2024-09-13 11:20 (금)
크라우드스트라이크, 6월에도 팔콘 업데이트시 리눅스에 심각한 피해 입혀...미흡한 테스트가 원인
상태바
크라우드스트라이크, 6월에도 팔콘 업데이트시 리눅스에 심각한 피해 입혀...미흡한 테스트가 원인
  • 길민권
  • 승인 2024.07.23 15:02
이 기사를 공유합니다

레드햇, 로키, 데비안 리눅스 사용 기업에 피해 발생…미흡한 업데이트 테스트 프로세스가 원인
지난 6월 4일 크라우드스트라이크 팔콘 업데이트시 충돌 문제를 해결하기 위해 레드햇이 리눅스 고객들에게 공지한 내용 일부.
지난 6월 4일 크라우드스트라이크 팔콘 업데이트시 충돌 문제를 해결하기 위해 레드햇이 리눅스 고객들에게 공지한 내용 일부.

지난 18일 이후 전세계 적으로 최악의 IT 장애 사고를 발생시킨 크라우드스트라이크 팔콘 센서의 잘못된 업데이트가 심각한 피해를 발생시키고 있는 가운데, 지난 6월에도 팔콘 센서의 결함 업데이트로 리눅스에 심각한 피해를 발생시켰던 것으로 드러났다.

지난 6월에 발생한 크라우드스트라이크 팔콘 센서(CrowdStrike Falcon Sensor) 업데이트로 인해 여러 리눅스 배포판에서 심각한 커널 패닉과 충돌이 발생했다.

레드햇(Red Hat) 고객 포털에 따르면, 이 문제는 주로 레드햇 엔터프라이즈 리눅스(RHEL) 9.4에서 커널 버전 5.14.0-427.13.1.el9_4.x86_64로 부팅할 때 발생했다. 주된 원인은 eBPF 프로그램이 해당 커널에서 페이지 폴트(page fault)를 일으키면서 커널 패닉을 유발한 것으로 나타났다.

또 로키 리눅스(Rocky Linux) 9.4에서도 유사한 문제가 보고되었다. 크라우드스트라이크 팔콘 센서가 설치된 서버가 새 커널로 부팅할 때 시스템이 응답하지 않거나 크래시하는 현상이 발생했다. 이 문제는 이전 커널로 부팅하거나 팔콘 센서의 백엔드를 커널 모드로 전환하는 것으로 임시 해결이 가능했다.

크라우드스트라이크는 사용자들에게 팔콘 센서 소프트웨어 스위트를 비활성화하여 시스템의 안정성을 유지할 것을 권장했다.

팔콘 센서는 리눅스 커널과 깊이 통합되어 보안 위협을 모니터링하고 관리하는 역할을 한다. 그러나 레드햇 엔터프라이즈 리눅스(RHEL) 9.4에서 커널 버전 5.14.0-427.13.1.el9_4.x86_64로 부팅할 때 팔콘 센서로 인해 커널 패닉이 발생했다고 보고되었다​. 이러한 문제는 팔콘 센서의 커널 모듈이 다른 드라이버와 충돌하여 발생했다.

또 다른 문제는 팔콘 센서의 메모리 관리다. 센서는 메모리 리소스를 효과적으로 관리하지 못해 메모리 누수가 발생할 수 있다. 메모리 누수는 센서가 더 이상 필요하지 않은 메모리를 해제하지 않아 시스템 메모리가 고갈되어 불안정해지는 현상을 말한다.

한편 데비안 사용자들도 유사한 문제를 겪었다는 보고가 있었지만, 레드햇 및 로키 리눅스와 비교해 기술적인 세부 사항은 상세히 보고되지 않았다.

충분히 테스트 않고 업데이트 배포한 크라우드스트라이크에 대한 전문가 비판

한 달 간격으로 리눅스와 윈도우 사용 고객들에게 치명적인 피해를 입힌 크라우드스트라이크에 대해 전문가들은 다음과 같은 비판적 의견을 내고 있다.

전문가들은 크라우드스트라이크가 업데이트시 적절한 품질 검사 과정을 거치지 않은 채 배포한 것으로 보고 있다. 이는 코드의 샌드박싱(sandboxing)이나 베팅(vetting) 과정에서 누락되었을 가능성이 있다고 전문가들은 지적했다.

보안 연구원 패트릭 와들에 따르면, 보안 제품은 일반적으로 악성 코드를 탐지하는 기능을 자주 업데이트하지만, 이러한 빈번한 업데이트 때문에 충분한 테스트가 이루어지지 않았을 가능성이 크다고 분석했다.

이번 사태는 과거 맥아피의 2010년 바이러스 백신 업데이트 오류 사건과 유사하다. 당시에도 수십만 대의 컴퓨터가 중단된 바 있다.

크라우드스트라이크는 결함을 수정하기 위해 정보를 제공했지만, 피해를 입은 시스템을 다시 정상 상태로 만드는 데는 시간이 걸릴 것이라고 전문가들은 말하고 있다. 이는 잘못된 코드를 수동으로 제거해야 하기 때문이다.

잦은 보안 업데이트를 해야 하는 솔루션들은 업데이트시 철저한 테스트 후 배포를 해야 이러한 사고를 예방할 수 있을 것이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

관련기사