사건 발생
19일 오후부터 시작된 미국 사이버 보안 기업 ‘크라우드 스트라이크(CrowdStrike)’의 보안 소프트웨어의 업데이트 오류로 인해 항공, 은행, 방송 등 전 세계 시스템이 마비
발생 원인
- 크라우드 스트라이크의 보안 플랫폼 ‘팔콘(Falcon)’의 보안 업데이트 오류 → 기기들이 부팅 루프에 빠져 정상 작동 불가
- Falcon: 100% 클라우드 기반, 하드웨어나 추가 소프트웨어 등 구성요소 불필요, 호스트 방화벽 관리, 위협 인텔리전스 기능 함께 제공
이로 인한 문제점
해당 사고는 보안 또는 사이버 공격이 아니나 이를 악용한 사례 발생 가능
(기술 문제를 복구시켜 준다며 악성코드를 유포하고, 크라우드 스트라이크의 지원을 가장한 피싱 이메일을 통해 개인정보 입력을 유도한 사례가 발견)
긴급 조치 방법 (KISA)
- 안전 모드에서 문제가 되는 SW 파일을 삭제하는 것
- 조치 순서: 먼저 안전 모드로 부팅 → 복구 화면에서 ‘고급 복구 옵션 보기’를 클릭 → 고급 복구 옵션 메뉴에서 ‘문제 해결’을 선택 → ‘고급 옵션’을 선택 → ‘시작 설정’을 선택하고 ‘다시 시작’을 클릭 → 재부팅 후 4 또는 F4 키를 눌러 안전 모드에서 PC를 시작
- 두 번째로 안전 모드에서 명령 프롬프트(관리자) 또는 Windows PowerShell(관리자)를 실행한다. 다음으로 C:Windows-System32-drivers-CrowdStrike 디렉터리로 이동한 후, C-00000291*.sys 패턴과 일치하는 파일을 검색해 삭제
참고 기사
https://m.boannews.com/html/detail.html?idx=131501
https://m.boannews.com/html/detail.html?tab_type=1&idx=131506
https://www.dailysecu.com/news/articleView.html?idxno=157917
https://www.crowdstrike.com/statement-on-falcon-content-update-for-windows-hosts-kr/
:) GITHUB: https://github.com/YJ2123412