크라우드스트라이크 보안플랫폼 '팔콘'이 마이크로소프트 윈도 운영체제(OS) 내부서 충돌을 일으켜 전 세계적으로 블루스크린 사태를 일으킨 가운데, 이를 복구할 수 있는 해결법 세 가지가 제시됐다.
19일 윈도 OS에서 시스템 오류를 복구하지 못할 때 나타나는 파란색 화면이 지속적으로 뜨는 블루스크린 사태가 전 세계에서 발생했다. 팔콘은 외부 공격으로부터 OS를 보호하는 보안 시스템이다.
명확한 원인은 알려지지 않았다. 현재 팔콘과 윈도OS가 충돌을 일으켰다는 분석이 지배적이다. 윈도OS에서 팔콘 신규 패치가 업데이트되면서 오류가 일어났다는 설명이다. 업계 관계자는 "팔콘이 윈도OS의 정상적 활동을 외부 공격으로 인식했을 수 있다"며 "비슷한 사례가 과거에 발생했다"고 언급했다.
이에 따라 전 세계 항공사 시스템을 비롯한 게임, 방송, 은행 전산 등이 일부 마비되는 사태가 벌어졌다. 특히 국내 항공사 에어프레미아와 제주항공 ,이스타항공, 젯스타 항공 수속이 중단됐다.
"블루스크린 사태, 이렇게 복구하면 된다"
현재 크라우드스트라이크는 블루스크린 상태를 해결할 수 있는 방법 세 가지를 공식 홈페이지에 제시했다.
첫 번째 방법은 윈도 안전모드에서 문제 되는 파일을 지우는 것이다. 우선 사용자는 안전모드로 윈도를 부팅한다. 이후 복구 화면에서 '고급 복구 옵션 보기'를 눌러야 한다. 이 메뉴에서 '문제 해결'을 선택한 후 '고급 옵션'으로 간다. 그다음으로 '시작 설정'을 선택하고 '다시 시작'을 클릭한다. 윈도 재부팅 후 4 또는 F4 키를 눌러 안전모드에서 윈도를 재시작한다.
이후 안전모드에서 명령 프롬프트 또는 윈도 파워셸을 클릭한다. 명령 프롬프트에서 cd C:Windowssystem32driversCrowdStrike 명령을 입력해 크라우드스트라이크 디렉터리로 이동한다.
사용자는 여기서 C-00000291*.sys 패턴과 일치하는 파일을 찾는다. 그 후 dir C-00000291*.sys 패턴과 똑같은 파일을 실행한다. 여기서 파일 이름을 따로 지정해야 한다. C-00000291abc.sys와 같은 이름을 정할 수 있다. 파일 식별이 끝나면 del C-00000291.sys를 사용해 파일을 지운다.
이때 del C-00000291.sys는 시스템에 표시된 파일의 이름이며, 이와 다를 수도 있다. 파일을 올바르게 식별하려면 위 단계를 따르고 dir 명령을 사용해야 한다.
두 번째 방법은 안전모드에서 크라우드스트라이크 폴더 이름을 변경하는 것이다. 우선 안전모드에서 명령 프롬프트를 열고 드라이버 디렉터리로 이동한다. 여기서 크라우드스트라이크 폴더 이름을 ren CrowdStrike CrowdStrike_old로 설정한다.
마지막 방법은 레지스트리 편집기로 CSAgent 서비스를 차단하는 것이다. 사용자는 안전모드에서 '윈도 레지스트리 편집기'를 클릭한다.
이후 HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesCSAgent 경로를 선택한다. CSAgent 키 오른쪽 창에서 '시작' 항목을 찾아 클릭 두 번으로 값을 편집한다.
값 데이터를 1에서 4로 바꾸면 된다. 서비스가 자동 시작되도록 설정하는 것에서 서비스를 사용하지 않는 것으로 변경하는 방식이다.
관련기사
- 진앤현시큐리티, 美 사이버 보안성숙도모델 등록…국방 사업 기반 마련2024.07.19
- 세일포인트, 보안 포트폴리오 통합 아이덴티티 연결성 강화2024.07.18
- 안랩, 외장매체 제어솔루션 출시…엔드포인트 보안 강화2024.07.18
- 보안 사고 나면 '해고'…"CSO 역할은 방패막이"2024.07.17
이후 확인을 누르고 변경 사항을 저장한 후 레지스트리 편집기를 닫는다. 이후 PC를 재부팅하면 된다.
크라우드스트라이크는 "팔콘 센서와 연동된 윈도에서 블루스크린 현상이 발생한 것을 알고 있다"며 "새로운 센서 업데이트와 연관된 것으로 보인다"고 공식 홈페이지를 통해 밝혔다.