GN⁺: OVH 판례에 따른 프랑스에서의 CrowdStrike 손해 배상 책임

 (thehftguy.com)
1P by neo 1달전 | favorite | 댓글 1개

CrowdStrike가 프랑스에서 손해배상 책임을 질 가능성

  • 최근 CrowdStrike 사건으로 인해 850만 대의 컴퓨터가 비활성화되고 54억 달러 이상의 손해가 발생한 것으로 추정됨
  • CrowdStrike가 손해배상 책임을 질 가능성이 높음
  • 프랑스에서 OVH 사건과 유사한 사례가 있었음

OVH에 대하여

  • OVH는 유럽 최대의 데이터센터 및 클라우드 제공업체로, 물리적 서버와 가상 머신, 다양한 클라우드 서비스를 제공함
  • 2021년 3월 10일, SGB 위치에서 화재가 발생하여 두 개의 데이터센터가 전소되고 두 개의 데이터센터가 일시적으로 운영 불가능해짐
  • 다수의 고객이 손해배상을 청구하여 승소함
  • 법원에서 논의된 주요 사항:
    • 사건 중 및 이후에 서비스가 완전히 중단됨
    • 데이터가 완전히 복구 불가능하게 손실됨
    • OVH는 백업 서비스를 제공했으나, 백업도 복구 불가능하게 손실됨
    • 여러 데이터센터가 근처에 위치해 있었으나, 모두 같은 장소에 있어 법원에서 비합리적으로 판단됨
    • 백업이 동일한 데이터센터 또는 같은 장소에 위치한 다른 데이터센터에 저장된 것이 비합리적으로 판단됨
    • 고객이 여러 위치에 백업을 두는 것이 좋은 관행임을 법원이 인정함
    • 법원은 OVH가 백업 제공자로서 합리적인 기준을 준수해야 한다고 판단함
    • OVH의 백업 서비스가 합리적인 기준을 충족하지 못하고 목적에 실패했다고 판결함

CrowdStrike에 대하여

  • CrowdStrike는 컴퓨터에 설치되는 안티바이러스 소프트웨어로, 주로 대기업의 장치에 설치됨
  • 2024년 7월 19일, CrowdStrike는 소프트웨어 업데이트를 배포했으나, 이 업데이트가 오류를 일으켜 수백만 대의 컴퓨터가 비활성화됨
  • 주요 논의 사항:
    • CrowdStrike는 컴퓨터 시작 시 높은 권한 모드에서 실행됨
    • 수백만 대의 중요한 장치에 배포됨
    • 업데이트가 수백만 대의 장치에 동시에 배포됨
    • 소프트웨어 업그레이드는 단계적으로 진행하는 것이 좋은 관행임
    • CrowdStrike가 테스트 및 단계적 배포를 하지 않았음
    • 고객들이 이전에도 이 문제를 제기했으나, CrowdStrike는 이를 거부함
    • 업데이트가 배포된 후 거의 두 시간 동안 문제가 인지되지 않음
    • 모든 컴퓨터가 비활성화되어 사용자들이 문제를 해결할 수 없었음
    • IT 팀이 물리적으로 접근하여 컴퓨터를 재설치하거나 드라이버 파일을 삭제해야 함
    • 수천 대에서 수십만 대의 장치를 복구하는 데 몇 주가 소요될 것임
    • 중요한 장치가 복구 불가능할 수 있음
    • CrowdStrike가 보호해야 할 컴퓨터를 파괴함
    • 고객들에게 심각한 피해를 초래함

GN⁺의 정리

  • CrowdStrike 사건은 OVH 사건과 유사하게 손해배상 책임을 질 가능성이 높음
  • CrowdStrike의 업데이트 오류로 인해 수백만 대의 컴퓨터가 비활성화되어 기업들이 큰 피해를 입음
  • 이 사건은 소프트웨어 배포 및 테스트의 중요성을 강조하며, 특히 중요한 장치에 배포되는 소프트웨어의 경우 더욱 철저한 검증이 필요함
  • 비슷한 기능을 가진 다른 보안 소프트웨어로는 Symantec, McAfee 등이 있음
neo 1달전  [-]
Hacker News 의견

  • 프랑스 CSP에서 일하는 사람으로서 OVH 사건을 실시간으로 경험했음

    • OVH는 데이터 손실 때문에 책임을 졌음
    • 데이터 손실은 영구적이고 돌이킬 수 없는 문제임
    • 일부 기업은 데이터 손실로 인해 운영이 불가능해졌음
    • 서비스 중단은 SLA 계약으로 해결될 수 있는 문제임
    • CrowdStrike는 큰 책임을 지지 않을 것 같음
    • 의료 부문은 더 많은 규제가 필요할 것임

  • 이 헤드라인은 오해의 소지가 있음

    • 개인의 의견을 사실로 표현한 것임
    • "CrowdStrike가 책임을 져야 한다고 생각함" 같은 표현이 더 적절함

  • 일반적인 책임 면제 조항은 미국 외의 관할 구역에서는 의미가 없음

  • OVH와 CrowdStrike 사건 비교는 적절하지 않음

    • OVH는 백업 시스템 전체가 실패했음
    • CrowdStrike는 고객의 커널을 약 1시간 동안 다운시켰음
    • 소프트웨어 버그는 대부분의 산업에서 불가피한 것으로 취급됨
    • CrowdStrike의 소프트웨어는 많은 중요한 경로에 삽입되었기 때문에 뉴스가 됨
    • CrowdStrike의 소프트웨어는 부실하게 개발되었음
    • 법적 틀 내에서 책임을 질 가능성은 낮음
    • 고객들이 지갑으로 투표할 가능성이 있음

  • 많은 청구자들이 이미 변호사를 통해 보상을 받으려 하고 있을 것임

    • 여러 관할 구역에서 어떻게 조직되는지 궁금함

  • Falcon이 제공하는 보호 기능이 왜 OS 자체에서 제공되지 않는지 궁금함

    • Windows에서는 명확한 보안 역할이 존재하지 않음
    • Red Hat이나 Canonical과 비교됨

  • B2B 계약은 두 당사자가 모두 숙련된 것으로 간주됨

    • 계약 조건을 초과하는 법적 보호가 거의 없을 것임
    • 영국 법률에 대한 이해를 바탕으로 함

  • 대부분의 EU 국가에는 책임을 제한하는 법률이 있음

    • 병원, 응급 서비스 등은 직접적인 손해에 대해 소송을 제기할 수 있음
    • 개인도 손해에 대해 소송을 제기할 수 있음
    • 기회 비용이나 인력 비용은 소송하기 어려울 것임
    • 과실의 정도가 중요한 요소가 될 것임

  • 2019년 7월 19일에 CrowdStrike가 소프트웨어 업데이트를 푸시했음

    • 연도는 2024년으로 잘못된 것 같음

  • 몇 주 전에 CrowdStrike 에이전트가 Linux 시스템을 손상시킨 사건이 있었음

    • 이 사건과 관련이 있는지 궁금함
답변달기