보안

크라우드스트라이크 사태 책임 공방…델타항공, MS 책임론 제기

Tristan Fincken | COMPUTERWOCHE 2024.08.06
윈도우 업데이트로 인한 대형 서비스 중단 사태의 다음 단계가 시작됐다. 크라우드스트라이크는 항공편 취소의 피해를 전적으로 책임을 지지 않으려 하며, 델타항공의 비난을 "오해의 소지가 있다"고 주장한다.

지난 7월 19일, 크라우드스트라이크의 팰콘 보안 소프트웨어에 결함이 있는 업데이트가 전송됐다. 이로 인해 전 세계 컴퓨터가 재시작 루프와 블루스크린으로 마비됐고, 의료 부문을 포함한 많은 분야가 영향을 받았다. 하지만 아카마이의 데이터에 따르면, 가장 큰 직접적인 피해자는 항공 업계였다. 그리고 간접적으로는 비영리 단체가 피싱 공격의 주요 피해자가 됐다. 
 
ⓒ Getty Images Bank
 

대화 단절된 크라우드스트라이크와 델타항공

침해 사고 직후 크라우드스트라이크는 상황을 설명하고 문제 해결을 지원하고자 노력했다. 그러나 크라우드스트라이크는 델타항공 경영진이 자사의 이런 지원 제안에 응하지 않았다고 주장한다. 크라우드스트라이크의 변호사는 서면으로 이런 주장을 확인했다. 이 문서에 따르면 크라우드스트라이크의 CEO 조지 커츠는 델타항공 CEO인 에드 바스티안에게 이 사태와 관련해 여러 차례 연락을 시도했다.

파이낸셜 타임즈는 문제의 서한을 인용하며, "크라우드스트라이크 CEO가 델타항공 CEO에게 직접 연락해 현지 지원을 요청했지만 답변을 받지 못했다"라고 인용했다. 크라우드스트라이크는 델타항공에 보낸 별도의 이메일에서도 "해결책을 찾기 위해 협력"하기를 희망한다고 강조했다.

델타항공은 전 세계에서 이번 사태의 영향을 가장 많이 받은 항공사이다. 서비스 중단으로 취소된 항공편의 수는 5,000~6,000편 정도로 추정되며, 정확한 수치와 관계없이 피해 정도가 심각하다는 것을 알 수 있다. 

델타항공 대변인은 자사가 아직 크라우드스트라이크의 서한에 응답하지 않았다고 전했다. 대신 CEO 에드 바스티안이 CNBC 방송에서 한 발언을 언급했다. 바스티안은 수익 손실, 승객에 대한 보상, 평판 손상 측면에서 금전적 보상을 받기 위한 법적 조치에 대해 이야기했다.
 

5억 달러 피해 규모에 마이크로소프트 책임론도 제기

항공편 취소로 인한 피해는 "5일 동안 5억 달러"에 달하는 것으로 추정된다. 바스티안은 "매출 손실뿐만 아니라 보상금과 호텔 비용으로 하루에 수천만 달러"가 들었다며, 이런 손실은 손해 배상 청구가 필요하다고 설명했다.

또한 델타항공이 서비스 중단 이후 자체적인 기술 재평가를 실시할 것이라고 발표하며, 향후 IT 투자에 변화가 있을 수 있음을 암시했다.

책임 측면에서는 크라우드스트라이크뿐만 아니라 마이크로소프트도 문제이다. 바스티안은 이 사건을 거대 IT 업체의 "델타 생태계에 대한 특권적 접근”으로 인한 사건이라고 설명했다. 또 델타는 IT 업계에서 "가장 취약한 플랫폼"에 대한 의존도를 재고할 것이라고 비난했다.

델타항공은 마이크로소프트의 대응에도 실망감을 표시했다. 바스티안은 "마이크로소프트는 우리에게 아무것도 제공하지 않았다. 도움이 될만한 조언도 없었다”라며, 델타항공의 IT 환경이 "업계에서 마이크로소프트 및 크라우드스트라이크와 가장 밀접하게 결합되어 있기 때문에" 특히 심각한 문제라고 지적했다. 바스티안은 또한 델타항공이 "수억 달러를 리던던시에 투자"하고 있다고 밝혔다.

델타항공 CEO는 크라우드스트라이크의 부적절한 검증 프로세스에 대해서도 비판했다. 특권 액세스로 검증되지 않은 소프트웨어를 24시간 운영되는 비즈니스 크리티컬 시스템에 투입하는 것은 있을 수 없는 일이라는 것. 또한, 바스티안은 마이크로소프트와 크라우드스트라이크가 사이버 보안 분야에서 주요 경쟁자이기 때문에 두 업체 간의 협력이 원활하지 않다고도 지적했다. 

델타항공은 크라우드스트라이크와 마이크로소프트 양사에 보상을 요구한 최초의 기업이다. 마이크로소프트는 이번 사태와 관련해 소프트웨어 애플리케이션에 대한 커널 수준의 액세스에 대해 재검토하겠다는 입장을 밝히는 데 그친 상태이다.

그러나 델타항공의 크라우드스트라이크에 대한 손해배상 청구는 델타항공 변호사의 서신에서 이미 다루고 있는데, "크라우드스트라이크의 모든 책임은 계약상 한 자릿수 백만 달러로 제한된다"고 명시되어 있다. 추정 피해액과의 격차가 큰 만큼 추가 진행 상황은 아직 지켜봐야 할 것이다.
editor@itworld.co.kr
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.