▶ 업데이트
✓ 크라우드스트라이크(CrowdStrike)가 2020년 6월 초 한국에 영업 조직을 꾸리고 파트너와 고객사 확보에 나섰다. 내년에 한국 지사 설립 예정.- 관련 기사: 크라우드스트라이크, 韓 공략 본격화…내년 지사 설립 (아이뉴스24)
✓ 브로드컴(Broadcom)이 2019년 8월 보안업체 강자였던 시맨텍(Symantec)의 보안 사업부를 인수한 후, 2020년 4월 컨설팅 업체인 액센츄어(Accenture)가 시맨택을 다시 인수했다. (기존 시맨텍의 소비자 보안 제품인 '노턴 라이프락(Norton LifeLock)'은 제외)
✓ 2019년 10월 8일, VMware가 카본블랙(Carbon Black)을 인수함.
- 관련 기사: 카본블랙 인수하는 VM웨어의 보안 전략은 (바이라인네트워크)
---
페이스북에 올라온 스타트업 얼라이언스 임정욱 센터장의 '크라우드스트라이크의 IPO'에 대한 포스트를 보고 댓글을 달았었는데, 그때 떠올랐던 생각들과 자료 조사를 추가해 블로그에 적어본다. 기술적으로 더 공부하고 올리려고 하니 자꾸 미루게 돼서 겉으로 보이는 시장 상황과 개요 수준에서 일단 포스팅한다.
수개월 전 크라우드스트라이크(CrowdStrike) 세일즈팀에서 연락이 와서 우리 회사 InfoSec 보안담당자와 같이 프리젠테이션으로 제품 설명을 들었다. 솔직히 요즘 신생 사이버 보안 제품/솔루션들이 너무나 많고 비슷비슷해서 PoC 테스트를 해도 쉽게 특정 업체를 선정하기 어렵다. 과히 보안 스타트업의 춘추전국 시대라고 생각한다. 대부분의 업체가 '우리는 클라우드 보안 업체이고, AI/머신러닝 기술을 사용하며, 다른 업체보다 뛰어나다'고 주장한다.
 |
| <이미지 출처: BlueCoat.com> |
▶ 클라우드 보안 시장
이는 최근 몇 년간 랜섬웨어(ransomware) 등으로 보안 위협이 높아져 클라우드 기반 보안 솔루션 도입이 증가하고 있다. 중소기업의 경우 보안 전담 인력을 두기 힘들어 솔루션 활용과 유지보수가 간편한 클라우드 기반 보안 서비스를 선호한다. 가트너에 따르면, 클라우드 기반 보안 서비스 중 이벤트 및 사고 관리 등 통합로그분석시스템(SIEM), ID접근관리(IAM)와 같은 기술이 가장 빠르게 성장하고 있으며, 이메일 보안, 웹보안, ID 및 IAM은 기업에서 클라우드 보안 우선순위 상위 3위에 든다고 분석했다.
 |
| <자료 출처: KOTRA> |
이미 보안 선두업체들은 인수합병을 통해 클라우드 보안 분야에 공격적인 투자를 하고 있다. 네트워크 장비업체인 시스코(Cisco)는 기업용 클라우드 보안 솔루션 강자인 클라우드락(CloudLock)과 오픈DNS(OpenDNS), 시만텍(Symantec)은 블루코드(Blue Coat), 최근엔 블랙베리(BlackBerry)가 사일런스(Cylance)를, 가장 최근에는 드렌드마이크로(Trend Micro)가 클라우드 보안 형상 관리(CPMS: Cloud Security Posture Management) 기업인 '클라우드 콘포미티(Cloud Conformity)'를 인수했다. 시만텍의 블루코드 인수는 지난 10년간 전 세계 보안 업계에서 이루어진 인수 합병 중 가장 큰 규모다.
이외에도 IBM은 Resilient Systems를 인수하고 사이버 보안 분야에 20억 달러에 달하는 연구개발 투자를 하고 있다. 마이크로소프트(Microsoft)도 2015년 이스라엘 클라우드 보안업체 아달롬(Adallom)을 2억5천만달러, 2017년 이스라엘 보안 스타트업인 헥사다이트(Hexadite)를 1억달러 등을 인수하며 클라우드 보안 역량을 강화하고 있다.
클라우드 전문 보안 업체로 2012년에 주식 상장(IPO)한 클라우드 보안업체 퀄리스(Qualys)는 나스닥(NASDAQ)에서 3.5B(약4조원 이상), 2018년에 상장한 지스케일러(Zscaler)는 10B(약11조원 이상)의 가치를 지닌 업체로 성장했다. (2019년 10월 현재)
▶ 차세대 보안의 미래, EDR
최근 보안 분야에서 가장 핫한 솔루션은 EDR (Endpoint Detection & Response)이다. 번역하면, '엔드포인트 위협 탐지 및 대응'이다. 그럼, EDR 솔루션이 무엇이고 어떻게 동작하는가?
엔드포인트는 말 그대로 사용자의 단말기 즉, PC, 스마트폰, 태블릿 등을 말한다. 보안의 범위가 사물인터넷(IoT)까지 확대되면서 엔드포인트 시장이 확대되고 있다.
이는 피싱(phishing), 랜섬웨어(ransomware), 크리덴셜 스터핑(credential stuffing), APT(Advanced Persistent Threat, 지능형 지속위협) 등의 사이버 위협이 지속해서 고도화, 지능화되고 있기 때문이다. 이에 보안 업계는 기존 네트워크 보안, 백신(안티바이러스) 중심의 경계 보안 중심의 체계에서 벗어나 새로운 보안 체계를 구축해야 한다는 인식을 같이했다. 특히 네트워크를 넘어 엔드포인트에서 사이버 위협 대응 방안을 제시하는 ‘엔드포인트 탐지 및 대응(Endpoint Detection & Response / EDR)’, 사이버 공격자 기만 기술인 ‘사이버 디셉션(Cyber Deception)’ 등 여러 모델에 주목하고 있으며, 데이터 분석 작업을 전제로 하는 ‘사이버 위협 헌팅(Cyber Threat Hunting)’, 구축된 보안 체계의 유효성, 효율성을 분석하는 ‘마이터 어택(MITER ATT&CK)’ 등에 대해서도 논의가 이뤄지고 있다.
보안 업계는 대부분의 사이버 공격은 '엔드포인트(Endpoint)'에서 시작한다는 점에 주목했다.
엔드포인트에서 시작된 공격은 조직 내 중요 정보를 탈취하기 위해 측면이동으로 감염범위를 확대하고 정보를 수집한다. 이런 공격을 탐지하기 위해선 엔드포인트에 대한 가시성을 확보해야 하며, 엔드포인트로부터 다양한 정보를 수집하고, 이를 분석해 위협을 탐지 및 대응할 수 있어야 한다는 것이다.
이런 개념에서 등장한 EDR은 ETDR(Endpoint Threat Detection & Response)이라는 이름으로 가트너에 의해 2013년 소개됐다. 이후 본격적으로 시장의 관심을 받기 시작했고 2015년 EDR로 명칭이 변경됐다. 즉, 공격자가 이미 조직 내 침투해 있다는 것을 가정하고, 빠르게 공격자를 탐지하고 대응하는 것이 최근의 보안 트렌드라 할 수 있다.
초기 EDR 개념에 따르면, ‘EDR’은 엔드포인트의 행위와 이벤트를 기록하고 수집된 데이터를 기반으로 다양한 기술을 활용해 공격을 탐지하고 대응하는 솔루션이다. 가트너가 제시한 EDR의 네 가지 주요 기능(Four Primary Capabilities)은 아래와 같다.
- Detecting security incidents, rather than just file-based malware. (보안 침해 탐지)
- Containing security incidents. (보안 통제)
- Investigating security incidents, and threat hunting. (보안 침해 조사)
- Providing response capabilities to recover from a security incident. (엔드포인트 치료)
 |
| ▲ 가트너가 제시한 EDR의 주요 기능 4가지 (출처: SK인포섹) |
어느 보안 업계 관계자는 기존 백신(안티바이러스)과 비교하여 다음과 같이 비교하기도 했다. “공항 출입심사에서 이미 작성된 블랙 리스트로 테러리스트 용의자를 찾는 방식이 기존 안티바이러스 방식이라면, EDR은 공항 곳곳에 설치된 CCTV로 거동 수상자를 식별하는 방식”이다.
EDR 분야는 RSA 2016 컨퍼런스에서 다시 소개되며 주목받기 시작했다. 글로벌 시장조사기관 가트너에 따르면, 미국의 2016년 EDR 시장은 6억 달러 이상, 2015년부터 2020년까지 연평균성장률(CAGR)은 45.27%로 기존 글로벌 백신(안티 바이러스) 시장 성장률 2.0%와 큰 차이를 보인다.
EDR 분야는 RSA 2016 컨퍼런스에서 다시 소개되며 주목받기 시작했다. 글로벌 시장조사기관 가트너에 따르면, 미국의 2016년 EDR 시장은 6억 달러 이상, 2015년부터 2020년까지 연평균성장률(CAGR)은 45.27%로 기존 글로벌 백신(안티 바이러스) 시장 성장률 2.0%와 큰 차이를 보인다.
 |
| <참조: 보안뉴스> |
2018년 1월 크라우드스트라이크(CrowdStrike)는 IT 업계에서의 기업 위상을 알려주는 가트너 매직 쿼드런트(Gartner Magic Quadrant)의 엔드포인트 보호 플랫폼(Endpoint Protection Platform, EPP)* 분야에서 사일런스(Cylance), 카본블랙(Carbon Black), 센티넬원(SentinelOne), 시스코(Cisco) 등과 함께 '비저너리(Visionaries)'의 위치에 있었다. 이 분야의 '리더(leaders)' 업체는 시만텍(Symantec), 소포스(Sophos), 트렌드마이크로(TrendMicro), '챌린저(Challengers)'에는 이셋(ESET)이 위치해 있었다.
가트너 매직 쿼드런트의 위상은 Niche Players -> Visionaries -> Challengers -> Leaders 순으로 그 위상이 높다.
비저너리 업체 중에서 2018년 카본블랙(Carbon Black)이 IPO 했고 (현재 NASDAQ, 1.14B) , 또 다른 유니콘이었던 사일런스(Cylance)를 캐나다 스마트폰 회사 블랙베리(BlackBerry)가 올해 $1.4B(1조5천억원) 인수했다. 최근엔 센티넬원(SentinelOne)이 삼성을 포함한 회사들에서 $120M 투자를 받았다는 기사가 났다.
놀라운 점은 이렇게 '비저너리(Visionaries)'에 위치에 있던 크라우드스트라이크(CrowdStrike)가 2년도 안 되어서 전통 강자들과 함께 '리더(leaders)'의 위치로 퀀텀 점프했다. 창업한 지 불과 10년 만에 37년의 시만택, 32년의 맥아피, 30년의 트랜드마이크로 등을 위협하고 있다. 2018년 크라우드스트라이크와 함께 비저너리 위치에 있던 마이크로소프트(Microsoft)도 리더의 위치로 같이 포지셔닝했다. 이는 MS의 보안에 대한 투자 규모나 기업의 규모로 볼 때 이미 예상했던 일이다. 팔로알토 네트웍스는 차세대 방화벽(Next Generation Firewall) 시장에서 왕좌를 차지한 후, 엔드포인트와 클라우드로 시장 영역을 넓히고 있지만, EDR 신생 업체 만큼 주목을 받진 못하고 있다. 필자 생각에, 블랙베리가 아닌 팔로알토 네트웍스가 사일런스(Cylance)를 인수했으면 더 시너지가 나지 않았을까 싶다. 하지만 팔로알토 네트웍스의 과거 인수합병을 보면 규모가 큰 기업은 없는 상황이다.
방화벽 시장의 리더 중 하나인 포티넷(Fortinet)은 최근 11월 지능형 엔드포인트 보안 전문기업 ‘엔실로(enSilo)’를 인수했다. 포티넷은 엔실로의 EDR 기술을 자사 솔루션과 통합해 추가적인 보안효과를 제공할 계획이다.
* EPP(Endpoint Protection Platform)란?
2015년부터 가트너가 들고나온 EPP는 기업 보안 플랫폼으로 PC, 스마트폰, 태블릿 등과 같은 기업의 업무 환경에서 사용하는 엔드포인트의 디바이스를 다양한 위협으로부터 보호하는 솔루션을 의미한다.
EPP와 EDR 솔루션의 주요 차이점은 EPP 솔루션이 자동화된 엔드포인트에서의 위협을 차단하는 정적 탐지 방법에 중점을 두지만 EDR 솔루션은 여러 IOC(Indicator of Compromise, 침해지표)를 활용하여 고급 공격 및 위협 요소를 식별하고자 한다.
* 관련 기사:
블랙베리 사일런스의 경우, EPP·EDR 두 제품을 하나의 에이전트로 통합하고 있기도 하다.
"사일런스, EPP-EDR 두 제품을 원에이전트로 통합...한국 시장 적극 공략" (데일리시큐)
방화벽 시장의 리더 중 하나인 포티넷(Fortinet)은 최근 11월 지능형 엔드포인트 보안 전문기업 ‘엔실로(enSilo)’를 인수했다. 포티넷은 엔실로의 EDR 기술을 자사 솔루션과 통합해 추가적인 보안효과를 제공할 계획이다.
* EPP(Endpoint Protection Platform)란?
2015년부터 가트너가 들고나온 EPP는 기업 보안 플랫폼으로 PC, 스마트폰, 태블릿 등과 같은 기업의 업무 환경에서 사용하는 엔드포인트의 디바이스를 다양한 위협으로부터 보호하는 솔루션을 의미한다.
EPP와 EDR 솔루션의 주요 차이점은 EPP 솔루션이 자동화된 엔드포인트에서의 위협을 차단하는 정적 탐지 방법에 중점을 두지만 EDR 솔루션은 여러 IOC(Indicator of Compromise, 침해지표)를 활용하여 고급 공격 및 위협 요소를 식별하고자 한다.
* 관련 기사:
블랙베리 사일런스의 경우, EPP·EDR 두 제품을 하나의 에이전트로 통합하고 있기도 하다.
"사일런스, EPP-EDR 두 제품을 원에이전트로 통합...한국 시장 적극 공략" (데일리시큐)
국내 기업 안랩도 통합을 진행하고 있고, 전체적인 현재 시장 상황은 EDR·EPP가 빠르게 융합되고 있으며 단일 매니지먼트 형태로 전환될 것이다.
▶ 사일런스(Cylance)와 크라우드스트라이크(CrowdStrike) 뒷이야기, '동지에서 적으로'
비하인드 스토리로 사일런스(Cylance) 창업자 Stuart McClure와 크라우드스트라이크(CrowdStrike) 창업자 George Kurtz에 대한 이야기가 있다. 둘은 파운드스톤(Foundstone)이란 보안 업체를 공동 창업해서 2004년에 맥아피(McAfee)에 넘긴 동업자 사이다. 하지만 이후 서로 틀어져서 앙숙이 되었다. 보안 베스트셀러 서적으로 'Hacking Exposed'란 책이 있는데, McClure는 Kurtz가 한 챕터밖에 안 썼으면서 자신의 책인 것처럼 행사한다고 주장하고, Kurtz는 3분의 1이나 썼다고 반박하며 싸우기도 했다. 누가 진실을 말하고 있는지는 아직 모르겠다.
그렇다면 이렇게 보안 분야에서 뜨고 있는 EDR 시장의 승자는 누가 될까?
국내에서도 SK인포섹, 안랩, 지니언스, 엔피코어, 이노티움, 큐브피아, 하우리 등이 EDR 시장을 적극적으로 공략하고 있다. 하지만, 아직 국내 기업이 글로벌하게 진출하거나 해외 시장에서 두각을 나타내지 못하고 있다.
* 함께 읽어보면 좋은 관련 글: 한국 보안기업 글로벌화의 문제점
▶ EDR 시장의 왕좌는 누구?
그렇다면 이렇게 보안 분야에서 뜨고 있는 EDR 시장의 승자는 누가 될까?
국내에서도 SK인포섹, 안랩, 지니언스, 엔피코어, 이노티움, 큐브피아, 하우리 등이 EDR 시장을 적극적으로 공략하고 있다. 하지만, 아직 국내 기업이 글로벌하게 진출하거나 해외 시장에서 두각을 나타내지 못하고 있다.
* 함께 읽어보면 좋은 관련 글: 한국 보안기업 글로벌화의 문제점
기업 보안 담당자들은 백신(AntiVirus) 제품 갱신(renewal) 시기가 오면 고민할 것이다. 저렴하고 쉽게 마이그레이션할 수 있는 마이크로소프트(MS) 솔루션으로 갈 것이냐, Cylance, CrowdStrike, Carbon Black 같은 신생 업체의 솔루션을 써볼 것이냐? 최근 MS는 맥용 백신 Microsoft Defender ATP for Mac도 출시하면 그 영역과 시장을 넓혀가고 있다. 과거 윈도우 플랫폼만 지원해서 별도의 솔루션을 채택해야 했던 기업들은 MS의 솔루션을 쉽게 선택할 수 있을 것이다.
팔로알토 네트웍스(Palo Alto Networks)가 방화벽 시장에서 시스코, 주니퍼 등의 기존 강자를 무너뜨리고 정상에 우뚝 선 것처럼, EDR 시장에서도 그런 상황이 벌어질지 기대가 된다. 현재 외적으로 보이는 상황을 보면 크라우드스트라이크(CrowdStrike)가 팔토알토 네트웍스처럼 기존 강자들을 물리치며 왕좌를 차지하는 모양새다. 사일런스(Cylance)는 블랙베리의 등에 올라타 추격을 하고 있지만, 격차가 커 보인다. 그렇다고 단정하긴 이르다. 크라우드스트라이크가 비저너리에서 리더로 단숨에 퀀텀 점프 한 것처럼 인수합병, 투자 등을 통해서 그 위상이 바뀔 수 있기 때문이다.
이번 포스트에서는 겉으로 보이는 시장 상황과 트렌드 위주의 시각으로 적었다. 다음에 기회가 되면 기술적인 분석을 통해서 벤더별 장단점을 분석·평가해 보고 싶다.
▶ 함께 읽어보면 좋은 관련 글:
가장 강력한 사이버보안 벤더 TOP 10
* 참조 사이트
미국 클라우드 보안시장 전망 및 기업동향 (KOTRA)
전 세계 클라우드 보안시장, 2020년 10조원 규모 성장 (디지털타임스)
[기획특집] 고도화 되는 사이버 위협, 새로운 보안 모델이 떠오른다 (ITDaily)
EDR 주요 기능 (뉴딜코리아)
2018년 EDR 보안시장, 봄바람이 분다 (보안뉴스)
EDR, 보안의 미래 될까? (안랩)
인공지능 단 'EDR', 보안 시장 메카 될까 (머니투데이)
요즘 뜨고 있는 EDR 솔루션에 대해서.. (학주니닷컴)
블랙베리의 지치지 않는 ‘보안’ 사랑…AI 보안업체 ‘사일런스’ 인수 (바이라인네트워크)
* 참조 사이트
미국 클라우드 보안시장 전망 및 기업동향 (KOTRA)
전 세계 클라우드 보안시장, 2020년 10조원 규모 성장 (디지털타임스)
[기획특집] 고도화 되는 사이버 위협, 새로운 보안 모델이 떠오른다 (ITDaily)
EDR 주요 기능 (뉴딜코리아)
2018년 EDR 보안시장, 봄바람이 분다 (보안뉴스)
EDR, 보안의 미래 될까? (안랩)
인공지능 단 'EDR', 보안 시장 메카 될까 (머니투데이)
요즘 뜨고 있는 EDR 솔루션에 대해서.. (학주니닷컴)
블랙베리의 지치지 않는 ‘보안’ 사랑…AI 보안업체 ‘사일런스’ 인수 (바이라인네트워크)
Top Endpoint Detection & Response (EDR) Solutions for 2021 (eSecurity Planet)
Sophos Positioned as a Leader in Gartner 2018 Magic Quadrant for Endpoint Protection Platforms (Sophos)Gartner names Microsoft a Leader in 2019 Endpoint Protection Platforms Magic Quadrant (Microsoft)
Duelling Unicorns: CrowdStrike Vs. Cylance In Brutal Battle To Knock Hackers Out (Forbes)
벤더별 장단점 분석 언제 올려주시나요
ReplyDelete