미국과 호주, 유럽 등 전 세계에서 발생한 사이버 대란 사태 해결법이 공개됐다. 이번 대란 원인으로 지목된 미국 사이버 보안 업체 '크라우드스트라이크'가 공지를 통해 해결 방법을 밝히면서다. 업체 측은 업데이트 문제로 보인다며 일부 파일 삭제 후 재부팅하면 해결될 것으로 분석했다.
크라우드스트라이크는 19일 공지를 통해 "대규모 윈도 10 BSOD 중단은 새로운 센서 업데이트와 관련된 것으로 보인다"며 "문제를 일으킨 'csagent.sys' 또는 'C-00000291*.sys' 파일을 삭제하거나 폴더 이름을 변경해야 한다고" 설명했다.
크라우드스트라이크는 "윈도 안전모드로 접속한 뒤 명령프롬포트 관리자에서 특정 명령어를 입력해 'C-00000291*.sys' 패턴과 일치하는 파일을 삭제 하거나 폴더 이름을 변경한 후 재부팅하면 된다"고 설명했다.
크라우드스트라이크가 제시한 방법에 따르면 '안전 모드에서 문제 파일 삭제', '안전 모드에서 폴더 이름 변경', '윈도 레지스트리 편집기 활용 서비스 차단' 방법 등 총 3가지다.
먼저 안전 모드에서 문제 파일을 삭제하는 방법은 윈도PC를 안전 모드로 부팅한다. 복구 화면에서 고급 복구 옵션 보기에 들어간 뒤 '문제 해결'을 선택한 다음 '고급 옵션'에 들어간다. 여기서 '시작 설정'을 선택하고 '다시 시작'을 클릭한다. 재부팅 후 4 또는 F4 키를 눌러 안전 모드에서 PC를 시작한다.
안전 모드에서 명령 프롬프트(관리자)에 들어간 뒤 프롬프트에 cd C:WindowsSystem32driversCrowdStrike 명령을 입력해 CrowdStrike 디렉터리로 이동한다. 해당 파일을 삭제하려면 C-00000291*.sys 패턴과 일치하는 파일을 찾아야한다. dir C-00000291*.sys 패턴과 일치하는 파일을 실행한다.파일이 확인됐으면 del C-00000291.sys를 사용하여 파일삭제를 진행한다. 다만 del C-00000291.sys는 시스템에 표시된 파일의 이름이며 다른 것일 수 있어 주의가 필요하다.
또 다른 방법으로 안전 모드 명령 프롬포트에서 드라이버 디렉터리(cd windowssystem32drivers)로 이동한다. 그다음 CrowdStrike 폴더의 이름을 'ren CrowdStrike CrowdStrike_old'로 변경한다.
마지막으로 제시된 방법에 따르면 안전 모드에서 '윈도 레지스트리 편집기'를 연 다음 'HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSAgent' 경로로 이동한다. CSAgent 키의 오른쪽 창에서 시작(Start) 항목을 찾아 두 번 클릭으로 값을 편집한다. 값 데이터를 1(서비스가 자동으로 시작되도록 설정됨)에서 4(서비스 사용 안 함)로 변경하고 확인을 클릭해 변경 사항을 저장한다. 이후 레지스트리 편집기를 닫고 PC를 재부팅한다.
여기까지가 크라우드스트라이크가 제시한 해결법이다.
현재까지 국내를 포함 미국, 호주, 유럽 등 전 세계에서 미국 마이크로소프트(MS)의 클라우드 서비스 장애로 사이버 대란이 벌어졌다. 원인으로는 '크라우드스트라이크'의 프로그램이 지목됐다. 이날 로이터통신은 "크라우드스트라이크가 팰컨 센서를 업데이트하다가 시스템 충돌이 나타난 것 같다"며 "특히 윈도 10을 사용하는 기업과 조직에 영향이 매우 컸다"고 보도했다.
신용현 한경닷컴 기자 yonghyun@hankyung.com
관련뉴스