CrowdStrike의 위기, 라이벌들에게 공격의 기회를 제공하다
(theinformation.com)- CrowdStrike는 오랫동안 해커로부터 고객 네트워크를 보호하기 위한 클라우드 기반 소프트웨어인 엔드포인트 탐지 시장을 지배한 회사
- 문제를 일으킨 Falcon은 기기당 1년에 $185 구독료를 받음
- 시가총액 $74B(100조원). 이 사고로 주가 11% 하락
- 이 사태로 인해 포춘 100대 기업중 일부가 다른 업체로(Trellix같은) 전환을 고려중
- Tesla의 일런 머스크는 회사의 모든 시스템에서 CrowdStrike를 삭제했다고 말함
- 이번 문제의 경우 CrowdStrike가 고객에게 제시하는 핵심 가치인 "고객의 IT 팀이 최소한의 감독으로 장치를 모니터링하고, CrowdStrike가 대신 위협을 탐지할 수 있다는 점"을 약화 시킴
- 예전엔 기업들이 자체 서버에서 로컬로 백신 소프트웨어를 실행했고, 기업 IT 부서가 수동으로 새로운 소프트웨어 업데이트를 배포했음
- CrowdStrike는 사이버 보안 회사가 원격으로 업데이트할 수 있는 클라우드 기반 보안 소프트웨어를 채택하도록 설득하는 데 앞장서 왔음
- 금요일 아침(미국 시간) 중단 사태로 인해 전 세계적으로 PC 시스템이 다운되었고, 많은 장치에서 "BSOD 블루 스크린 오브 데스"라고 알려진 오류 화면이 표시됨
- 항공편이 지연되고, 일부 911 대응이 중단되었으며, 은행 거래가 지연됨
- 보안 관계자에 따르면, 보통 "점진적으로 소규모 배치 업데이트를 하는데 이렇게 모든 고객에게 대량 업데이트 한 것"은 CrowdStrike가 설명해야 할 실수임
- CrowdStrike는 지금까지 거의 흠이 없는 실적을 보여준 회사
- 올해 1월 회계연도 기준 매출이 36% 증가한 $31B(43조원)를 기록하고 $89M의 이익을 냈음
- 사고 이전까지 CrowdStrike 주가는 올해 53% 상승했으며, 이는 매출 성장이 둔화된 여러 소규모 사이버 보안 기업들과 차별화되는 모습을 보여줌
- 전 백악관 사이버 보안 국장 Adrew Grotto
"CrowdStrike는 여전히 이번에 결함이 있는 업데이트가 어떻게 품질 관리에서 벗어났는지에 대해 많은 질문에 답해야 한다"
"CrowdStrike는 훌륭한 제품을 가지고 있고 존경받는 보안 회사이지만, 이번 일은 강력한 제품을 가진 회사에서도 나쁜 일이 일어날 수 있다는 것을 보여준다"
MS에서도 플랫폼 레벨에서 이런 문제를 방지할 수 있는 근본적인 솔류션을 고민해야 할것 같군요. 서드파티 업체의 실수가 플랫폼을 크래쉬 낼 수 있다는점은 심각한 구조적, 보안적인 결함으로 인식되야 할듯.
지금 국내 언론에서는 당시 있었던 MS Azure 클라우드의 장애와 이번 건을 혼동해서 이상한 소리들을 하던데, 두 장애는 우연히 같은 날 일어났을 뿐 아무런 관계도 없는 것으로 알려져 있습니다.
- Azure 장애: MS에서 백엔드 설정을 잘못하여 서버와 스토리지 사이의 연결에 문제가 발생하며 MS 브랜드의 다양한 SaaS에 문제가 발생함 (Incident ID
MO821132
) - CrowdStrike 장애: 보안업체에서 잘못된 악성코드 정의 파일을 배포하여 해당 보안업체 서비스를 윈도우 운영체제에서 구독하던 다양한 시스템에서 BSOD가 발생함 (이번 사건)
윈도우 기반 서버를 돌리는 기업 중에서 CrowdStrike를 구독하는 업체의 서버가 다운되어 피해를 입은 경우도 있는 모양이지만, 그런 사례에서 플랫폼 업체에서 근본적인 대책을 내놓아야 한다는 건 좀 이상하다고 생각합니다. 물론 이번 사건을 계기로 윈도우 운영체제가 보안 관련 소프트웨어의 권한에도 좀 더 제약을 두는 방향으로 나갈 가능성이 없다고는 못하겠습니다만…
차라리 MS가 신경써야 할 것은 백엔드 설정 문제로 인하여 SaaS에서의 장애가 반복되는 문제겠지요. 불과 1달도 되지 않은 지난 6월 27일에도 비슷한 장애가 있었거든요.
맥에서도 CrowdStrike의 넷필터링 기능으로 네트워크 먹통이 되는 경우를 자주봤고,
지속적인 CPU 사용량때문에 고통을 받은 적이 꽤 있어서..(..) 쌤통(?)이라는 생각이 들기도 합니다만..
그나마 CrowdStrike가 다른 보안솔루션에 비해 문제를 적게 일으킨다는 이야기도 있더군요.
다른 솔루션으로 전환해봤자, 크게 상황이 달라지지 않을거 같은 느낌이 들긴 합니다.
국내 기업들도 꽤 쓰나 보군요. 보안도구 쓰는 회사 다닌 지가 너무 오래되어서 ㅎㅎ
한국에선 금요일 밤이기도 해서 공항들 말고는 큰 문제가 없는지 별 얘기가 없네요.