CrowdStike의 CroudStike Falcon(EDR 솔루션)은 포춘 500 기업에서도 사용되는 보안 솔루션이다. 그런데 해당 EDR 솔루션의 업데이트와 Microsoft에서 제공하는 Azure 인프라와 충돌이 발생하여 블루스크린 오류가 발생하였다. 해당 오류로 인해 전세계에 있는 방송, 항송, 의료, 구급 시스템 등 많은 곳이 일제히 마비가 된 것으로 보인다.
CrowdStrike는 업데이트가 850만대에 Windows 기기에 영향을 미친것으로 추정하고 있다.(Windows 기기의 1%) 규모가 크지 않지만, 방송, 항공, 의료와 같은 중요한 분야가 마비됬다는 부분에서 사회적인 영향이 큰 사건으로 보인다.
여기서 EDR 솔루션이란, Endpoint Detection and Response의 약자로 엔드포인트(컴퓨터 네트워크에 끝에 위치하는 장비)에서 발생할수 있는 위협을 실시간으로 탐지하고 대응하는데 사용된다. 해당 위협을 탐지하기 위해서는 OS 커널영역을 건드려야되는데, 이 때문에 이번 업데이트가 Windows 운영체제와 충돌이 일어나 이런 사고가 일어난것으로 보인다.
이러한 호환성 이슈로 인해서, 고객사들은 호환성문제 걱정이 없는 MS가 제공하는 EDR 솔루션을 제공하거나 다양한 EDR 솔루션을 사용하는 다중화 전략을 사용할수도 있을것같다.
글로벌 서비스일수록 이러한 작은 업데이트 하나에도 사회적으로 엄청난 피해를 입힐수 있다는 것을 느꼈다. 또한 보안도 중요하지만, 서비스가 정상적으로 동작할 수 있는 것이 더 우선순위가 되야겠다는 생각이 들었다.
- https://blogs.microsoft.com/blog/2024/07/20/helping-our-customers-through-the-crowdstrike-outage/
- https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/
- https://www.youtube.com/watch?v=4yDm6xNeYas
- https://www.youtube.com/watch?v=875KNDEH6ts
- https://www.youtube.com/watch?v=9y4oqPwIP2Q