[ACAD] EDR

*ACAD a clue a day, 하루에 하나씩 흥미로운 생각꺼리


전 세계가 멈췄다 한국만 빼고

김동인 기자, 시사인

주요 내용

  • 크라우드스트라이크의 보안 업데이트가 윈도우와 충돌해 블루스크린 에러 발생
  • 전 세계 850만 대 기업 PC가 동시 다발적으로 먹통
  • 크라우드스트라이크는 EDR(Endpoint Detection and Response) 시장 2위1 업체, 1위는 근소하게 앞선 마이크로소프트
  • EDR은 바이러스 외에 악성코드 등 다양한 위협에 대응하는 기업용 서비스
  • 이번 장애는 개별 PC에 문제가 생겨 원격 조치가 불가능해 손실 커져
  • 포천 500대 기업 기준 50억 달러(약 7조 원) 손실 예상
  • 우리나라는 피해가 적었는데 이유는 폐쇄적인 IT 정책 때문에 크라우드스트라이크 제품을 쓰는 기업이 별로 없고, 망 분리를 했기 때문

“커널 보안으로 중심 이동” 크라우드스트라이크 사태로 MS 보안 전략 변화

Gyana Swain, CSO

주요 내용

  • 크라우드스트라이크는 이번 장애의 원인으로 운영체제 커널의 테스트 소프트웨어 버그를 지목
  • 반면 마이크로소프트는 EDR 같은 외부 애플리케이션이 운영체제 커널에 접근하는 것을 줄이는 방안을 마련하기로
  • 단, 커널 접근을 차단하려는 기존 시도는 실패한 전력이 있음. 2006년 윈도우 비스타에서 서드파티 보안 솔루션의 커널 액세스를 제한하려하자 시만텍과 맥아피 등 보안 업체가 ‘반경쟁적 행위’라고 주장해 결국 마이크로소프트가 백지화
  • 하지만 이번엔 전 세계적인 문제를 일으킨 후여서 이를 다시 추진하기에 유리한 상황

EDR 개념 자체는 매우 단순하다. V3 같은 PC용 백신과 비슷하지만, 민감한 정보를 다루는 기업용 PC에 특화해 더 다양하고 강력한 기능을 지원하는 정도다. 아직 표준화된 용어라고 하기도 애매하고 시장 규모를 조사하는 업체인 IDC는 모던 엔드포인트 시큐리티(Modern Endpoint Security)2 같은 다른 용어로 부른다. ‘우리 제품은 뭔가 달라요~’를 강조하기 위한 마케팅 신조어에 가까운 것 같다.

EDR 논란에서 흥미로운 것은 운영체제 커널에 대한 접근 권한을 어디까지 부여할 것인가다. EDR 제품 특성상 커널에 더 깊숙이 접근할수록 고급 정보를 뽑아내 최신 위협에 더 빠르게 대응할 수 있다. 더 정교하게 위험 경보를 울릴 수 있는 셈이다. 반면, 너무 많은 접근 권한을 주면 이번 사례처럼 운영체제 자체를 사용 불능 상태로 만들어 버릴 수 있다. 시장 1위를 다투는 마이크로소프트 입장에선 커널 접근 권한을 낮추고 싶은 마음이 굴뚝 같겠지만, 경쟁사가 ‘독점’이라는 발작 단어를 꺼내드는 순간 간이 쪼그라든다. 이런 상황에서 이번 사건은 마이크로소프트에게 굉장히 유리한 상황을 만들어 주었다.

시사인 기사에서 한가지 의아한 것은 손실액이다. 은행 송금, 비행기 발권 등에서 장애가 있었다고 하지만, 7조 원이라고? 인용한 CNN 원문 기사를 찾아보니, 금액이 오히려 54억 달러로 늘었다.

CNN이 인용한 출처는 파라메트릭스(Parametrix)라는 업체의 보고서3인데, 이를 보면, 이번 장애의 가장 큰 영향을 받은 업종은 운송(100%), 금융(76%), 의료(75%) 순이다. 그런데 시스템이 멈춘다고 운송비 매출이 사라지고 대출 이자 매출이 없어지고 수술 수요가 자취를 감추나? 운송이 늦어지고 송금 시기가 미뤄지고 진료 날짜에 혼선이 있기는 하지만, 결과적으로 그게 다 손실액은 아니다. 이건 마치 현대차 노조 파업으로 3,000만원짜리 자동차가 10대 생산이 덜 됐으니 3억원 손실! 이라고 외치는 것과 같다.

보고서를 보면 구체적인 산출 방정식도 없다. 자체 손실 추산 모델(Parametrix financial loss model)을 사용했다는데 이에 대한 설명이 보고서에는 빠져 있다. 최소한 신뢰 하락 비용, 수습을 위한 추가 인건비, 소송 비용 등으로 세분화라도 해줘야지, 이 사람업체야!

남은 것은 왜?, 라는 질문이다. 왜 파라메트릭스라는 업체는 이번 사고의 손실이 54억 달러라고 빠르게 계산해 발표했을까? 여기서 살펴볼 것이 파라메트릭스의 사업모델이다. 업체 소개 페이지를 보면 클라우드 장애로 인한 기업의 피해를 보장하는 보험 상품을 만들고 있다고 한다.

지금부터 합리적 추론이다. 1. 크라우드스트라이크 장애로 무려 7조 원 이상 손실이 발생할 것 같아욧! > 2. 지금은 손해가 없다고 해도 앞으로 또 클라우드 장애가 나면 다음 차례는 바로 당신 기업입니다! > 3. 우리 혹은 파트너의 보험 상품을 가입하세요!

결국 이런 데이터를 검증 없이 인용하는 것은 파라메트릭스의 ‘불안’ 마케팅를 도와주는 것과 다르지 않다. 객관적인 것처럼 보이는 수치를 찾는 것은 미디어 혹은 기자의 본능(?)이지만, 보고서는 하늘에서 뚝딱 떨어지지 않는다. 영리 기업이 돈과 시간을 들여 수치화했다는 것은 당연히 의도가 있다는 의미다.


  1. 마이크로소프트, 엔드포인트 보안시장 1위됐다 (지디넷, 2023. 7. 10) ↩︎
  2. IDC Worldwide Modern Endpoint Security Market Share report ↩︎
  3. CrowdStrike’s Impact on the Fortune 500 report ↩︎

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다