[딥테크] 보안 우려 불 붙인 크라우드스트라이크 사태, “조짐 보였다”
공급망 오류·해킹 공격으로 유사 보안 사고 잇따라
2019년 솔라윈즈 사태, 이번 사건 전초적 격
보안 공급업체에 대한 전방위적 실사 거쳐야
더 이코노미(The Economy) 및 산하 전문지들의 [Deep] 섹션은 해외 유수의 금융/기술/정책 전문지들에서 전하는 업계 전문가들의 의견을 담았습니다. 본사인 글로벌AI협회(GIAI)에서 번역본에 대해 콘텐츠 제휴가 진행 중입니다.
마이크로소프트(Microsoft, MS)의 대규모 클라우드 장애 사태 이후 기업과 공공기관들의 사이버보안 우려가 커지고 있다. 이 같은 사태의 중심엔 사이버 보안업체인 크라우드스트라이크(CrowdStrike)의 부실한 품질 문제가 자리 잡고 있다.
크라우드스트라이크發 ‘세계 IT 대란’
지난 19일(현지시간) 발생한 MS 클라우드 장애 사태는 전 세계 공항과 병원 등의 업무를 마비시켰고, 파리올림픽 출전 선수들의 유니폼 운송에도 지장을 초래했다. 이후 사이버보안 전문가들과 기업, 정부기관들 사이에선 우려의 목소리가 부쩍 커졌다. 특히 이번 사태는 기업 네트워크와 클라우드 컴퓨팅 서비스, 그리고 인터넷이 상호의존적으로 작동하는 방식과 이로 인해 발생할 수 있는 보안 취약성을 고스란히 드러냈다.
이번 사태의 중심에는 크라우드스트라이크의 사이버보안 소프트웨어 팔콘(Falcon) 업데이트 버전에 오류가 있었고, 이 오류가 MS 윈도우 시스템과 충돌한 것으로 파악됐다. 이에 따라 수많은 서버와 컴퓨터들을 수동으로 재설정해야 했는데, 영향을 받은 기업체 상당수는 전 세계에 수천 대의 서버 또는 컴퓨터를 배치해 둔 상황이라 피해가 더욱 컸다.
여기에 MS의 애저(Azure) 클라우드 컴퓨팅 플랫폼 업데이트와 크라우드스트라이크의 업데이트가 거의 동시에 출시되면서 상황이 더 악화했다. 당시 두 회사를 비롯해 아마존 등 빅테크 기업들은 문제를 직접 해결하려는 고객들을 위해 기술적 해결책을 발표하기도 했으나, 전 세계 사용자 대부분에겐 빠른 해결책이 되지 못했다.
이렇듯 사이버보안 등 현대의 기술 관련 사고들은 계속해서 새로운 방식으로 세계를 마비시키고 있다. 크라우드스트라이크의 이번 업데이트 문제 같은 대형 사건들은 비즈니스 세계에 혼란을 초래하는 것뿐만 아니라 국제사회 전체를 뒤흔든다. 이런 사건들이 생산성을 떨어뜨리거나 비즈니스 절차를 지연시키면서 발생하는 경제적 손해도 막대하다.
크라우드스트라이크는 사실상 예견된 사태, 전초전도 있었다
사실 이번 사태는 어느 정도 예측된 측면이 있다. 지난달 11일 크라우드스트라이크가 자사 블로그에 ‘생태계 수준의 사이버보안 구축’이라는 제목으로 올린 글이 이를 대변한다. 해당 기고문은 글로벌 컴퓨팅 생태계가 공급업체들의 기술적 오류 때문에 손상되고 있다고 지적했다. 다만 그 문제의 공급업체가 자사일 것이라곤 전혀 예상하지 못한 셈이다.
그간 소프트웨어 공급망은 사이버보안 관련 우려의 중심에 놓여 있었다. 단일 장애점(동작이 멈췄을 때 전체 시스템 중단을 야기할 수 있는 요소)이 될 가능성을 염려하는 목소리도 높았다. 크라우드스트라이크와 MS, 애플 등의 기업이 개인과 기업의 컴퓨터에 접근할 권한을 쥐고 있는 것도 소비자들의 보안 취약성을 높이는 대목이다. 소비자들은 이들 회사의 자체 보안이 엄격하게 유지되는 한편 이들이 내놓는 제품들 역시 고객 시스템에 적용되기 전 여러 차례 테스트를 통해 견고하게 제작됐다는 사실을 신뢰할 수밖에 없기 때문이다.
이러한 관점에서 지난 2019년 발생한 솔라윈즈(SolarWinds) 사태는 이번 사건의 전초전이라고 볼 수 있다. 당시 솔라윈즈는 러시아 해킹그룹 노벨리움(Nobelium)의 공격을 받은 바 있다. 노벨리움은 솔라윈즈에 대한 공격을 통해 미 국방부를 비롯한 수많은 정부 기관의 사이버 침입을 노린 것으로 알려졌다.
보안 제공업체 실사 절차 추가하고 백업 시스템 구축해야
다만 조지 커츠(George Kurtz) 크라우드스트라이크 CEO는 “이번 사건은 보안 사고나 사이버 공격이 아니다”라며 “어떤 문제인지 확인됐고, 해당 소프트웨어를 격리한 채 수정을 진행 중”이라고 해킹 가능성을 일축했다. 물론 크라우드스트라이크 입장에선 이번 사건을 해킹으로 보지 않는 게 타당할 수도 있다. 그러나 이번 일이 고객들에게 사이버안보 관련 문제를 일으켰다는 사실 만큼은 자명하다. 당장 문제를 해결하기 위해 고객들의 인터넷 보안 장치를 비활성화할 수는 있지만, 그로 인해 범죄자가 고객들의 네트워크에 침입할 여지가 생길 수 있고, 고객들이 다양한 스캠 사기의 타깃이 될 수도 있다. 보안 강화를 도와준다는 등의 가짜 이메일에 속아 넘어갔다가 신원을 탈취당하거나 제대로 기능하지도 않는 보안 프로그램에 돈을 낭비하는 일 등이 대표적인 보안 관련 스캠 사례다.
한편 이번 사건과 관련해 보안 프로그램을 사용하는 기업과 사용자들은 수정 업데이트가 가능해질 때까지 기다리거나, 자체 복구를 시도해야 하는 상황이다. 이어 사태 수습이 마무리되고 나면 회복을 위한 작업에도 착수해야 한다. 소프트웨어 공급망 사고가 자주 발생하면 보안프로그램 사용자들은 시스템 업데이트를 망설일 수밖에 없으나, 시스템을 정기적으로 업데이트하지 않는 것 또한 새로운 문제를 야기할 수 있어서다.
우선 기업들은 현재 쓰고 있는 보안 서비스를 제공하는 업체의 실사 등을 통해 믿을 만한 제품인지 확인해야 한다. 일반적으로 보안 대기업들은 업데이트를 배포하기 전 제품 테스트를 실시하긴 하지만, 일부 보안 도구 등 상시 사용되는 상품들은 테스트 대상에서 제외되는 경우도 있기 때문이다. 아울러 기업은 물론 정부기관도 네트워크 시스템을 설계할 때 특히 회복성에 초점을 맞춰야 한다. 이를 위해선 공격자들이 목표로 삼을 만한 단일 장애점을 만들지 않는 것이 중요하다. 더불어 자사의 보안 프로그램이 다른 제품 또는 시스템과 얽혀 작동하는 건 아닌지 여부를 확인해야 하며, 사이버 보안과 전반적인 IT 관리에 대한 모범 사례들을 구축할 필요도 있다. 일례로 강력한 백업 시스템은 사고 발생 시 피해를 최소화하는 요소다. 또한 적절한 정책과 절차, 인력 관리 등도 필수적이다.
원글의 저자인 리처드 포노(Richard Forno)는 미국 UMBC(University of Maryland, Baltimore County) 컴퓨터사이언스 및 전기공학 학과의 강사입니다. 영어 원문 기사는 Massive CrowdStrike Tech Outage Highlights Global Vulnerabilities | Scientific American에 게재돼 있습니다.