IT대란 국내 피해 정확한 파악 어려워…완전복구 시간 걸릴 듯

전 세계 850만대 윈도 기기 영향
과기부, 업체와 연락 안돼…현재 10개 피해 기업 확인
복구하려면 수동으로 파일 삭제해야 해…시간 소요 예상
크라우드스트라이크 사칭한 해커 조심해야

[이데일리 임유경 기자] 지난 19일 전 세계적으로 발생한 IT 대란은 미국 보안 소프트웨어(SW) 업체 크라우드스트라이크가 배포한 클라우드 기반 보안 프로그램 ‘팰컨’의 업데이트가 마이크로소프트(MS) 운영체제(OS) 윈도와 충돌을 일으킨 것이 원인이 됐다. 과학기술정보통신부에 따르면 이번 사태로 국내에서 피해를 입은 기업은 10곳으로 추정되지만, 이번 사태에 파악을 위한 크라우드스트라이크 한국지사의 협조가 원활하지 않은 탓에 정확한 피해 규모 파악이 어려운 상황이다.

MS는 20일(현지시간) 홈페이지를 통해 이번 크라우드스트라이크 업데이트 충돌로 영향을 받은 윈도 기기가 850만대로 추산된다고 밝혔다. “이는 전체 윈도 기기의 1% 미만의 비율지만, 경제적, 사회적 영향이 컸던 이유는 중요 서비스를 운영하는 기업들이 크라우드스트라이크를 채택하고 있는 상황을 반영한다”고 MS는 설명했다.

조지 커츠 크라우드스트라이크 CEO(사진=크라우드스트라이크)

[이데일리 김일환 기자]

크라우드스트라이크는 2011년 설립돼 미국 텍사스 오스틴에 본사를 둔 종합 보안 솔루션 업체다. 주력 제품은 클라우드 기반 EDR 솔루션인 ‘팔콘(Falcon) 플랫폼’이다. 시장조사업체 IDC에 따르면 2022년 6월 기준 글로벌 엔드포인트 보안 솔루션 시장에서 크라우드스트라이크의 점유율은 17.7%로 1위를 차지했다.

크라우드스트라이크는 170여 개국에 진출해 있는데, 매출은 주로 미국과 유럽에 집중돼 있다. 1분기 크라우드스트라이크 분기보고서에 따르면 저체 매출액 약 9억 달러(1조2500억원) 중 미국 비중은 70%에 가까웠다. 이번 IT 대란 피해가 미국과 유럽의 항공사, 금융사, 의료기관, 방송사 등에 집중된 이유다.

과학기술정보통신부에 따르면 지난 19일 기준 이번 사태로 피해를 입은 국내 기업은 10곳으로 파악됐다. 주로 저가 항공사, 게임사 위주로 피해가 발생했다. 다만, 정확한 국내 피해 규모 파악은 어려운 상황이다. 크라우드스트라이크 한국지사와 연락이 닿고 있지 않아서다. 업계는 이번 사태에 따른 피해 기업이 더 많을 것으로 예상하고 있다. 한 보안 업계 관계자는 “최근 크라우드스트라이크는 국내에서 시장을 넓혀 나가고 있던 중이었다”며 “대외적으로 드러나지 않는 기업 업무 PC만 영향을 받은 경우, 굳이 외부로 문제를 알리지 않기 때문에 실제 피해 기업은 더 많을 것으로 보인다”고 말했다.

유나이티드 이어라인 직원이 19일(현지시간) 미국 뉴어크 공항 내 블루스크린이 뜬 화면 앞에 서있는 모습(사진=로이터)

한국인터넷진흥원(KISA)은 ‘보안 공지’를 통해 이번 문제를 완화할 수 있는 긴급 조치로 안전모드에서 문제 파일을 삭제하는 방법을 안내하고 있다. 안내에 따르면 먼저 복구 화면에서 고급 복구 옵션 보기에 들어간 뒤 ‘문제 해결’을 선택한 다음 ‘고급 옵션’에 들어간다. 여기서 ‘시작 설정’을 선택하고 ‘다시 시작’을 클릭한다. 재부팅 후 4 또는 F4 키를 눌러 안전 모드에서 PC를 시작한다.

안전모드에 들어가고 나면 명령 프롬프트(윈도 검색 창에서 cmd 입력) 또는 윈도 파워셀을 실행한다. 명령 프롬프트에서 C:Windowssystem32driversCrowdStrike 명령을 입력해서 크라우드스트라이크 폴더로 이동한다. 이 폴더에서 C-00000291*.sys 패턴과 일치하는 파일을 검색해 모두 삭제하면 된다.

피해를 입은 윈도 기기에서 수동으로 파일을 삭제해야 하는 만큼, 전 세계 피해 시스템이 모두 복구되기까진 시간이 걸릴 것이란 분석이 높다. 사이버 보안 업체 위드시큐어의 최고연구책임자(CRO) 미코 히포넨은 “수천만대 컴퓨터를 일일이 사람의 손으로 고쳐야 할 것 같다”면서 “최고경영자(CEO)의 노트북이나 컴퓨터 같은 핵심 기기들은 이미 복구됐겠지만 평직원의 기기들은 고칠 사람이 올 때까지 시간이 꽤 걸릴 것”이라고 내다봤다.

이번 사태로 악용한 해킹 시도 등 추가 피해도 우려되는 상황이다. 글로벌 보안 기업 시큐어웍스에 따르면 크라우드스트라이크 관련 도메인 생성이 급증하고 있다. “크라우드스트라이크 공식 홈페이로 위장한 웹사이트를 만들어 IT관리자나 일반 시민들을 속이고 악성 SW를 심으려는 움직임일 수 있다”는 분석이다.

조지 커츠 크라우드스트라이크 최고경영자(CEO) 역시 블로그를 통해 “악의적인 행위자가 이번 사건을 악용할 수 있다”며 “경계를 유지하고 공식 크라우드스트라이크 담당자와만 교류할 것을 권장한다”고 말했다. 또 “사태를 수습하면서 이번 사태에 대한 원인과 재발방지 대책을 투명하게 공개할 계획”이라고 덧붙였다.

이번 사태로 클라우드 기반 보안 솔루션은 위험하다는 왜곡된 인식이 생길 것을 보안 전문가들은 걱정하고 있다. 김휘강 고려대학교 정보보호대학원 교수는 “보안 솔루션 대부분은 설치 시스템에서 높은 권한을 가지고 동작하기 때문에 시스템과 충돌을 일으킬 가능성이 존재하고, 이런 이유로 아주 엄격한 검토를 거쳐 배포하는 게 기본”이라며 “이번 사태는 글로벌 보안 공룡 업체가 아주 기본적인 원칙을 지키지 않아 발생한 재앙”이라고 짚었다. 그러면서 “이번 사태가 전체 클라우드 보안 솔루션에 대한 기피현상으로 이어진 않아야 한다”고 덧붙였다.

임유경 (yklim01@edaily.co.kr)