단 하나의 결함 있는 채널 파일이 850만 대의 Windows 머신을 다운시키고, 항공편을 결항시키고, 거래 데스크를 마비시켰습니다. DORA 하에서 문제는 더 이상 '누구의 잘못인가?'가 아니라 '당신의 시뮬레이션은 어디 있었는가?'입니다.
2024년 7월 19일, 광범위하게 배포된 엔드포인트 보안 에이전트의 결함 있는 콘텐츠 업데이트가 몇 시간 만에 약 850만 대의 Windows 시스템을 부팅 불가 상태로 만들었습니다. 항공사들은 기단을 멈추었고, 병원들은 종이로 돌아갔으며, 금융 기관들은 단 하나의 서드파티 파일이 어떤 공격자도 이루지 못한 일을 할 수 있다는 것을 발견했습니다. 적대자도, 악성코드도, 침해도 없었습니다 — 이것이 바로 이 사건을 10년 간 가장 명확한 복원력 사례 연구로 만드는 이유입니다.
사건
하나의 벤더, 하나의 채널 파일, 하나의 글로벌 배포. 업데이트는 실질적으로 동시에 에이전트를 실행하는 모든 머신에 도달했으며, 장애 모드는 완전했습니다: 블루 스크린, 부팅 루프, 기기별 수동 복구. 규모가 소프트웨어 결함을 인프라 기상 현상으로 변화시켰습니다.
규제적 해석
EU 디지털 운영 복원력 법(DORA)은 공격자의 부재에서 아무런 위안을 얻지 않습니다. 금융 기관에 대한 핵심 요구사항은 ICT 중단이 악의적이든 아니든 예측되고, 견뎌내고, 복구되어야 한다는 것입니다. 세 가지 핵심 기둥이 직접적으로 관여됩니다: ICT 서드파티 리스크(결함 있는 컴포넌트는 거의 모든 기관의 공급망 깊은 곳에 위치했으며, 종종 계약 수준의 가시성 이하였습니다), 디지털 복원력 테스트(시나리오 테스트는 심각하지만 그럴듯한 중단을 커버해야 합니다; 엔드포인트 에이전트의 동시 장애는 그럴듯하고, 심각하며, 거의 어디서도 시뮬레이션되지 않았습니다), 그리고 사건 보고(기관들은 자신의 노출을 이해하고 분류할 시간이 며칠이 아닌 몇 시간밖에 없었습니다).
계산이 변화시켰을 것
종속성은 알 수 있었습니다: 완전한 자산 인벤토리는 모든 엔드포인트에 동일한 에이전트가 있음을 보여주며, 이는 상관된 장애의 단일 지점입니다. 피해 반경은 계산 가능했습니다: 해당 인벤토리에 대한 몬테카를로 시뮬레이션 — DORA-MAST가 금융 기관을 위해, cVaR이 모든 산업을 위해 실행하는 종류 — 은 "신뢰할 수 있는 에이전트가 모든 곳에서 동시에 장애를 일으킨다"는 시나리오를 금융적 손실 측면에서 가격을 책정하여, 막연한 걱정을 이사회 수준의 숫자로 변환합니다. 그리고 증거가 준비되어 있으면 복구가 더 빠릅니다: 어떤 머신이 어떤 에이전트 버전을 실행하는지 정확히 알았던 기관들은 몇 시간 만에 회복했습니다; 스프레드시트에서 자산을 재구성하던 기관들은 며칠이 걸렸습니다. 자동화된 증거 수집은 그 답을 최신 상태로 유지합니다.
예측하고, 시뮬레이션하고, 사전에 해결하십시오: 이 중 어느 것도 예언 능력을 필요로 하지 않았습니다. 인벤토리, 모델, 그리고 실제로 겪기 전에 불행한 경로를 계산하려는 의지가 필요했을 뿐입니다.