IT대란이 MS 탓? 850만 컴퓨터가 먹통 된 진짜 이유[딥다이브]

동아일보
입력 2024년 7월 24일 10시 00분

코멘트: 개

좋아요: 개

코멘트: 개

전 세계 수만 편의 항공기 운항이 차질을 빚고, 병원에선 수술이 취소됐습니다. 뉴스 생방송이 중단되는가 하면, 미국에선 911 응급전화가 한동안 먹통이 됐죠. 은행 ATM기기가 멈추고, 슈퍼마켓은 하루 종일 문을 닫았습니다. 지난 19일 발생한 글로벌 IT 대란 소식, 다들 들어보셨을 텐데요.

이 전례 없는 재앙적 상황을 초래한 범인은 누구일까요. 마이크로소프트(MS)로 잘못 아는 분들이 많을 텐데, 실제로는 크라우드스트라이크(CrowdStrike)라는 미국 사이버 보안회사입니다. 그럼 어떻게 우리에겐 이름도 낯선 보안회사가 전 세계 주요 기관을 마비시켰을까요. 애플 맥(Mac) 사용자는 어떻게 이 혼란을 피했을까요. 오늘은 역대급 글로벌 IT 대란을 들여다보겠습니다.

19일 발생한 글로벌 IT 대란 여파로 인도 뉴델리 인드라간디국제공항 항공편 안내 스크린 중 일부가 먹통이 됐다. AP 뉴시스

*이 기사는 23일 발행한 딥다이브 뉴스레터의 온라인 기사 버전입니다. ‘읽다 보면 빠져드는 경제뉴스’ 딥다이브를 뉴스레터로 구독하세요.
https://www.donga.com/news/Newsletter

크라우드스트라이크는 어떤 기업?

연 매출 30억 달러, 직원 수 7925명. 2011년 설립된 크라우드스트라이크는 빅테크만큼 크진 않지만 아주 잘나가는 사이버 보안 기업입니다. 증시에선 최근 1년 새 주가가 150% 넘게 급등해 주목받기도 했죠(140달러이던 주가가 7월 초 398달러로 급등). 기업의 사이버 보안 수요가 크게 늘어난 데다 AI 훈풍까지 탄 덕분이었는데요(다만 이번 IT 대란으로 주가가 263달러로 하락). 전 세계 엔드포인트 보안 분야에서 시장 점유율 2위(18%, 1위는 MS)이고요. 포춘 1000대 기업 중 538곳이 고객사라고 자랑합니다.

이 기업 제품 이름은 ‘팰컨(Falcon)’. 흔히 ‘엔드포인트 탐지·대응(EDR, Endpoint Detection and Respons)’이라 부르는 보안 소프트웨어입니다. EDR이란 용어는 생소하지만, 개념은 어렵지 않습니다. 컴퓨터(엔드포인트)에서 무슨 일이 일어나고 있는지를 샅샅이 모니터링해서, 수상한 징후가 있으면(탐지) 이를 자동으로 막습니다(대응). 예컨대 모니터링하는 컴퓨터가 해커와 통신하는 걸 감지하면? 팰컨은 해당 통신을 차단해 버릴 수 있습니다. 전통적인 바이러스 백신 소프트웨어와 비슷하지만 그보다 더 강력한 보안 솔루션이죠. 강력한 만큼 비용이 많이 들기 때문에, 보통 기업에서도 모든 컴퓨터가 아니라 중요한 컴퓨터에만 이를 설치합니다. (바로 이런 이유로 가정용 PC는 이번 사건에서 별 영향이 없었습니다.)

사이버 보안업체 크라우드스트라이크는 엔드포인트 보안 분야에서 가장 잘 나가는 기업으로 꼽혔다. AI 열풍으로 사이버 보안에 대한 관심이 커지면서 지난 1년 동안 주가가 급등해 지난 6월엔 S&P500 지수에도 편입됐다. AP 뉴시스

팰컨은 일종의 특권을 가진 소프트웨어입니다. 공격 징후를 감지하기 위해 윈도우의 가장 깊은 수준, 전문용어로 ‘커널(Kernel)’이라고 부르는 운영체제 핵심에 접근할 수 있죠. 이런 특권 덕분에 팰컨은 강력하지만, 대신 팰컨이 문제를 일으키면 진짜 큰일 납니다. 컴퓨터가 작동을 멈춰버리거나 아예 쓸 수 없게 되어 버릴 수가 있죠. 이른바 ‘커널 패닉(Kernel panic)’인데요. 우리를 종종 열받게 만드는 윈도우 운영체제의 블루스크린(치명적 오류 발생시 나오는 파란 화면)이 바로 대표적인 커널 패닉입니다.

그래서 애플은 과거에 개발자들에게 이렇게 경고한 적 있습니다.
“커널 코드는 거의 완벽해야 합니다. 커널의 버그는 무작위 충돌, 데이터 손상을 일으키거나 심지어 운영 체제를 작동 불가능하게 만들 수도 있습니다. 특정 오류 작업으로 인해 하드웨어에 영구적이고 복구할 수 없는 손상이 발생할 수도 있습니다. 가능하다면 커널 프로그래밍은 피해야 합니다.”

작은 실수, 최악의 전산 마비

너무 기술적인 설명이었으려나요? 요약하자면 운영체제의 깊은 수준에 접근하는 보안 소프트웨어는 자칫 치명적일 수 있습니다. 그래서 이를 ‘흑마술’ 또는 ‘개흉수술’에 비유하는 전문가도 있죠.

그리고 그 경고가 현실로 펼쳐진 게 지난 며칠의 일입니다. 크라우드스트라이크가 19일 늘상 해오던 대로 팰컨을 업데이트했고요(클라우드 서비스를 통해 고객 윈도우 컴퓨터에 배포). 그 중 ‘C-00000291*.sys’라는 아주 작은 파일에 오류가 있었습니다. 이 버그가 커널 수준에서 작동하는 팰컨 드라이버에 충돌을 일으켰고, 윈도우는 이를 심각한 시스템 오류로 인식합니다(PAGE_FAULT_IN_NONPAGED_AREA 오류). 그 결과? 팰컨을 이용하는 전 세계 850만개 윈도우 컴퓨터가 순식간에 ‘죽음의 블루스크린(BSOD·Blue Screen of Death)’에 빠집니다. 윈도우 컴퓨터가 작동 중단되면서 재부팅이 필요하다는 화면(블루스크린)을 띄우지만, 재부팅하면 다시 블루스크린이 나타나길 되풀이했죠.

19일 미국 뉴욕의 라과디아 공항 내 스크린이 오류 메시지를 띄우고 있다. AP 뉴시스

850만이라니. 역사상 그 어떤 사이버 공격도 이 정도로 광범위하진 않았습니다. 공항·병원·통신사·방송국·은행 등. 주요 인프라가 한꺼번에 마비됐죠. 사상 최악의 전산 마비 사태로 기록될 게 거의 확실해 보이는데요.

더 큰 문제는 완전한 복구에 시간이 꽤 걸릴 거란 점입니다. 몇 주 이상이 걸린다는 전망도 나오죠. 크라우드스트라이크는 19일 문제를 발견하고 수정했지만, 일단 죽음의 블루스크린에 갇혀버린 컴퓨터는 인터넷 접속이 끊겨 자동 복구가 불가능하기 때문인데요. 원격으론 고칠 수 없고, 관리자 권한이 있는 사람이 컴퓨터마다 일일이 수동으로 이를 적용해야 합니다.

이 틈을 타서 사기꾼들이 판칠 수 있단 걱정도 나옵니다. 영국 국립사이버보안센터는 “이번 대란을 이용한 피싱이 확인됐다”면서 크라우드스트라이트나 마이크로소프트의 지원을 가장한 이메일과 사칭 전화를 주의하라고 경고합니다.

정말 대혼란이 아닐 수 없는데요. 사이버 보안업체 액셀러린트의 마이클 헨리 회장은 블룸버그에 이렇게 한탄합니다. “크라우드스트라이크는 모든 랜섬웨어 운영자를 합친 것보다 글로벌 비즈니스를 파괴하는 데 더 많은 일을 했습니다.”

기본만 지켰어도

19일 터키 이스탄불에서 오류로 먹통이 된 ATM 앞에 은행 고객들이 줄을 서있다. 신화통신 뉴시스

나쁜 소프트웨어 업데이트는 사이버 공격과 다를 바 없었습니다. 그래서 이런 질문이 나올 수밖에 없습니다. 이런 재앙, 막을 순 없었을까요.

사실 보안 소프트웨어가 업데이트 과정 오류로 블루스크린이 발생하는 건 이번이 처음은 아닙니다. MS의 자체 바이러스 백신 소프트웨어인 윈도우 디펜더를 포함해 다른 기업 제품에서도 실수로 오류가 발생하는 일은 종종 있다는데요. 러시아 보안회사 카스퍼스키에서 일했던 코스틴 라이우는 와이어드에 이렇게 말합니다. “지구상의 모든 보안솔루션은 크라우드스트라이크 순간을 겪었습니다. 이번에 새로운 건 사건의 규모입니다.”

아직 애초에 왜 업데이트 오류 실수가 발생했는지, 정확한 조사 결과는 나오지 않았지만요. 설사 파일에 오류가 있었더라도 기본만 지켰다면 사태가 이 지경이 되진 않았을 거란 지적이 이어집니다. 그 기본이란 간단합니다. 소프트웨어 업데이트를 단계적으로 실행하는 거죠. 한꺼번에 모두에게 업데이트를 배포하는 게 아니라 특정 그룹에 보내 테스트한 뒤 전체에 배포하는 겁니다.

왜 그렇게 하지 않았을까요. 영국의 보안회사 큐오럼사이버의 페데리코 차로스키 CEO는 블룸버그에 이렇게 말합니다. “업계가 성장하면서 어쩌면 약간 속도를 늦출 때가 왔습니다. 어떤 개발자가 어딘가를 변경했고, 그 변경이 어떤 영향을 미칠지에 대한 분석이 없었습니다. 품질 보증과 테스트가 부족하고 속도를 추구하면서 지름길을 택했습니다.”

애플 맥 컴퓨터는 왜 괜찮을까

또 궁금한 점이 있습니다. 팰컨 소프트웨어를 쓰는 애플 맥 컴퓨터도 있는데요. 왜 애플 맥 컴퓨터는 아무 일 없이 멀쩡하고, MS 윈도우 운영체제를 쓰는 컴퓨터만 멈췄을까요.

일단 표면적인 이유는 이번 업데이트가 윈도우 운영체제만 대상으로 이뤄졌기 때문이긴 한데요. 더 근본적인 이유가 있습니다. 마이크로소프트와 달리, 애플은 다른 회사가 운영체제의 커널 수준에 접근하지 못하게 막아놨습니다. 이미 4년 전, 보안을 이유로 말이죠.

19일 IT 대란으로 미국 뉴욕 타임스퀘어 전광판 일부가 작동하지 않고 있다. AP 뉴시스

앞에서 말씀드렸듯이, 이번 작은 파일 오류가 윈도우 컴퓨터의 ‘죽음의 블루스크린’으로 이어진 건 팰컨 소프트웨어가 윈도우 운영체제의 핵심에 접근하기 때문인데요. 애플은 이 핵심에 접근 못하도록 장벽을 세워놨기 때문에, 이런 치명적인 사태는 발생하지 않습니다.

그래서 거꾸로 이런 질문이 나옵니다. 왜 마이크로소프트는 애플처럼 다른 회사의 커널 접근을 막지 않나요? MS가 애플보다 훨씬 보안 강화에 게으르단 걸 보여주는 사례일까요?

그렇게 해석할 수도 있지만, 좀 더 설득력 있는 설명은 이겁니다. MS와 애플 생태계 자체의 성격이 다르다는 거죠. MS 윈도우는 다양한 업체가 만드는 하드웨어에서 실행되기 때문에 전통적으로 개방적입니다. 반면 애플 macOS는 애초부터 애플의 폐쇄적인 생태계 중 일부이죠.

애플은 2019년 ‘타사 개발자에 대한 커널 확장 지원을 향후 중단한다’고 발표했습니다. 한마디로 타사 개발자를 커널에서 쫓아내겠단 통보였죠. 보안업체 개발자들에겐 충격이었습니다. 잘 돌아가던 소프트웨어를 처음부터 완전히 다시 만들어야 한다는 뜻이니까요(이전 버전과 호환 안 됨). 하지만 그게 애플의 방식입니다. 모든 것이 애플 파크(본사) 네 벽 안에서 통제되는, 보다 엄격하고 안전한 ‘울타리 친 정원(Walled Garden)‘을 추구하죠.

이에 비해 MS는 다른 기업 소프트웨어에 훨씬 더 개방적입니다. 윈도우 운영체제에 대한 이런 개방성은 다른 기업이 강력한 소프트웨어를 설계할 수 있게 하는 기반이 되었습니다. 물론 이번 사태에서 보듯이, 그만큼 외부 위험엔 취약해졌고 말이죠.

개방형이냐, 폐쇄형이냐. 상호운용성이냐, 보안이냐. 기술 업계에서 수십 년간 이어져 온 논쟁이죠. 그 틀에서 보자면 이번 사건은 상당히 의미 있는데요. 그렇다고 해서 이번 일을 계기로 MS가 갑자기 애플의 길로 방향을 틀게 될 것 같진 않습니다. MS 대변인은 월스트리트저널에 2009년 유럽위원회와의 합의 때문에 애플처럼 운영체제를 차단할 수 없다고 밝혔습니다. 타사에도 MS 제품과 같은 수준의 윈도우 접근권 제공하기로 한 ‘상호운용성’ 약속을 지켜야 한다는 뜻이죠.

한편, 이번 사태로 크라우드스트라이크 주가는 19일 11%, 22일 13%나 급락했는데요. 이번 사건으로 인한 기업들 피해가 막대한 만큼 엄청난 손해배상 소송에 직면하게 될 거란 전망도 나옵니다. 하지만 생각보다 실질적인 피해는 미미할 거란 분석이 이어지는데요. 사고에 대한 책임을 제한한다고 계약을 맺었을 가능성이 크기 때문입니다. 이런 경우 고객은 크라우드스트라이크로부터 이용료 환불 말고는 다른 피해 보상을 받지 못할 수 있습니다.

크라우드스트라이크는 고객도 크게 잃지 않을 듯합니다. 웨드부시증권의 댄 아이브스 애널리스트는 이 회사를 떠나는 고객이 5% 미만일 걸로 추정했죠. “그들은 너무 깊이 자리 잡은 플레이어이기 때문에 크라우드스트라이크에서 벗어나는 건 (고객에겐) 도박”이기 때문이라는데요. 아니, 사건의 중대성에 비해 타격감이 너무 없는 것 아닌가요. 지금은 이렇게 세상이 뒤집혔지만, 시간이 좀 지나면 아무 일 없었다는 듯 그냥 흐지부지 되는 건 아닌지 걱정스럽기도 합니다. By.딥다이브

한국 기업은 다행히 이번 사태로 인한 피해가 크지 않았죠. 특별히 뭘 잘해서라기보다는 크라우드스트라이크 제품을 쓰는 기업이 별로 없었기 때문인데요. 하지만 국산 보안 소프트웨어에서도 이런 사고가 터지지 말란 법은 없으니 경각심은 필요합니다. 주요 내용을 요약해드리자면.

-잘 나가던 사이버 보안회사 크라우드스트라이커가 초대형 사고를 쳤습니다. 보안 소프트웨어 팰컨을 업데이트하는 과정에서 오류가 발생했습니다. 작은 실수였지만 윈도우 운영체제의 핵심인 커널 수준에서 충돌이 일어나면서, 850만대 컴퓨터가 ‘죽음의 블루스크린’에 빠집니다.

-기본만 지켰더라도 이런 대혼란은 없었을 겁니다. 한꺼번에 모든 컴퓨터를 업데이트하는 게 아니라, 업데이트는 점진적으로 이뤄졌어야 합니다.

-MS 윈도우 운영체제의 취약점도 드러났습니다. 다른 소프트웨어 기업에 대한 개방성이 큰 만큼, 보안 위험도 크죠. 폐쇄적이지만 보안이 강한 애플과는 대비되는 부분인데요. 개방과 폐쇄, 둘 중 어느 게 맞느냐는 수십년 논쟁에 있어 중요한 순간일지도 모릅니다.

*이 기사는 23일 발행한 딥다이브 뉴스레터의 온라인 기사 버전입니다. ‘읽다 보면 빠져드는 경제뉴스’ 딥다이브를 뉴스레터로 구독하세요.
https://www.donga.com/news/Newsletter