재부팅해도 끝없는 '블루스크린'…"이 파일 삭제" 긴급 공지

크라우드스트라이크 "문제된 업데이트 되돌렸다…계속 먹통시 수동 해결법 이용"

19일 전 세계 윈도우·애저(Azure)를 비롯한 마이크로소프트(MS) 기반 시스템에서 블루스크린(BSOD) 등 대규모 장애가 발생한 가운데, 장애의 원인으로 지목된 보안솔루션 업체 크라우드스트라이크가 해결방안을 내놨다.

크라우드스트라이크는 이날 공지문을 통해 "팔콘 센서와 관련된 윈도우 컴퓨터 충돌현상에 대해 인지했다"며 "기술진은 이번 문제와 연관된 업데이트 파일을 찾았고, 이를 되돌렸다"고 밝혔다. 아울러 계속해서 컴퓨터가 충돌하거나 인터넷에 접속할 수 없을 경우 3가지 방법 중 1개를 택해 수동으로 시행하라고 권고했다. 팔콘 센서는 크라우드스트라이크의 보안솔루션이다.

첫 번째는 문제된 파일을 직접 삭제하는 방법이다. 컴퓨터를 윈도우 '안전모드'로 부팅한 이후 'C:WindowsSystem32driversCrowdStrike' 폴더로 진입, 'C-00000291*.sys' 형식의 이름을 가진 파일을 삭제한 뒤 재부팅하면 정상화된다. 크라우드스트라이크는 문제된 파일의 이름이 'C-00000291abc'와 같은 형태로 나타날 수 있다고 설명했다.

두 번째는 안전모드로 부팅한 뒤 '크라우드스트라이크(CrowdStrike)' 폴더의 이름을 변경하는 방법이다. 안전모드에서 '명령프롬프트(관리자)'를 열고 'cd windowssystem32drivers'를 입력한 뒤 'ren CrowdStrike CrowdStrike_old'를 입력하면 폴더의 이름이 변경된다. 이후 재부팅하면 된다.

세 번째는 레지스트리 설정을 변경해 'CSAgent' 서비스를 차단하는 방법이다. 안전모드에서 '레지스트리 편집기'를 열고 'HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSAgent' 경로로 이동, CSAgent 키의 오른쪽 창에서 '시작(Start)' 항목을 찾아 더블클릭한 뒤 '1(서비스 자동으로 시작)'을 '4(사용 안 함)'으로 변경한 이후 재부팅하면 해결된다.

조지 커츠 크라우드스트라이크 최고경영자(CEO)는 이날 "윈도우용 보안 업데이트에서 발견된 결함"이라며 "보안사고나 사이버 공격이 아니다"라고 설명했다. 크라우드스트라이크에 따르면 맥(MacOS)과 리눅스(Linux) 환경은 이날 대규모 장애의 영향을 받지 않는다.