CrowdStrike 문제로 영향을 받는 컴퓨터를 빠르게 찾는 방법 안내

2024년 7월 19일, 사이버 보안 기업 CrowdStrike가 배포한 윈도우 시스템용 엔드포인트 보안 솔루션 업데이트는 예상치 못한 결과를 초래했습니다. CrowdStrike의 엔드포인트 보안 솔루션은 시스템을 보호하는 중요한 역할을 하지만, 이번 업데이트 과정에서 예상치 못한 오류가 발생하여 윈도우 시스템의 핵심 기능과 충돌한 것으로 분석됩니다. 이 문제는 단순한 오류를 넘어 전 세계적으로 수많은 윈도우 시스템에 영향을 미쳤습니다. 특히, 기업 환경에서 널리 사용되는 윈도우 서버에 집중적으로 문제가 발생하여 서비스 중단이라는 심각한 결과를 초래했습니다. 관련해 전 세계 언론에서 항공사, 은행, 공공 기관 등 다양한 산업에서 사용되는 시스템이 마비되면서, 관련 서비스가 중단되는 사태를 보도하였습니다.

 

Dynatrace가 CrowdStrike 문제로 영향을 받는 시스템을 빠르게 찾는 방법

 

Dynatrace는 IT 시스템과 관련된 모든 요소들, 즉 서버, 애플리케이션, 데이터 센터, 멀티 클라우드 환경 등을 자동으로 모니터링하고 분석합니다. 이를 통해 시스템의 각 요소들이 서로 어떻게 연결되어 있고, 어떤 식으로 상호작용하는지를 명확하게 보여줍니다. 즉, IT 환경의 복잡한 종속성 맵을 자동으로 생성하고, 시스템 전체의 상태를 쉽게 이해할 수 있도록 도와줍니다.

 

최근 발생한 CrowdStrike의 문제와 관련해서 Dynatrace는 모니터링된 시스템의 로그와 IT 시스템의 종속성 맵을 활용하여 어떤 서버가 영향을 받았는지 파악할 수 있습니다. 예를 들어 BSOD(블루 스크린) 문제가 언제 발생했는지, 어떤 시스템 로그에 기록되었는지 확인할 수 있습니다.

 

Dynatrace는 DQL이라는 쿼리 언어를 통해 사용자가 필요한 정보를 빠르게 조회할 수 있도록 돕습니다. BSOD 문제가 언제 발생했는지 확인하기 위해 DQL을 사용하여 윈도우 시스템 로그를 검색할 수 있습니다. 다음은 쿼리의 예입니다.

 

다음 쿼리는 Dynatrace 엔티티 모델을 사용하여 시스템에서 CrowdStrike 프로세스와 관련된 정보를 검색합니다. 그리고 관리자에게 영향을 받은 호스트 이름과 프로세스 수, 영향을 받은 호스트 이름과 해당 서버가 지난 24시간 내에 다시 시작되었는지 여부에 대한 정보를 제공합니다. 이를 통해 관리자는 어떤 시스템(호스트)이 영향을 받았는지 파악하고, 어떤 시스템을 먼저 수정해야 할지 우선순위를 정할 수 있습니다.

 

Dynatrace 3세대 대시보드에서는 특정 쿼리의 결과를 시각적으로 볼 수 있습니다. 이 쿼리는 여러 시스템(호스트)에서 발생한 문제를 빠르게 파악하는 데 도움을 줍니다. 다음과 같은 대시보드를 통해 관리자는 시각적으로 데이터를 확인하고 필터링하여 전체 시스템에서 문제가 발생한 범위를 신속하게 파악할 수 있습니다. 어떤 시스템에서 문제가 발생했는지, 그 시스템이 중요한 비즈니스 시스템에 영향을 미치는지 등을 빠르게 알 수 있습니다.

 

CrowdStrike BSOD 감지 기능 사용에 필요한 기능은?

 

CrowdStrike BSOD 감지 기능을 작동시키기 위해서는 다음 기능이 필요합니다.

• Dynatrace Discovery 및 Foundation 모드 사용: 시스템 내의 다양한 구성 요소를 자동으로 탐지하고 모니터링을 시작하게 해줍니다. 이 기능을 활성화하면 Dynatrace는 시스템 내에서 발생하는 문제들을 탐지할 수 있습니다.
• Dynatrace Log Ingest 사용: 시스템의 로그 데이터를 수집하여 분석하는 기능입니다. 이 기능을 통해 시스템에서 발생한 오류나 문제의 로그를 분석하여 CrowdStrike와 같은 보안 솔루션에서 발생하는 문제를 빠르게 파악할 수 있습니다.

이 두 가지 기능을 사용하여 Dynatrace는 사용자의 환경 내에서 CrowdStrike와 관련된 BSOD(블루 스크린) 문제를 빠르게 감지하고, 그 문제가 어느 정도 퍼져 있는지, 얼마나 심각한지를 몇 분 안에 파악할 수 있게 됩니다. 이를 통해 문제 해결을 더 신속하고 효율적으로 할 수 있습니다.

 

분석을 위해 어떤 Dynatrace 플랫폼이 필요한가?

 

Dynatrace 플랫폼의 두 가지 버전을 이용하면 됩니다.

 

최신 Dynatrace 플랫폼은 Grail이라는 기술을 사용하여 더 높은 유연성을 제공합니다. 이 말은 사용자가 필요에 맞게 쿼리를 만들고 데이터를 분석할 때 더 많은 옵션과 기능을 활용할 수 있다는 뜻입니다. 예를 들어 다양한 방법으로 데이터를 검색하고, 필요한 정보를 빠르게 찾을 수 있습니다.

 

다음으로 2세대 Dynatrace 플랫폼에서도 Dynatrace 엔티티 모델의 데이터에 접근할 수 있습니다. 최신 플랫폼만큼의 유연성은 제공하지 않지만, 이 플랫폼에서도 필요한 데이터를 확인하고 분석할 수 있습니다.

 

만약 Dynatrace Managed를 사용하는 고객이라면 Github 저장소에서 CrowdStrike Host Analysis(Gen2) 대시보드를 다운로드할 수 있습니다. 이 대시보드는 윈도우 운영체제에서 작동하도록 설정할 수 있고, 특정 호스트 이름으로 필터링하여 관련 데이터를 쉽게 확인할 수도 있습니다. 이는 시스템의 특정 장치나 서버에 대한 문제를 빠르게 파악하고 분석하는 데 유용합니다.

 

 

Dynatrace 고객을 위한 CrowdStrike BSOD 문제 FAQ

 

Q: CrowdStrike 문제란 무엇인가요?

A: 2024년 7월 19일, 사이버 보안 회사 CrowdStrike는 윈도우 시스템에 설치된 엔드포인트 보안 솔루션에 업데이트를 배포했습니다. 그러나 이 업데이트에는 심각한 결함이 포함되어 있어, 윈도우 시스템이 충돌하는 문제가 발생했습니다. 이로 인해 항공사, 은행, 공공 기관 등 다양한 산업에 걸쳐 글로벌 서비스 중단이 발생했습니다.

 

Q: 시스템 중단의 원인은 무엇입니까?

A: CrowdStrike가 배포한 윈도우 업데이트에 결함이 있어, 영향을 받은 시스템이 부트 루프(boot loop)에 걸려서 시스템이 제대로 시작되지 못했습니다. 부트 루프는 서버가 계속해서 재부팅되는 상태로 시스템이 운영체제나 애플리케이션을 정상적으로 로드하지 못하게 만듭니다.

 

Q: 이번 사태가 심각한 이유는 무엇인가요?

A: 시스템이 부트 루프에 빠지면 서비스가 전혀 제공되지 않게 됩니다. 즉, 서버가 꺼진 것과 마찬가지로 외부에서의 요청이나 명령에 응답하지 않게 되며, 이는 서비스 중단으로 이어집니다. 이 문제를 해결하려면 각 서버에 대해 수동으로 복구 작업을 해야 하는데, 이 과정은 매우 복잡하고 시간이 많이 걸립니다. 특히, 이전의 백업 상태로 롤백하는 작업도 필요할 수 있습니다.

 

Q: 서비스 복구 일정은 어떻게 되나요?

A: 복구 작업은 시간이 많이 걸리고 수작업으로 진행되어야 합니다. 중요한 애플리케이션과 관련된 서버부터 우선적으로 복구해야 하며, 덜 중요한 서버는 나중에 처리됩니다. 이로 인해 많은 조직에서 서비스 복구에 몇 시간 또는 며칠이 소요될 수 있습니다. Dynatrace를 사용하는 고객들은 영향을 받은 서버를 빠르게 식별하고, 중요한 서버를 우선적으로 복구하는 데 도움을 받을 수 있습니다.

 

Q: Dynatrace는 어떻게 고객을 돕나요?

A: Dynatrace는 자동으로 어떤 서버가 영향을 받았는지 식별하는 데 도움을 줍니다. Smartscape 기술을 통해 각 서버가 어떤 서비스와 연결되어 있는지 파악할 수 있으며, 이를 통해 고객이 가장 중요한 애플리케이션과 관련된 서버를 우선적으로 복구할 수 있도록 지원합니다. 따라서 서비스 중단으로 인해 중요한 비즈니스 기능이 영향을 받지 않도록 효율적인 복구 계획을 수립할 수 있습니다.

 

Q: Dynatrace 고객 중 서비스 중단으로 영향을 받은 사례가 많나요?

A: 많은 주요 기업들이 CrowdStrike의 보안 솔루션을 사용하고 있으며, 이들 기업 중 다수가 Dynatrace를 모니터링 도구로 사용하고 있습니다. Dynatrace는 고객이 영향을 받은 서버를 빠르게 식별하고 우선순위를 지정하는 데 도움을 줌으로써, 비즈니스에 중요한 서비스를 신속하게 복원할 수 있도록 지원하고 있습니다.

 

Q: 고객 전체 환경을 돕기 위해 Dynatrace는 무엇을 제공하나요?

A: Dynatrace의 Smartscape 기능은 특정 호스트를 모니터링하여 상황을 분석합니다. 그러나 전체 환경을 모니터링하려면 Foundation 및 Discovery 모드를 활용하여 전체 IT 환경을 커버하는 것이 좋습니다. 이는 비용 효율적으로 전체 IT 환경을 관리하고 모니터링할 수 있는 방법입니다.

 

Q: Dynatrace 서비스 자체가 이번 중단으로 영향을 받았나요?

A: Dynatrace 서비스 자체는 중단의 직접적인 영향을 받지 않았습니다. 그러나 Dynatrace가 모니터링하는 호스트와의 통신이 중단의 영향을 받은 경우 이 호스트와의 상호작용이 일시적으로 중단될 수 있었습니다.

 

 더 자세한 사항은  락플레이스로 문의 바랍니다.