Sunday, October 27, 2019

차세대 보안 솔루션 EDR 시장의 왕좌는 누가 차지할까?


페이스북에 올라온 스타트업 얼라이언스 임정욱 센터장의 '크라우드스트라이크의 IPO'에 대한 포스트를 보고 댓글을 달았었는데, 그때 떠올랐던 생각들과 자료 조사를 추가해 블로그에 적어본다. 기술적으로 더 공부하고 올리려고 하니 자꾸 미루게 돼서 겉으로 보이는 시장 상황과 개요 수준에서 일단 포스팅한다.

수개월 전 크라우드스트라이크(CrowdStrike) 세일즈팀에서 연락이 와서 우리 회사 InfoSec 보안담당자와 같이 프리젠테이션으로 제품 설명을 들었다. 솔직히 요즘 신생 사이버 보안 제품/솔루션들이 너무나 많고 비슷비슷해서 PoC 테스트를 해도 쉽게 특정 업체를 선정하기 어렵다. 과히 보안 스타트업의 춘추전국 시대라고 생각한다. 대부분의 업체가 '우리는 클라우드 보안 업체이고, AI/머신러닝 기술을 사용하며, 다른 업체보다 뛰어나다'고 주장한다.

<이미지 출처: BlueCoat.com>


클라우드 보안 시장


이미 미국에서는 클라우드 보안이 성숙 단계를 지났다. 시장조사업체인 가트너에 따르면 2017년 세계 클라우드 보안 시장 규모는 9억달러(약6조7천억원)이며 연평균성장률(CAGR) 18.9%로 2020년까지 90억 달러(10조원) 규모의 시장을 형성할 것으로 예상한다. 다른 시장조사업체 Zion Market Research도 글로벌 클라우드 보안 시장은 2020년까지 98억 달러 규모까지 성장할 것이라 예상했다.

이는 최근 몇 년간 랜섬웨어(ransomware) 등으로 보안 위협이 높아져 클라우드 기반 보안 솔루션 도입이 증가하고 있다. 중소기업의 경우 보안 전담 인력을 두기 힘들어 솔루션 활용과 유지보수가 간편한 클라우드 기반 보안 서비스를 선호한다. 가트너에 따르면, 클라우드 기반 보안 서비스 중 이벤트 및 사고 관리 등 통합로그분석시스템(SIEM), ID접근관리(IAM)와 같은 기술이 가장 빠르게 성장하고 있으며, 이메일 보안, 웹보안, ID 및 IAM은 기업에서 클라우드 보안 우선순위 상위 3위에 든다고 분석했다.

<자료 출처: KOTRA> 

이미 보안 선두업체들은 인수합병을 통해 클라우드 보안 분야에 공격적인 투자를 하고 있다.
네트워크 장비업체인 시스코(Cisco)는 기업용 클라우드 보안 솔루션 강자인 클라우드락(CloudLock)과 오픈DNS(OpenDNS), 시만텍(Symantec)은 블루코드(Blue Coat), 최근엔 블랙베리(BlackBerry)가 사일런스(Cylance)를, 가장 최근에는 드렌드마이크로(Trend Micro)가 클라우드 보안 형상 관리(CPMS: Cloud Security Posture Management) 기업인 '클라우드 콘포미티(Cloud Conformity)'를 인수했다. 시만텍의 블루코드 인수는 지난 10년간 전 세계 보안 업계에서 이루어진 인수 합병 중 가장 큰 규모다.

이외에도 IBM은 Resilient Systems를 인수하고 사이버 보안 분야에 20억 달러에 달하는 연구개발 투자를 하고 있다. 마이크로소프트(Microsoft)도 2015년 이스라엘 클라우드 보안업체 아달롬(Adallom)을 2억5천만달러, 2017년 이스라엘 보안 스타트업인 헥사다이트(Hexadite)를 1억달러 등을 인수하며 클라우드 보안 역량을 강화하고 있다.

클라우드 전문 보안 업체로 2012년에 주식 상장(IPO)한 클라우드 보안업체 퀄리스(Qualys)는 나스닥(NASDAQ)에서 3.5B(약4조원 이상), 2018년에 상장한 지스케일러(Zscaler)는 10B(약11조원 이상)의 가치를 지닌 업체로 성장했다. (2019년 10월 현재)


차세대 보안의 미래, EDR


최근 보안 분야에서 가장 핫한 솔루션은 EDR (Endpoint Detection & Response)이다. 번역하면, '엔드포인트 위협 탐지 및 대응'이다. 그럼, EDR 솔루션이 무엇이고 어떻게 동작하는가?

엔드포인트는 말 그대로 사용자의 단말기 즉, PC, 스마트폰, 태블릿 등을 말한다. 보안의 범위가 사물인터넷(IoT)까지 확대되면서 엔드포인트 시장이 확대되고 있다.

이는 피싱(phishing), 랜섬웨어(ransomware), 크리덴셜 스터핑(credential stuffing), APT(Advanced Persistent Threat, 지능형 지속위협) 등의 사이버 위협이 지속해서 고도화, 지능화되고 있기 때문이다. 이에 보안 업계는 기존 네트워크 보안, 백신(안티바이러스) 중심의 경계 보안 중심의 체계에서 벗어나 새로운 보안 체계를 구축해야 한다는 인식을 같이했다. 특히 네트워크를 넘어 엔드포인트에서 사이버 위협 대응 방안을 제시하는 ‘엔드포인트 탐지 및 대응(Endpoint Detection & Response / EDR)’, 사이버 공격자 기만 기술인 ‘사이버 디셉션(Cyber Deception)’ 등 여러 모델에 주목하고 있으며, 데이터 분석 작업을 전제로 하는 ‘사이버 위협 헌팅(Cyber Threat Hunting)’, 구축된 보안 체계의 유효성, 효율성을 분석하는 ‘마이터 어택(MITER ATT&CK)’ 등에 대해서도 논의가 이뤄지고 있다.

보안 업계는 대부분의 사이버 공격은 '엔드포인트(Endpoint)'에서 시작한다는 점에 주목했다.
엔드포인트에서 시작된 공격은 조직 내 중요 정보를 탈취하기 위해 측면이동으로 감염범위를 확대하고 정보를 수집한다. 이런 공격을 탐지하기 위해선 엔드포인트에 대한 가시성을 확보해야 하며, 엔드포인트로부터 다양한 정보를 수집하고, 이를 분석해 위협을 탐지 및 대응할 수 있어야 한다는 것이다.

이런 개념에서 등장한 EDR은 ETDR(Endpoint Threat Detection & Response)이라는 이름으로 가트너에 의해 2013년 소개됐다. 이후 본격적으로 시장의 관심을 받기 시작했고 2015년 EDR로 명칭이 변경됐다. 즉, 공격자가 이미 조직 내 침투해 있다는 것을 가정하고, 빠르게 공격자를 탐지하고 대응하는 것이 최근의 보안 트렌드라 할 수 있다.

초기 EDR 개념에 따르면, EDR’은 엔드포인트의 행위와 이벤트를 기록하고 수집된 데이터를 기반으로 다양한 기술을 활용해 공격을 탐지하고 대응하는 솔루션이다. 가트너가 제시한 EDR의 네 가지 주요 기능(Four Primary Capabilities)은 아래와 같다.

  • Detecting security incidents, rather than just file-based malware. (보안 침해 탐지)
  • Containing security incidents. (보안 통제)
  • Investigating security incidents, and threat hunting. (보안 침해 조사)
  • Providing response capabilities to recover from a security incident. (엔드포인트 치료)
▲ 가트너가 제시한 EDR의 주요 기능 4가지 (출처: SK인포섹)

어느 보안 업계 관계자는 기존 백신(안티바이러스)과 비교하여 다음과 같이 비교하기도 했다. “공항 출입심사에서 이미 작성된 블랙 리스트로 테러리스트 용의자를 찾는 방식이 기존 안티바이러스 방식이라면, EDR은 공항 곳곳에 설치된 CCTV로 거동 수상자를 식별하는 방식”이다.

EDR 분야는 RSA 2016 컨퍼런스에서 다시 소개되며 주목받기 시작했다. 글로벌 시장조사기관 가트너에 따르면, 미국의 2016년 EDR 시장은 6억 달러 이상, 2015년부터 2020년까지 연평균성장률(CAGR)은 45.27%로 기존 글로벌 백신(안티 바이러스) 시장 성장률 2.0%와 큰 차이를 보인다.

<참조: 보안뉴스>


EDR/EPP 벤더


이미 EDR 시장에선, 올해 6월 주식 상장(IPO)한 크라우드스트라이크(CrowdStrike)가 14B(약16조원)의 가치로 보안 소프트웨어업계의 강자인 시만택(Symantec)과 버금가는 규모로 깜짝 등극했다. 기존 백신(안티바이러스) 업체들의 시장을 마이크로소프트가 빼았고 있는 상황에서 이런 규모의 스타트업 업체가 나온다는 것이 놀랍다. 이는 그만큼 EDR 시장의 잠재력이 높고 성장하고 있다는 증거이다.


2018년 1월 크라우드스트라이크(CrowdStrike)는 IT 업계에서의 기업 위상을 알려주는 가트너 매직 쿼드런트(Gartner Magic Quadrant)의 엔드포인트 보호 플랫폼(Endpoint Protection Platform, EPP)* 분야에서 사일런스(Cylance), 카본블랙(Carbon Black), 센티넬원(SentinelOne), 시스코(Cisco) 등과 함께 '비저너리(Visionaries)'의 위치에 있었다. 이 분야의 '리더(leaders)' 업체는 시만텍(Symantec), 소포스(Sophos), 트렌드마이크로(TrendMicro), '챌린저(Challengers)'에는 이셋(ESET)이 위치해 있었다.

가트너 매직 쿼드런트의 위상은 Niche Players -> Visionaries -> Challengers -> Leaders 순으로 그 위상이 높다.

비저너리 업체 중에서 2018년 카본블랙(Carbon Black)이 IPO 했고 (현재 NASDAQ, 1.14B) , 또 다른 유니콘이었던 사일런스(Cylance)를 캐나다 스마트폰 회사 블랙베리(BlackBerry)가 올해 $1.4B(1조5천억원) 인수했다. 최근엔 센티넬원(SentinelOne)이 삼성을 포함한 회사들에서 $120M 투자를 받았다는 기사가 났다. 

놀라운 점은 이렇게 '비저너리(Visionaries)'에 위치에 있던 크라우드스트라이크(CrowdStrike)가 2년도 안 되어서 전통 강자들과 함께 '리더(leaders)'의 위치로 퀀텀 점프했다. 창업한 지 불과 10년 만에 37년의 시만택, 32년의 맥아피, 30년의 트랜드마이크로 등을 위협하고 있다. 2018년 크라우드스트라이크와 함께 비저너리 위치에 있던 마이크로소프트(Microsoft)도 리더의 위치로 같이 포지셔닝했다. 이는 MS의 보안에 대한 투자 규모나 기업의 규모로 볼 때 이미 예상했던 일이다. 팔로알토 네트웍스는 차세대 방화벽(Next Generation Firewall) 시장에서 왕좌를 차지한 후, 엔드포인트와 클라우드로 시장 영역을 넓히고 있지만, EDR 신생 업체 만큼 주목을 받진 못하고 있다. 필자 생각에, 블랙베리가 아닌 팔로알토 네트웍스가 사일런스(Cylance)를 인수했으면 더 시너지가 나지 않았을까 싶다. 하지만 팔로알토 네트웍스의 과거 인수합병을 보면 규모가 큰 기업은 없는 상황이다.
방화벽 시장의 리더 중 하나인 포티넷(Fortinet)은 최근 11월 지능형 엔드포인트 보안 전문기업 ‘엔실로(enSilo)’를 인수했다. 포티넷은 엔실로의 EDR 기술을 자사 솔루션과 통합해 추가적인 보안효과를 제공할 계획이다.


* EPP란?
2015년부터 가트너가 들고나온 EPP는 기업 보안 플랫폼으로 PC, 스마트폰, 태블릿 등과 같은 기업의 업무 환경에서 사용하는 엔드포인트의 디바이스를 다양한 위협으로부터 보호하는 솔루션을 의미한다.
EPP와 EDR 솔루션의 주요 차이점은 EPP 솔루션이 자동화된 엔드포인트에서의 위협을 차단하는 정적 탐지 방법에 중점을 두지만 EDR 솔루션은 여러 IOC(Indicator of Compromise, 침해지표)를 활용하여 고급 공격 및 위협 요소를 식별하고자 한다.



블랙베리 사일런스의 경우, EPP·EDR 두 제품을 하나의 에이전트로 통합하고 있기도 하다.
"사일런스, EPP-EDR 두 제품을 원에이전트로 통합...한국 시장 적극 공략" (데일리시큐)

국내 기업 안랩도 통합을 진행하고 있고, 전체적인 현재 시장 상황은 EDR·EPP가 빠르게 융합되고 있으며 단일 매니지먼트 형태로 전환될 것이다.


사일런스(Cylance)와 크라우드스트라이크(CrowdStrike) 뒷이야기, '동지에서 적으로'


비하인드 스토리로 사일런스(Cylance) 창업자 Stuart McClure와 크라우드스트라이크(CrowdStrike) 창업자 George Kurtz에 대한 이야기가 있다. 둘은 파운드스톤(Foundstone)이란 보안 업체를 공동 창업해서 2004년에 맥아피(McAfee)에 넘긴 동업자 사이다. 하지만 이후 서로 틀어져서 앙숙이 되었다. 보안 베스트셀러 서적으로 'Hacking Exposed'란 책이 있는데, McClure는 Kurtz가 한 챕터밖에 안 썼으면서 자신의 책인 것처럼 행사한다고 주장하고, Kurtz는 3분의 1이나 썼다고 반박하며 싸우기도 했다. 누가 진실을 말하고 있는지는 아직 모르겠다.


EDR 시장의 왕좌는 누구?


그렇다면 이렇게 보안 분야에서 뜨고 있는 EDR 시장의 승자는 누가 될까?

국내에서도 SK인포섹, 안랩, 지니언스, 엔피코어, 이노티움, 큐브피아, 하우리 등이 EDR 시장을 적극적으로 공략하고 있다. 하지만, 아직 국내 기업이 글로벌하게 진출하거나 해외 시장에서 두각을 나타내지 못하고 있다.

* 함께 읽어보면 좋은 관련 글: 한국 보안기업 글로벌화의 문제점

기업 보안 담당자들은 백신(AntiVirus) 제품 갱신(renewal) 시기가 오면 고민할 것이다. 저렴하고 쉽게 마이그레이션할 수 있는 마이크로소프트(MS) 솔루션으로 갈 것이냐, Cylance, CrowdStrike, Carbon Black 같은 신생 업체의 솔루션을 써볼 것이냐? 최근 MS는 맥용 백신 Microsoft Defender ATP for Mac도 출시하면 그 영역과 시장을 넓혀가고 있다. 과거 윈도우 플랫폼만 지원해서 별도의 솔루션을 채택해야 했던 기업들은 MS의 솔루션을 쉽게 선택할 수 있을 것이다.

팔로알토 네트웍스(Palo Alto Networks)가 방화벽 시장에서 시스코, 주니퍼 등의 기존 강자를 무너뜨리고 정상에 우뚝 선 것처럼, EDR 시장에서도 그런 상황이 벌어질지 기대가 된다. 현재 외적으로 보이는 상황을 보면 크라우드스트라이크(CrowdStrike)가 팔토알토 네트웍스처럼 기존 강자들을 물리치며 왕좌를 차지하는 모양새다. 사일런스(Cylance)는 블랙베리의 등에 올라타 추격을 하고 있지만, 격차가 커 보인다. 그렇다고 단정하긴 이르다. 크라우드스트라이크가 비저너리에서 리더로 단숨에 퀀텀 점프 한 것처럼 인수합병, 투자 등을 통해서 그 위상이 바뀔 수 있기 때문이다.

이번 포스트에서는 겉으로 보이는 시장 상황과 트렌드 위주의 시각으로 적었다. 다음에 기회가 되면 기술적인 분석을 통해서 벤더별 장단점을 분석·평가해 보고 싶다.



* 참조 사이트

미국 클라우드 보안시장 전망 및 기업동향 (KOTRA)

전 세계 클라우드 보안시장, 2020년 10조원 규모 성장 (디지털타임스)

[기획특집] 고도화 되는 사이버 위협, 새로운 보안 모델이 떠오른다 (ITDaily)

EDR 주요 기능 (뉴딜코리아)

2018년 EDR 보안시장, 봄바람이 분다 (보안뉴스)

EDR, 보안의 미래 될까? (안랩)

인공지능 단 'EDR', 보안 시장 메카 될까 (머니투데이)

요즘 뜨고 있는 EDR 솔루션에 대해서.. (학주니닷컴)

블랙베리의 지치지 않는 ‘보안’ 사랑…AI 보안업체 ‘사일런스’ 인수 (바이라인네트워크)

Sophos Positioned as a Leader in Gartner 2018 Magic Quadrant for Endpoint Protection Platforms (Sophos)

Gartner names Microsoft a Leader in 2019 Endpoint Protection Platforms Magic Quadrant (Microsoft)

Duelling Unicorns: CrowdStrike Vs. Cylance In Brutal Battle To Knock Hackers Out (Forbes)


Saturday, October 26, 2019

분석맨의 영화 한줄평


감상한 영화 모두 감상 후기를 적기 쉽지 않으니, 한 줄 평으로 남겨본다.

        - 회사에서 짤려도 웃자. 나는 할 수 있다!

        - 미션 임파서블 보다 더 강력한 액션. 주인공이 두 명이라서...?

         - 인류 멸망, 신인류의 조건은 모성애.
         - [영화 리뷰] 나의 마더 / I Am Mother (2019) - 줄거리와 해석

        - 영웅은 방학이 없다. 그래도, 여자 친구는 사귄다.

        - 욕과 액션의 절묘한 조화. 웃으며 보는 코미디 스파이 영화.

        - 가족을 위해서라면 불 속에라도 뛰어든다.

        - Salt (2010)와 비슷한 여성 요원의 리얼 액션. 하지만 안젤리나 졸리 포스는 따라가기 힘들다.

        - SNS 스릴러를 개척한 영화. 한국인이라면 무조건 봐야할 영화.
        - [영화 리뷰] 서치 / Searching (2018) - SNS 스릴러의 새 장을 열다




Friday, October 25, 2019

[영화 리뷰] 굿모닝 에브리원 / Morning Glory (2010) - 일에 대한 열정


영화 평점
IMDB - 6.5, 로튼 토마토 지수 - 55% (2019년 10월 26일 현재)


금요일 밤, 쓰나미 같은 피곤함이 몰려와 소파에 누워 아이폰으로 아마존 프라임 영화를 브라우징하다 보게 된 영화다. 한국에서는 '모닝 글로리'가 아닌 '굿모닝 에브리원'이란 제목으로 바뀌어 개봉되었다. 젊은 직장인 여성 대상의 코미디 영화다. 여배우 '레이첼 맥아담스(Rachel McAdams)'의 매력을 한껏 느낄 수 있다. 그녀 주연의 영화로는 '어바웃 타임(About Time)', '시간 영행자의 아내(The Time Traveler's Wife)', '셜록 홈즈(Sherlock Homes)', '노트북(The Notebook)' 등이 있다.

특이하게도 영화 스타트렉, 스타워즈 부류의 SF와 미션 임파서블3, 각종 유명 미드(앨리어스, 로스트, 프린지, 퍼슨 오브 인터레스트)로 제작 및 감독으로 유명한 J.J. 에이브럼스(J.J. Abrams)가 프로듀서다. 감독은 <악마는 프라다를 입는다>, <노팅힐>을 만든 로저 미첼(Roger Michell).

로맨틱한 요소는 거의 없애고 좌충우돌한 직장 생활, 일에 대한 열정, 성공에 대한 노력, 그리고 자신의 성공을 위해 다른 사람을 저버리지 않는 따뜻한 인간미와 감동으로 잘 버무렸다.

'Morning Glory' Trailer HD (유튜브, 02:28)

지방 대학 출신, 변변치 않은 스펙을 가진 베키 풀러(레이첼 맥아담스)는 방송국 PD로 온종일 일만 생각하는 워커홀릭 커리어 우먼이다. 첫 데이트에서도 회사에서 올려오는 전화를 뿌리치지 못하고 받아야 한다. 심지어 남자 친구와 침대로 향하는 순간에도 일이 생각나면 멈추고 달려 나간다. 일에 대한 열정으로 불타있다. 이런 열정과 성실함으로 일하던 베키에게도 해고의 화살은 피해가지 않는다.

하지만 이런 백조의 순간에도 그녀는 웃음과 발랄함을 잃지 않고 열심히 구직 활동을 한다. 결국, 스펙도 이기는 열정으로 IBS라는 방송국의 아침 프로그램 '데이 브레이크(Daybreak)'를 맡게 된다. 이렇게 힘들게 들어간 순간도 잠시, 시청률이 낮아 폐방 위기에 놓인 쇼를 살리기 위해 고군분투하는 그녀의 모습은 우리네 직장 생활이다. 이런 안타까움도 해리슨 포드, 다이안 키튼과 같은 중역 배우의 원숙한 연기와 잘 맞춰져 보는 내내 웃음과 재미를 선사한다.


이 영화를 보며 20대 시절, 회사에서 나의 모든 시간을 보내며 지내던 직장 시절이 떠올랐다. 그때는 집보다 회사가 더 오래 생활하는 곳이었고 친숙한 곳이었다. 새로 배우는 모든 것이 시기하고 호기심이 많던 꿈과 같았던 시기다.

이젠 나이를 먹어서일까? 일에 대한 열정과 호기심을 갖기 힘들다. 20년 넘게 같은 직종에서 일했으니 당연한 걸까? 한 분야에서 평생 혼신을 다하며 열정을 잃지 않는 '장인'을 생각해본다. 다시 한번, 일에 대한 열정과 호기심을 떠올려보며... 희망을 주는 마이크 포메로이(해리슨 포드)의 대사로 마무리해 본다.

Nobody really cares that I can do this job, but... but I can.
아무도 진짜 내가 이 일을 할 수 있다고 신경쓰지 않지만, 난 할 수 있어.