[한국정보기술신문] 과학기술정보통신부(장관 이종호, 이하 과기정통부)은 ’24.7.19(금) 마이크로소프트(MS)의 국내 클라우드 서비스에 장애가 발생한 것과 관련하여, 한국마이크로소프트와 함께 국내 클라우드 서비스 장애의 정확한 원인 및 국내 피해 상황을 파악 중이며,

(한국마이크로소프트에 따른 클라우드 서비스 장애 요인)

- Azure 서비스 장애 관련: 06:56분 발생 및 12:41분 복구완료 (미국 Azure Cental US 리전에서 발생하였으며, 국내 영향은 경미한 것으로 추정)

- CrowdStrike의 소프트웨어 업데이트로 인한 장애 관련: 16:00 장애인지 및 복구 진행 중

CrowdStrike 소프트웨어가 주요 장애 요인인 것으로 파악됨에 따라, 한국인터넷진흥원(원장 이상중, 이하 KISA)과 함께 윈도 시스템 비정상 종료(블루스크린) 관련하여 비상대응팀을 구성, 긴급 대응에 나섰다.

윈도우 시스템 비정상 종료는 미국 보안회사 크라우드스트라이크의 엔드포인트 보안 제품을 최신 버전으로 보안 업데이트 할 경우 발생하는 것으로 확인되었다.

이에, 과기정통부와 KISA는 보호나라&KrCERT/CC 누리집(www.boho.or.kr)에 문제가 되는 업데이트 파일을 삭제하는 긴급 조치 방안을 안내하였으며, 이와 관련하여 발생할 수 있는 사이버 공격에 대해 모니터링 강화 중이다.

한편, 현재 국내 10개 기업에 피해가 확인되어 시스템 복구를 진행 중이거나 완료하였으며, 방송통신발전기본법 상 재난 장애 시 보고 의무가 있는 주요통신사업자 26개社*는 이번 사태로 인해 피해가 발생하지 않았다.

기간통신 11개사(SKT, KT, LGU플러스 등),부가통신 7개사(네이버, 카카오, 구글 등), 데이터센터 8개사(SK브로드밴드, 네이버클라우드 등)

CrowdStrike社 제품으로 인한 윈도우 시스템 비정상 종료(블루스크린) 관련 긴급 조치 권고

□ 개요

o CrowdStrike社가 배포한 Falcon제품군 최신 패치 적용 시 윈도우 시스템이 비정상 종료(블루스크린) 되는 문제 발생

o 해당 S/W를 운용 중인 각 기관에서는 보안 조치 권고

□ 설명

o CrowdStrike社 최신 Falcon제품군 패치 시, Windows 시스템 비정상 종료

□ 긴급 조치

< 안전 모드에서 문제 파일 삭제 >

1. 안전 모드로 부팅 → 복구 화면에서 '고급 복구 옵션 보기'를 클릭 → 고급 복구 옵션 메뉴에서 '문제 해결'을 선택 → '고급 옵션'을 선택 → '시작 설정'을 선택하고 '다시 시작'을 클릭 → 재부팅 후 4또는 F4 키를 눌러 안전 모드에서 PC를 시작

2. 안전 모드에서 명령 프롬프트(관리자) 또는 Windows PowerShell(관리자) 실행

3. C:\Windows\System32\drivers\CrowdStrike 디렉터리로 이동

4. C-00000291*.sys 패턴과 일치하는 파일 검색 및 삭제

□ 주의사항

o 긴급조치 전후 발생할 수 있는 외부 침입에 대비하여 보안강화

o CrowdStrike社 제품군 업데이트 삭제 등을 사칭하는 파일 등에 주의

□ 기타 문의사항

o CrowdStrike社 홈페이지 주소 : https://www.crowdstrike.com/ko-kr/

대외협력본부 한국정보기술신문 | news@kitpa.org