GN⁺: OVH 판례에 따른 프랑스에서의 CrowdStrike 손해 배상 책임
(thehftguy.com)CrowdStrike가 프랑스에서 손해배상 책임을 질 가능성
- 최근 CrowdStrike 사건으로 인해 850만 대의 컴퓨터가 비활성화되고 54억 달러 이상의 손해가 발생한 것으로 추정됨
- CrowdStrike가 손해배상 책임을 질 가능성이 높음
- 프랑스에서 OVH 사건과 유사한 사례가 있었음
OVH에 대하여
- OVH는 유럽 최대의 데이터센터 및 클라우드 제공업체로, 물리적 서버와 가상 머신, 다양한 클라우드 서비스를 제공함
- 2021년 3월 10일, SGB 위치에서 화재가 발생하여 두 개의 데이터센터가 전소되고 두 개의 데이터센터가 일시적으로 운영 불가능해짐
- 다수의 고객이 손해배상을 청구하여 승소함
- 법원에서 논의된 주요 사항:
- 사건 중 및 이후에 서비스가 완전히 중단됨
- 데이터가 완전히 복구 불가능하게 손실됨
- OVH는 백업 서비스를 제공했으나, 백업도 복구 불가능하게 손실됨
- 여러 데이터센터가 근처에 위치해 있었으나, 모두 같은 장소에 있어 법원에서 비합리적으로 판단됨
- 백업이 동일한 데이터센터 또는 같은 장소에 위치한 다른 데이터센터에 저장된 것이 비합리적으로 판단됨
- 고객이 여러 위치에 백업을 두는 것이 좋은 관행임을 법원이 인정함
- 법원은 OVH가 백업 제공자로서 합리적인 기준을 준수해야 한다고 판단함
- OVH의 백업 서비스가 합리적인 기준을 충족하지 못하고 목적에 실패했다고 판결함
CrowdStrike에 대하여
- CrowdStrike는 컴퓨터에 설치되는 안티바이러스 소프트웨어로, 주로 대기업의 장치에 설치됨
- 2024년 7월 19일, CrowdStrike는 소프트웨어 업데이트를 배포했으나, 이 업데이트가 오류를 일으켜 수백만 대의 컴퓨터가 비활성화됨
- 주요 논의 사항:
- CrowdStrike는 컴퓨터 시작 시 높은 권한 모드에서 실행됨
- 수백만 대의 중요한 장치에 배포됨
- 업데이트가 수백만 대의 장치에 동시에 배포됨
- 소프트웨어 업그레이드는 단계적으로 진행하는 것이 좋은 관행임
- CrowdStrike가 테스트 및 단계적 배포를 하지 않았음
- 고객들이 이전에도 이 문제를 제기했으나, CrowdStrike는 이를 거부함
- 업데이트가 배포된 후 거의 두 시간 동안 문제가 인지되지 않음
- 모든 컴퓨터가 비활성화되어 사용자들이 문제를 해결할 수 없었음
- IT 팀이 물리적으로 접근하여 컴퓨터를 재설치하거나 드라이버 파일을 삭제해야 함
- 수천 대에서 수십만 대의 장치를 복구하는 데 몇 주가 소요될 것임
- 중요한 장치가 복구 불가능할 수 있음
- CrowdStrike가 보호해야 할 컴퓨터를 파괴함
- 고객들에게 심각한 피해를 초래함
GN⁺의 정리
- CrowdStrike 사건은 OVH 사건과 유사하게 손해배상 책임을 질 가능성이 높음
- CrowdStrike의 업데이트 오류로 인해 수백만 대의 컴퓨터가 비활성화되어 기업들이 큰 피해를 입음
- 이 사건은 소프트웨어 배포 및 테스트의 중요성을 강조하며, 특히 중요한 장치에 배포되는 소프트웨어의 경우 더욱 철저한 검증이 필요함
- 비슷한 기능을 가진 다른 보안 소프트웨어로는 Symantec, McAfee 등이 있음
Hacker News 의견
-
프랑스 CSP에서 일하는 사람으로서 OVH 사건을 실시간으로 경험했음
- OVH는 데이터 손실 때문에 책임을 졌음
- 데이터 손실은 영구적이고 돌이킬 수 없는 문제임
- 일부 기업은 데이터 손실로 인해 운영이 불가능해졌음
- 서비스 중단은 SLA 계약으로 해결될 수 있는 문제임
- CrowdStrike는 큰 책임을 지지 않을 것 같음
- 의료 부문은 더 많은 규제가 필요할 것임
-
이 헤드라인은 오해의 소지가 있음
- 개인의 의견을 사실로 표현한 것임
- "CrowdStrike가 책임을 져야 한다고 생각함" 같은 표현이 더 적절함
-
일반적인 책임 면제 조항은 미국 외의 관할 구역에서는 의미가 없음
-
OVH와 CrowdStrike 사건 비교는 적절하지 않음
- OVH는 백업 시스템 전체가 실패했음
- CrowdStrike는 고객의 커널을 약 1시간 동안 다운시켰음
- 소프트웨어 버그는 대부분의 산업에서 불가피한 것으로 취급됨
- CrowdStrike의 소프트웨어는 많은 중요한 경로에 삽입되었기 때문에 뉴스가 됨
- CrowdStrike의 소프트웨어는 부실하게 개발되었음
- 법적 틀 내에서 책임을 질 가능성은 낮음
- 고객들이 지갑으로 투표할 가능성이 있음
-
많은 청구자들이 이미 변호사를 통해 보상을 받으려 하고 있을 것임
- 여러 관할 구역에서 어떻게 조직되는지 궁금함
-
Falcon이 제공하는 보호 기능이 왜 OS 자체에서 제공되지 않는지 궁금함
- Windows에서는 명확한 보안 역할이 존재하지 않음
- Red Hat이나 Canonical과 비교됨
-
B2B 계약은 두 당사자가 모두 숙련된 것으로 간주됨
- 계약 조건을 초과하는 법적 보호가 거의 없을 것임
- 영국 법률에 대한 이해를 바탕으로 함
-
대부분의 EU 국가에는 책임을 제한하는 법률이 있음
- 병원, 응급 서비스 등은 직접적인 손해에 대해 소송을 제기할 수 있음
- 개인도 손해에 대해 소송을 제기할 수 있음
- 기회 비용이나 인력 비용은 소송하기 어려울 것임
- 과실의 정도가 중요한 요소가 될 것임
-
2019년 7월 19일에 CrowdStrike가 소프트웨어 업데이트를 푸시했음
- 연도는 2024년으로 잘못된 것 같음
-
몇 주 전에 CrowdStrike 에이전트가 Linux 시스템을 손상시킨 사건이 있었음
- 이 사건과 관련이 있는지 궁금함