GN⁺: 크라우드스트라이크 전 직원들: "품질 관리는 프로세스의 일부가 아니었다."

 (semafor.com)
1P by neo 6일전 | favorite | 댓글 1개
  • CrowdStrike의 소프트웨어 엔지니어들은 1년 이상 회사 고위 관리자들에게 마감일 단축, 과도한 업무량, 기술적 문제 증가에 대해 불만을 제기함
    • 엔지니어 Jeff Gardner: "속도가 가장 중요했고, 품질 관리는 우선순위가 아니었음"
    • 24명의 전직 직원 중 10명은 해고되었고, 14명은 자발적으로 퇴사함
    • 전직 직원 Joey Victorino는 CrowdStrike가 모든 것을 꼼꼼하게 처리했다고 반박함
  • CrowdStrike는 Semafor의 보도 내용 대부분을 부인하며, 정보 제공자들을 "불만을 품은 전직 직원"으로 지칭함
    • 회사는 엄격한 테스트와 품질 관리를 통해 제품의 안정성을 보장하기 위해 노력하고 있다고 주장함
  • CrowdStrike는 2011년 설립되어 2013년 Falcon 백신 패키지 출시 후 사이버보안 업계 선두주자로 빠르게 성장함
    • 2019년 상장 후 대규모 성장을 거듭하며 직원 수 증가, 2024 회계연도 말 매출 1,000% 이상 증가
  • 7월 CrowdStrike의 잘못된 소프트웨어 업데이트로 인해 역사상 최대 규모의 IT 장애가 발생함
    • 850만 대의 컴퓨터가 다운되어 포춘 500대 기업에 최대 54억 달러의 손실을 입힘
    • 공항 여행객이 발이 묶이고, 온라인 뱅킹 계정에 접속할 수 없게 되며, 긴급 콜센터가 오프라인 상태가 됨

전직 직원들이 제기한 문제점

  • 제품 출시를 서두르기 위해 때로는 소프트웨어 품질 검사가 부실했음
  • 전문 서비스 부서에서 고객의 개인 정보가 실수로 다른 고객의 폴더에 세 차례나 업로드되는 사고 발생
  • Falcon LogScale 서비스에 문제가 있었음
    • 잘못된 업데이트로 인해 악의적인 활동을 알리는 실시간 경고가 잠시 꺼진 적이 최소 두 차례 있었음
  • 2022년 클라우드 위협 헌팅 서비스인 Falcon OverWatch Cloud Threat Hunting 출시를 서둘렀음
    • 엔지니어와 위협 헌터들에게 보통 1년 걸리는 작업을 두 달 안에 마치라고 지시함
    • 출시 당시 위협 헌터들이 고객의 클라우드 시스템을 완전히 모니터링하는 데 사용하는 내부 도구가 부족했음

CrowdStrike의 답변

  • 기존 엔지니어를 사용한 것은 인정했으나, 당시 "클라우드 위협 헌터"라는 분야 자체가 없었기에 경험 있는 인력을 고용하는 것이 불가능했다고 해명함
  • 직원들이 업무를 수행할 수 있도록 교육받지 않았다는 주장은 거짓이며, 원하는 사람에게는 교육을 제공했다고 밝힘
  • OverWatch 제품군은 10년 이상 존재해왔으며, 고객의 진화하는 위협과 요구에 맞춰 지속적으로 개선되고 있음
neo 6일전  [-]
Hacker News 의견

  • CrowdStrike Mac 에이전트(Falcon)가 환경 변수에서 모든 비밀을 평문으로 클라우드 호스팅 SIEM으로 전송함

    • GitHub, AWS 등의 자격 증명을 검색할 수 있음
    • Mac 버전만 해당되며, 이 동작을 비활성화하거나 수정할 방법이 없음
    • 고객의 수많은 평문 비밀이 SIEM에 저장되어 있을 가능성이 큼

  • Jeff Gardner는 CrowdStrike에서 속도만 중요시하고 품질 관리는 고려하지 않았다고 주장함

    • 해고된 전 직원의 의견은 신뢰하기 어려움
    • 이 직원은 디자이너로서 품질 관리에 관여하지 않았을 가능성이 큼

  • 24명의 전 직원 중 10명은 해고되었고, 14명은 자발적으로 퇴사함

    • 일부 전 직원은 다른 의견을 제시함
    • Joey Victorino는 CrowdStrike가 모든 작업에 철저했다고 주장함

  • Jeff Gardner의 의견은 UX 디자이너의 관점에서 나온 것임

    • 커널 패치 배포 과정과는 관련이 없을 가능성이 큼

  • 중요한 소프트웨어 인프라는 물리적 인프라처럼 규제되어야 함

    • 건물과 다리처럼 소프트웨어도 규제와 검사를 통해 신뢰성을 확보해야 함

  • CrowdStrike 에이전트를 배포한 팀에서 로그 문제를 겪음

    • 데몬이 많은 로그를 기록하지만 이를 중지하거나 줄일 수 있는 설정이 없음

  • CrowdStrike의 문화 문제는 Knight Capital과 유사함

    • 작은 문화 문제가 회사 전체의 기능 장애로 이어짐

  • 소프트웨어 개발에서 품질 관리가 부족한 경우가 많음

    • 많은 프로젝트가 충분히 테스트되지 않고 서둘러 출시됨

  • 위험 감수와 스릴 추구의 경계에 대해 고민하기 시작함

    • 어느 순간부터는 게으름이나 규율의 문제가 아니라 신경증이나 중독이 될 수 있음

  • CrowdStrike는 Semafor의 보도를 반박함

    • 불만을 가진 전 직원들이 회사를 나쁘게 보이게 할 가능성이 있음
    • 하지만 CrowdStrike의 신뢰도는 매우 낮음

  • 최악의 상황이 발생했음에도 불구하고 CrowdStrike의 주가는 여전히 상승 중임

    • S&P 500을 능가하는 성과를 보임
답변달기