전세계 통신·공항 먹통 원인으로 지목된 업체…해결법은?
입력
수정
블루스크린 해결법 공개미국과 호주, 유럽 등 전 세계에서 발생한 사이버 대란 사태 해결법이 공개됐다. 이번 대란 원인으로 지목된 미국 사이버 보안 업체 '크라우드스트라이크'가 공지를 통해 해결 방법을 밝히면서다. 업체 측은 업데이트 문제로 보인다며 일부 파일 삭제 후 재부팅하면 해결될 것으로 분석했다.
미국 사이버 보안 업체 '크라우드스트라이크'
3가지 해결법 제시
크라우드스트라이크는 19일 공지를 통해 "대규모 윈도 10 BSOD 중단은 새로운 센서 업데이트와 관련된 것으로 보인다"며 "문제를 일으킨 'csagent.sys' 또는 'C-00000291*.sys' 파일을 삭제하거나 폴더 이름을 변경해야 한다고" 설명했다.크라우드스트라이크는 "윈도 안전모드로 접속한 뒤 명령프롬포트 관리자에서 특정 명령어를 입력해 'C-00000291*.sys' 패턴과 일치하는 파일을 삭제 하거나 폴더 이름을 변경한 후 재부팅하면 된다"고 설명했다.
크라우드스트라이크가 제시한 방법에 따르면 '안전 모드에서 문제 파일 삭제', '안전 모드에서 폴더 이름 변경', '윈도 레지스트리 편집기 활용 서비스 차단' 방법 등 총 3가지다.
먼저 안전 모드에서 문제 파일을 삭제하는 방법은 윈도PC를 안전 모드로 부팅한다. 복구 화면에서 고급 복구 옵션 보기에 들어간 뒤 '문제 해결'을 선택한 다음 '고급 옵션'에 들어간다. 여기서 '시작 설정'을 선택하고 '다시 시작'을 클릭한다. 재부팅 후 4 또는 F4 키를 눌러 안전 모드에서 PC를 시작한다.안전 모드에서 명령 프롬프트(관리자)에 들어간 뒤 프롬프트에 cd C:WindowsSystem32driversCrowdStrike 명령을 입력해 CrowdStrike 디렉터리로 이동한다. 해당 파일을 삭제하려면 C-00000291*.sys 패턴과 일치하는 파일을 찾아야한다. dir C-00000291*.sys 패턴과 일치하는 파일을 실행한다.파일이 확인됐으면 del C-00000291.sys를 사용하여 파일삭제를 진행한다. 다만 del C-00000291.sys는 시스템에 표시된 파일의 이름이며 다른 것일 수 있어 주의가 필요하다.
또 다른 방법으로 안전 모드 명령 프롬포트에서 드라이버 디렉터리(cd windowssystem32drivers)로 이동한다. 그다음 CrowdStrike 폴더의 이름을 'ren CrowdStrike CrowdStrike_old'로 변경한다.
마지막으로 제시된 방법에 따르면 안전 모드에서 '윈도 레지스트리 편집기'를 연 다음 'HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSAgent' 경로로 이동한다. CSAgent 키의 오른쪽 창에서 시작(Start) 항목을 찾아 두 번 클릭으로 값을 편집한다. 값 데이터를 1(서비스가 자동으로 시작되도록 설정됨)에서 4(서비스 사용 안 함)로 변경하고 확인을 클릭해 변경 사항을 저장한다. 이후 레지스트리 편집기를 닫고 PC를 재부팅한다.여기까지가 크라우드스트라이크가 제시한 해결법이다.
현재까지 국내를 포함 미국, 호주, 유럽 등 전 세계에서 미국 마이크로소프트(MS)의 클라우드 서비스 장애로 사이버 대란이 벌어졌다. 원인으로는 '크라우드스트라이크'의 프로그램이 지목됐다. 이날 로이터통신은 "크라우드스트라이크가 팰컨 센서를 업데이트하다가 시스템 충돌이 나타난 것 같다"며 "특히 윈도 10을 사용하는 기업과 조직에 영향이 매우 컸다"고 보도했다.
신용현 한경닷컴 기자 yonghyun@hankyung.com