원인은 파일명 'C-000'… 일일이 삭제해야

韓 피해기업 60% 복구 완료
완전 정상화에 시간 걸릴듯

◆ 글로벌 IT쇼크 ◆

사이버 정전 사태로 한국 기업은 총 10개사가 피해를 봤고 6개사가 시스템을 복구한 것으로 나타났다. 21일 과학기술정보통신부·한국인터넷진흥원(KISA)에 따르면 국내 저비용항공사(LCC)인 제주항공·에어프레미아·이스타항공 시스템이 복구됐다.

또 게임사 펄어비스와 그라비티도 시스템이 정상으로 돌아왔다. 하지만 외국계 화학 기업과 국내 중소 제조업체 등 4개사는 현재 여전히 복구 중이다.

이번 사이버 정전 사태의 주범은 보안업체의 패치 때문인 것으로 밝혀졌다. 업체가 윈도 시스템 파일을 나타내는 확장자인 'sys 파일'에 전부 '0'을 써넣은 것으로 나타났다. 이는 '널 포인터 역참조(Null Pointer Dereference)' 오류로 이어졌다. 마치 도서관에서 책 위치를 알려주는 표지판에 '빈 위치'라고 쓴 것과 같은 이치다. 프로그래밍에는 메모리 주소를 지정하는 포인터라는 것이 있는데, 위치 값을 '0'으로 적어 보안 소프트웨어가 무한 탐색에 빠진 것이다.

해결책은 간단하지만 일일이 수작업으로 고쳐야 하기 때문에 시스템이 정상화되기까지 오랜 시일이 걸릴 것으로 보인다. 크라우드스트라이크는 윈도를 안전 모드로 부팅한 뒤 'C-00000291*.sys 파일'을 찾아 삭제하고, 다시 부팅할 것을 권고했다. 하지만 이는 원격으로 제어가 불가능하다. 정보기술(IT) 담당자가 일일이 문제가 된 PC를 찾아가 수작업으로 점검해야 한다.

이런 가운데 해커들이 피싱 이메일을 쏟아내고 있다는 경고음이 울렸다. 해커들이 크라우드스트라이크 지원팀을 사칭해 고객에게 피싱 이메일을 보내는 사례가 다수 관찰된 것이다. 크라우드스트라이크에 따르면 지금까지 이 회사를 사칭한 악성 홈페이지만 30건이 발견됐다.

[이상덕 기자 / 이동인 기자]