이 영환1. EDR, MS 애저의 대형 사고
2024년 7월 19일, 마이크로소프트(MS)의 클라우드 서비스에 장애가 발생하면서 전 세계적으로 대형 사고가 발생했다.
규모는 적은 편이지만, 국내 현상도 해외와 비슷했다. 마이크로소프트의 클라우드 서비스 애저(AZURE)를 사용하는 국내 항공사, 온라인 게임사 등이 피해를 보았다.
이번 사건을 통해 사태의 원인으로 지목된 EDR 솔루션과 원인에 대해 각각 알아본다.
2. 사건의 전말 – 30초 요약
1) EDR(Endpoint Detection and Response) 솔루션이란 네트워크에 연결된 컴퓨터, 모바일 기기 등에서 발생하는 보안 위협을 탐지하고 대응하는 기술을 말한다.
2) 이번 사건의 원인이었던 crowdstrike의 팔콘 센서(Falcon Sensor)는 애저에 적용된 서버용 EDR 솔루션이며, 이것은 일반 백신보다 OS에 대한 높은 액세스 및 수정 권한을 보유하고 있다.
3) 팔콘 센서가 윈도우 OS의 일부를 수정하는 작업으로 인해 일명 ‘블루스크린’ 오류가 발생했다(주로 윈도우10 OS에서 발생).
4) 이에 따라 방송사, 항공사, 게임사 등이 오랜 기간 먹통되면서 큰 피해가 발생했다.
5) 구체적으로 해당 ‘패치’가 어떤 인과 관계로 인해 OS와 충돌을 일으켰는지 세부적으로 분석 중이다.
3. “좀 더 알고 싶다면?” – EDR이 하는 일
1) 지속적 엔드 포인트 모니터링
장치가 온보딩되면 각 장치에 소프트웨어 에이전트를 설치하여 전체 디지털 에코시스템이 보안 팀에 표시되도록 한다. 에이전트가 설치된 장치를 관리 디바이스라고 한다. 이 소프트웨어 에이전트는 각 관리되는 디바이스에서 관련 활동을 지속적으로 기록한다.
2) 원격 분석 데이터 집계
각 장치에서 수집된 데이터는 에이전트에서 클라우드 또는 온-프레미스에 있을 수 있는 EDR 솔루션으로 다시 전송된다. 이벤트 로그, 인증 시도, 애플리케이션 사용 및 기타 정보는 보안팀에 실시간으로 표시됨.
3) 데이터 분석 및 상관관계 지정
누락되기 쉬운 IOC를 발견한다. 보통 AI 및 기계 학습을 사용하여 글로벌 위협 인텔리전스를 기반의 동작 분석을 적용하여 팀이 조직에 대해 사용되는 고급 기법을 방지할 수 있도록 지원한다.
4) 의심 현상 감지 및 자동 수정 작업 수행
잠재 공격에 플래그를 지정하고 빨리 대응할 수 있도록 보안팀에 경고를 보낸다. 트리거에 따라 EDR 시스템은 엔드포인트를 격리하거나 인시던트를 조사하는 동안 확산되지 않도록 위협을 포함할 수도 있다(나중에 사용할 수 있도록 데이터 저장함).
*출처: 마이크로소프트 시큐리티(링크)