
AWS 와 Azure에 있는 윈도우 인스턴스에 대해서는 각 클라우드 프로바이더가 복구 방법도 게시했습니다.  
- AWS : https://repost.aws/en/knowledge-center/ec2-instance-crowdstrike-agent  
- Azure : https://azure.status.microsoft/en-gb/status