안전모드로 C-00000291*.sys' 파일 삭제 후 재부팅하면 해결
(서울=뉴스1) 김민석 김승준 기자 = 한국·미국·호주·독일·영국 등 세계 곳곳에서 발생한 공항·방송 등 IT 시스템 마비(윈도 블루스크린) 사태 해결법이 나왔다.
마이크로소프트(MS) 운영체제(OS)를 사용하는 업무용 PC를 중심으로 동시다발적으로 블루스크린 현상이 발생했는데 원인은 미국 사이버 보안 업체 '크라우드스트라이크'의 업데이트 문제로 확인됐다.
크라우드스트라이크는 19일 공지를 통해 "대규모 윈도 10 BSOD 중단은 새로운 센서 업데이트와 관련된 것으로 보인다"고 밝히며 해결법으로 문제를 일으킨 'csagent.sys' 또는 'C-00000291*.sys' 파일을 삭제해거나 폴더 이름을 변경해야 한다고 제시했다.
크라우드스트라이크는 "윈도 안전모드로 접속해 특정 명령어를 입력해 'C-00000291*.sys' 패턴과 일치하는 파일을 찾아 삭제하거나 폴더 이름을 변경한 후 재부팅하면 된다"고 설명했다.
크라우드스트라이크가 제시한 해결법은 총 세 가지다.
◇방법1: 안전 모드에서 문제 파일 삭제
1. 안전 모드로 부팅한다. 복구 화면에서 "고급 복구 옵션 보기"를 클릭한다. 고급 복구 옵션 메뉴에서 '문제 해결'을 선택한 다음 '고급 옵션'을 선택한다. '시작 설정'을 선택하고 '다시 시작'을 클릭한다. 재부팅 후 4 또는 F4 키를 눌러 안전 모드에서 PC를 시작한다.
2. 안전 모드에서 명령 프롬프트(관리자) 또는 Windows PowerShell(관리자)을 연다.
3. 명령 프롬프트에서 cd C:WindowsSystem32driversCrowdStrike 명령을 입력해 CrowdStrike 디렉터리로 이동한다.
4. 영향을 받는 파일을 삭제하려면 C-00000291*.sys 패턴과 일치하는 파일을 찾아야한다.
5. dir C-00000291*.sys 패턴과 일치하는 파일을 실행한다.
6. 예를 들어 C-00000291abc.sys와 같은 이름을 지정할 수 있다.
7. 파일을 식별했으면 del C-00000291.sys를 사용하여 파일을 삭제한다.
8. 위의 경우 del C-00000291.sys는 시스템에 표시된 파일의 이름이며 다른 것일 수 있다. 파일을 올바르게 식별하려면 단계를 따르고 dir 명령을 사용해야 한다.
◇방법2: 안전 모드에서 크라우드스트라이크(CrowdStrike) 폴더 이름 변경
1. 안전 모드에서 명령 프롬포트를 연다.
2. 명령 프롬프트에서 드라이버 디렉터리(cd windowssystem32drivers)로 이동한다.
3. CrowdStrike 폴더의 이름을 'ren CrowdStrike CrowdStrike_old'로 변경한다.
◇방법3: 레지스트리 편집기를 활용해 CSAgent 서비스 차단
1. 안전 모드에서 '윈도 레지스트리 편집기'를 연다.
2. 'HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSAgent' 경로로 이동한다.
3. CSAgent 키의 오른쪽 창에서 시작(Start) 항목을 찾아 두 번 클릭으로 값을 편집한다.
4. 값 데이터를 1(서비스가 자동으로 시작되도록 설정됨)에서 4(서비스 사용 안 함)로 변경한다.
5. 확인을 클릭해 변경 사항을 저장하고 레지스트리 편집기를 닫고 PC를 재부팅한다.
