중신증권연보는 2024년 7월 19일, CrowdStrike 구성 업데이트 오류로 850만 대의 Windows 호스트 시스템이 붕괴되어 전 세계 주요 업계의 업무 운영 (예: 항공사/공항, 기차, 방송사, 병원, 금융기관, 정부기관 등) 에 심각한 영향을 끼쳐 항공편 결항, 의료 절차 취소/중단 및 미디어 결방 등 중대한 영향을 초래했다고 지적했다.현재 관련 구성 오류가 해결되었으며 전체 해결에는 며칠이 소요됩니다.
이번 사건으로 인해 CrowdStrike는 경제적 손실과 더 심각한 평판 손실에 직면하게 될 것이며, CrowdStrike의 기존 및 잠재 고객들이 협력 관계를 재고하게 될 것이며, CrowdStrike의 주요 경쟁사들은 이로 인해 혜택을 받게 될 것이다.
이벤트 설명: 엔드포인트 보안 공급업체 CrowdStrike 구성 업데이트로 인해 일부 Windows 시스템이 충돌했습니다.
2024 년 7 월 19 일 4 시경 (베이징 시간 12 시경), 엔드 포인트 보안 업체 인 CrowdStrike가 발표 한 잘못된 Falcon Sensor (잠재적 인 위협을 감지하고 차단하기 위해 PC/가상 머신의 운영 체제 활동을 모니터링하는 에이전트) 업데이트로 인해 전 세계적으로 에이전트가 설치된 Windows 시스템이 대규모로 다운되었으며 전 세계 수백만 대의 PC/서버/가상 머신이"Blue Sclean 다운" 오류로 인해 오프라인 (OD) 되었습니다.CrowdStrike는 전 세계 헤드 엔드포인트 보안 제품 공급업체이기 때문에 전 세계 주류 PC는 모두 Windows 시스템을 탑재하고 있다. 이번 오류 업데이트로 은행, 항공사, 슈퍼마켓, 텔레비전 방송사 등이 모두 영향을 받았다. 항공 지휘 시스템에 영향을 미쳐 항공사의 운항 중단/강등, 예약/검표/결제 시스템에 영향을 미쳐 각종 오프라인 서비스 장면이 정상적으로 운행되지 않고 심지어 일부 공장의 생산 프로세스도 영향을 받았다. 최근 몇 년 동안 가장 광범위한 IT 사고이다.
이벤트 이유: Falcon Sensor 채널 파일 업데이트로 인해 논리적 오류가 발생하여 운영 체제가 중단되었습니다.
CrowdStrike 공식 웹 사이트의 기술 블로그 내용에 따르면, UTC 시간으로 2024년 7월 19일 04: 09, CrowdStrike는 네트워크 공격과 관계없이 시스템 충돌의 핵심 원인인 Falcon Sensor 구성 업데이트를 Windows 시스템에 발표했다.CrowdStrike는 업데이트된 구성 파일을 채널 파일이라고 하며 Falcon Sensor 동작 보호 메커니즘의 일부라고 말합니다.채널 파일에 대한 업데이트는 Falcon Sensor가 작동하는 정상적인 단계이며 CrowdStrike는 발견된 새로운 전술, 기술 및 정책에 따라 매일 여러 차례 업데이트됩니다.이번에 영향을 받은 채널 파일은 291이고 파일 이름은 <amp;quot; C-00000291- &amp;quot;.sys 확장자로 시작합니다.채널 파일 291은 Windows 시스템에서 명명된 파이프라인의 실행 상태를 평가하는 데 사용됩니다 (명명된 파이프라인은 Windows 시스템에서 프로세스 간 또는 시스템 간 통신에 사용됩니다). 이번 업데이트는 최근에 관찰된 악의적인 명명된 파이프라인에 대한 것이지만 구성 업데이트로 인해 논리적 오류가 발생하여 운영 체제가 충돌했습니다.
해결 방법: 구성 오류는 수정되었지만 다운타임은 점진적으로 해결해야 합니다.
공식 웹 사이트 기술 블로그 내용에 따르면 Windows 시스템 충돌을 초래한 구성 업데이트는 UTC 시간으로 7 월 19 일 05: 27에 수정되었습니다.회사는 이번 영향이 Linux 및 macOS 호스트와 관련되지 않으며 UTC 시간 05: 27 이후 출시된 Windows 호스트도 영향을 받지 않는다고 밝혔다.이미 영향을 받은 호스트에 대해 회사는 다음과 같은 다양한 시나리오의 솔루션을 제공합니다. 1) WiFi가 아닌 유선 네트워크 환경에서 호스트를 재부팅하여 복구된 채널 파일을 다운로드할 수 있는 기회를 제공합니다.2) 재부팅 후에도 시스템이 충돌하는 경우 Windows를 보안 모드 또는 Windows 복구 환경으로 부트하고 운영 체제 볼륨의 CrowdStrike 디렉토리로 이동하여 채널 파일 291을 찾아 제거한 다음 종료 상태에서 호스트를 시작해야 합니다.3) BitLocker를 사용하여 암호화된 호스트의 경우 일반적으로 보안 모드로 들어갈 때 시스템 보안을 보장하기 위해 복구 키를 입력해야 하며, 퍼블릭 클라우드 또는 가상 환경에서는 스크립트를 자동화하여 대량 복구를 수행할 수 있습니다.그러나 물리적 서버나 PC 장치의 경우 IT 관리자가 직접 입력하는 방식으로만 복구할 수 있으므로 복구 주기가 길어집니다.요약하자면, 일부 호스트는 신속하게 복구할 수 있고 전체 해결에는 며칠이 걸릴 것으로 판단됩니다.
▍ 후속 영향: CrowdStrike는 경제 및 평판 손실에 직면 할 것이며 종단점 보안 시장 구도도 변화 할 가능성이 있습니다.
마이크로소프트 홈페이지에 따르면 이번에 영향을 받은 Windows 호스트 수는 약 850만 대로, 이는 CrowdStrike 서비스 엔드포인트 수의 약 20% 를 차지한다.소프트웨어 회사의 계약에 서명하는 관례에 따라 일반적으로 고객에게 직접적인 경제적 손실을 배상할 필요가 없다.그러나 계약서에는 일반적으로 서비스 가용 시간 및 응답, 해결 시간 등을 요구하는 SLA(서비스 수준 계약)가 설정되어 있으며, CrowdStrike가 관련 요구 사항을 충족하지 못할 경우 고객에게 일정한 보상을 제공하거나 SLA 포인트를 제공하여 향후 서비스 비용을 공제해야 한다.이와 동시에 회사도 공관/브랜드/복구 관련 지출을 증가하고 명예와 브랜드 이미지의 손실을 부담해야 한다.다운타임 이벤트 자체는 예외가 아니지만 AWS, Azure, Atlassian (2022년 4월), Datadog (2023년 3월) 가 비슷한 사건을 일으켰다.그러나 이번 사건의 파급범위가 너무 크다는 점을 고려할 때 관련 피해도 더욱 심각해질 것으로 보인다.이번 사건이 발생하면 CrowdStrike의 기존 및 잠재 고객들이 협력 관계를 재고하게 될 것이며, CrowdStrike의 주요 경쟁사들은 이로 인해 혜택을 받게 될 것이다.
▍ 위험 요소:
원유 가격 상승으로 유럽과 미국의 높은 인플레이션이 더욱 통제력을 잃을 위험을 초래했다;미국 채무 금리의 빠른 상향 위험;과학기술거두에 대한 정책감독관리는 지속적으로 위험을 긴축한다.글로벌 거시경제 회복은 기대에 못 미친다.거시적경제파동으로 유럽과 미국 기업의 IT지출이 예기치 못한 위험을 초래하였다.보안 플랫폼화가 기대에 못 미치는 위험으로 진화했습니다.글로벌 클라우드 컴퓨팅 시장의 발전은 기대에 못 미친다;클라우드 컴퓨팅 기업의 데이터 유출, 정보 보안 위험;업계 경쟁이 지속적으로 위험을 가중시키는 등.
▍ 투자 전략:
CrowdStrike 구성 업데이트 오류로 850만 대의 Windows 호스트 시스템이 충돌하여 전 세계 주요 업계의 업무 운영 (예: 항공사/공항, 기차, 방송사, 병원, 금융기관, 정부기관 등) 에 심각한 영향을 끼쳐 항공편 결항, 의료 절차 취소/중단 및 미디어 결방 등 중대한 영향을 끼쳤다.현재 관련 구성 오류가 해결되었으며 전체 해결에는 며칠이 소요됩니다.이번 사건으로 인해 CrowdStrike는 경제적 손실과 더 심각한 평판 손실에 직면하게 될 것이며, CrowdStrike의 기존 및 잠재 고객들이 협력 관계를 재고하게 될 것이며, CrowdStrike의 주요 경쟁사들은 이로 인해 혜택을 받게 될 것이다.