2024년 7월 19일, 사이버 보안 기업 CrowdStrike가 배포한 업데이트의 영향으로 전 세계적으로 850만 대의 윈도우 탑재 PC가 부팅 불능 상태가 되었었다. OS 중에서도 핵심 부분인 커널 부분의 업데이트에 대해서는 CrowdStrike의 예와 같이 중대한 트러블을 발생시킬 가능성이 있는데, 그러한 커널 부분의 업데이트에 의한 충돌을 방지하는 기술이 「eBPF」이다.
CrowdStrike 사건의 원인은, CrowdStrike가 매일 여러 차례 갱신, 배포하고 있는 구성 파일에 실수가 있었던 것으로 되어 있는데, 구성 파일에 잘못된 주소가 지정되어 있었기 때문에, 커널 드라이버가 유효하지 않은 메모리를 읽어내려고 하여 시스템이 충돌해 버렸다는.
웹브라우저는 신뢰할 수 없는 사이트의 자바스크립트를 실행하기 위해 격리된 실행 환경을 준비하고 있으며, eBPF는 동일한 동작을 커널에서 수행하는 구조로, eBPF는 프로그램을 정적으로 검증하여 안전성을 확인하고 격리된 커널 환경에서 수행. 체크 중에 안전하지 않은 코드가 발견된 경우에는, 프로그램이 거부되어 시스템 전체를 충돌시키지 않는다.
eBPF는 2014년에 첫 출시가 이루어졌고, 2017년에는 리눅스 커널로 편입되었으며, 2024년 시점에서는 구글과 메타 등 대형 IT 기업들이 eBPF를 활용해 자사 시스템 내 악의적 행위를 검출해 보안을 향상시키고 있다.
Windows 전용의 eBPF의 개발도 진행되고 있어, eBPF가 보급됨으로써 보안 소프트웨어에서도 시스템을 크래시시키지 않게 할 수 있다고 한다.
