이석원 기자
7월 19일 전 세계 윈도 탑재 단말기가 연이어 충돌한 현상은 850만 대에 이르는 단말기에 영향을 미쳤으며 이로 인해 공항과 의료 등 중요 인프라를 포함한 다양한 기관과 기업이 피해를 입었다. 역사상 최악의 IT 장애라고도 불리는 이 문제를 악용해 크라우드스트라이크(CrowdStrike)로 위장한 피싱 사기나 복구 도구로 위장한 악성 프로그램이 급증하고 있다고 보고됐다.
7월 19일 발생한 크라우드스트라이크 문제는 윈도 단말기에 설치된 보안 솔루션인 크라우드스트라이크 팔콘 센서(CrowdStrike Falcon sensor) 결함으로 인해 OS가 블루스크린 표시와 재부팅을 반복하는 것이었다.
이 장애 발생에 대해 크라우드스트라이크 조지 쿠르츠 CEO가 사과 성명을 발표했으며 크라우드스트라이크와 마이크로소프트가 협력해 복구 가이드와 복구 도구를 공개하고 상황 수습에 노력하고 있다.
전 세계 기관이 복구를 진행하는 가운데 장애 발생 직후부터 이 문제를 악용한 사이버 공격이 다발하고 있다고 여러 기관에서 보고됐다.
영국 국가사이버보안센터(NCSC)는 7월 19일 성명에서 악의적인 행위자가 이 장애를 악용하려 하고 있으며 장애를 언급한 피싱 증가가 이미 확인되고 있으니 주의하라고 경고했다. 악성 프로그램 분석 플랫폼 애니런(AnyRun)에서도 악의적인 행위자가 크라우드스트라이크로 위장하여 피싱을 시도하려는 징후가 있다고 보고됐다.
예를 들어 한 사이버 보안 연구자(g0njxa)는 크라우드스트라이크 핫픽스(CrowdStrike Hotfix)로 위장한 트로이 목마(Remcos RAT)가 온라인 뱅킹 사용자를 노린 피싱에 사용되고 있다고 보고했다.
그 밖에도 크라우드스트라이크 업데이트로 위장한 데이터 와이퍼가 배포되고 있으며 설치하면 단말기 내 파일이 용량 0바이트 빈 파일로 덮어써진다고 보고됐다.
이 데이터 와이퍼와 관련해 친이란 핵티비스트 집단(Handala)이 범행 성명을 발표하고 크라우드스트라이크로 위장해 데이터 와이퍼를 배포하는 이메일을 이스라엘 기업에 보냈다고 밝혔다. 이곳이 타깃 기업에 보낸 피싱 이메일에는 가짜 업데이트를 적용하기 위한 자세한 지침과 그 배포처 링크를 기재한 PDF 파일이 첨부되어 있었다고 한다.
크라우드스트라이크는 블로그에서 크라우드스트라이크 지원을 가장한 피싱 이메일이나 크라우드스트라이크 직원을 사칭한 전화, 문제를 자동 복구한다고 주장하는 스크립트 판매 등이 급증하고 있다고 지적했다. 또 크라우드스트라이크 쿠르츠 CEO는 고객에게 적대세력이나 악의적인 자가 이번 사건을 악용할 것으로 예상되므로 항상 경계를 게을리하지 말고 공식 담당자와 확실히 연계할 걸 권했다.
한편 문제가 발생한 7월 19일에는 크라우드스트라이크 주가가 11.1% 하락했다. 이 회사 주가는 문제 발생 전 12개월 동안 118% 가까이 상승했었다. 관련 내용은 이곳에서 확인할 수 있다.
한편 크라우드스트라이크 사건과 관련해 마이크로소프트가 2009년 유럽 위원회 요구에 응한 게 원인이 되어 크라우드스트라이크 사태가 윈도로 확산되는 것을 막지 못했다고 시사했다는 보도가 나왔다.
크라우드스트라이크가 원인이 되어 OS가 충돌되는 문제는 윈도와 리눅스 배포판에서 발생했지만 지금까지 맥OS에서는 큰 문제가 보고되지 않았다. 보안 기업 테네이블(Tenable) 에밋 요란(Amit Yoran) CEO는 맥이 이번 문제를 피한 이유를 애플은 폐쇄적인 생태계를 운영하고 있어 업그레이드를 강제하거나 애플리케이션에 적절한 보안 대책을 강구하도록 강제하거나 또는 앱스토어에서 퇴출시키는 등 방법으로 다른 플랫폼보다 훨씬 건전한 균형을 유지하고 있을 것이라고 분석했다.
애초 이번 크라우드스트라이크 결함이 치명적인 영향을 미친 이유는 같은 회사 보안 소프트웨어인 크라우드스트라이크 팔콘(CrowdStrike Falcon)이 윈도 핵심인 커널에서 작동하고 있었기 때문.
반면 애플은 2020년 보안 제품 개발자에게 커널 레벨 접근을 허용하지 않겠다고 전했다. 이는 애플 파트너 기업에게는 골치 아픈 일이지만 동시에 맥이 이번과 같은 문제와 무관하게 된 이유이기도 하다는 설명이다.
하지만 마이크로소프트는 다른 회사 제품이 OS 커널에 접근하는 것을 막을 수 없다. 왜냐하면 마이크로소프트는 2009년 체결한 유럽 위원회와의 계약에 따라 마이크로소프트와 동일한 수준 윈도 접근 권한을 보안 소프트웨어 개발자에게 제공해야 하기 때문.
마이크로소프트와 유럽 위원회의 합의 문서에 따르면 마이크로소프트는 자사 보안 제품에서 사용되는 윈도 클라이언트 및 서버 OS API를 외부 소프트웨어 개발자에게 공개해야 할 의무가 있다고 한다. 이는 EU가 목표로 하는 공정성 실현에는 도움이 되지만 보안 관점에서는 바람직하지 않다는 지적이다.
마이크로소프트 측은 유럽 위원회로부터 제소를 받아 합의했기 때문에 애플처럼 자사 OS를 법적으로 봉쇄할 수 없다고 말했다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이원영 기자
