미주연 리포트

크라우드 스트라이크는 떠나보내야..

주삼부칠 2024. 7. 27. 18:00

(JPMorgan,  07/23/2024)  CrowdStrike 사태에 대한 견해

지난 금요일 CrowdStrike의 잘못된 소프트웨어 업데이트로 인한 시스템 중단이 있었다.한 사이버보안 회사는 "CrowdStrike가 모든 랜섬웨어 운영자들을 합친 것보다 더 많이 글로벌 비즈니스를 방해했다"고 보았으며, 전직 FBI 방첩 요원은 CrowdStrike의 "심각한 품질 관리 실패"를 지적했다. 내부 정보에 따르면:

• 모든 것은 "커널" 접근에 관한 것이다. 커널은 운영 체제의 핵심을 가리키며 "사용자 공간"과는 매우 중요한 점에서 다르다. 일단 커널 접근 권한이 소프트웨어 프로그램에 부여되면, 일반적으로 제한 없이 작동할 수 있으며 프로그램이 충돌하면 컴퓨터도 함께 다운된다. 사용자 공간에서 작동하는 소프트웨어는 컴퓨터의 기능을 종료시키지 않고 충돌할 수 있다.

• Windows에서 사이버보안 소프트웨어는 일반적으로 커널에 대한 우선 접근 권한을 가진다. 이는 2000년대 중반 Symantec과 McAfee가 Microsoft에 커널 접근을 허용하도록 압력을 가한 것에서 비롯되었다.

• Microsoft는 커널에서 작동하는 소프트웨어 드라이버에 대해 광범위한 테스트 후 Windows 하드웨어 품질 랩 인증을 받도록 요구하지만, CrowdStrike는 특정 드라이버 업데이트와 관련하여 이를 우회하는 방법을 개발한 것으로 보인다. CrowdStrike는 소프트웨어가 사용하는 동적 정의 파일을 만들어 업데이트될 때마다 인증이 필요하지 않게 했다. 이 정의 파일은 파일 이름을 가리키는 것 외에도 실행 가능한 코드를 포함할 수 있다. 결과적으로 이러한 파일의 널 포인터 참조나 부적절한 매개변수 검증 같은 것이 커널 기능에 의해 사용되어 컴퓨터를 충돌시킬 수 있다.

 

• CrowdStrike의 실수는 간단히 설명하면 충격적으로 들린다: CrowdStrike는 결함 있는 드라이버 정의 파일을 만들고, 제대로 테스트하지 않은 채 전체 고객 기반에 한 번에 배포했다. 결과: 전 세계적으로 800만 대(!!)의 컴퓨터가 충돌했다.

• Apple이나 Linux 컴퓨터는 왜 영향을 받지 않았나? Apple은 제3자 개발자가 커널 공간에 접근하는 것을 막고 있으며, Linux 드라이버 업데이트는 더 철저히 테스트된 것으로 보인다.

• FTC의 Lina Khan이 말하는 바를 이해할 수 없다. Khan은 이 사태에 대한 결론을 "집중이 취약한 시스템을 만든다"고 내였다. 이는 이상한데, 여기서 근본 원인은 Microsoft가 제3자 개발자에게 커널을 개방하기로 한 결정이기 때문이다. 또한 CrowdStrike는 모든 Windows PC의 1%에서만 작동하므로 전혀 집중되어 있지 않다.


• 지난주 이전에도 CrowdStrike의 Falcon Sensor 소프트웨어 업데이트에 문제가 있다는 증거가 있었다. 기업용 소프트웨어 회사 Red Hat은 6월에 CrowdStrike의 업데이트가 Linux 기계를 충돌시키고 Microsoft의 "죽음의 파란 화면"과 유사한 "커널 패닉"을 일으킨다고 보고했다.

• 이런 일은 전에도 있었다. 2010년, CrowdStrike의 CEO가 McAfee의 CTO였을 때 정상적인 Windows 파일을 감염된 것으로 잘못 레이블링한 업데이트를 발표했다. 이 오류로 병원, 학교, 정부 기관의 컴퓨터가 마비되었다. McAfee는 그날 시가총액의 40%를 잃었고 약 4,000명의 직원을 비행기에 태워 영향받은 고객들의 복구를 돕게 했다.

• 경쟁사들은 실수 후에 급소를 노린다 Competitors go for the jugular after a mistake. 2023년 정부가 Microsoft의 "연쇄적인 보안 실패"를 꾸짖는 보고서를 발표한 후, CrowdStrike의 CEO는 이를 기회로 삼아 새로운 고객을 유치하기 위해 Microsoft를 비난했다. "Microsoft 보안 고객 기반 내 보안 및 IT 팀 사이에 신뢰 위기가 있다"고 말했다. 인과응보이다 What goes around ...

 

 

 

 

함께 봐야할 글

 

https://stockmarketlab.tistory.com/1002

 

크라우드 스트라이크 이제 팔아야하나?

(TheInformation) CrowdStrike는 오랫동안 엔드포인트 탐지로 알려진, 고객의 네트워크를 해커로부터 보호하기 위한 클라우드 기반 소프트웨어 시장을 지배해왔다. 하지만 금요일의 잘못된 소프트웨어

stockmarketlab.tistory.com

 

728x90