2017년 6월 3일 토요일

색다른 보안 서비스 plura

해킹을 실시간으로 분석해준다는 plura무슨 뜻이지? 다음은 처음 접했을 당시의 기사 한 토막.

시조새급 보안 기술인 '패턴매칭'을 사용하지만 '난 달라'라는 흔한 컨셉. 인공지능이 유행인 세상이지만 '패턴매칭'은 못버리는구나 하고 말았는데, 우연히 웹서핑하다 다시 접하게 됐다. 그런데 '무료 체험' 서비스를 하네?


기간 제한도 없고, 컴퓨터를 5대까지 등록할 수 있다. 궁금해서 가입해봤다. 에이전트를 설치하면 57개의 윈도우 감사정책 중 26개를 활성화시킨 후, 해당 이벤트 로그를 가져간다. 가격 정책에 따라 로그 수집 범위는 달라질 듯.


가져간 로그는 

자체 필터와 비교 후, 조건이 일치하면 대시보드에 표시되며, 이메일로 알림도 보내준다.


다음은 '방어(?) 완료' 필터 조건과 일치하여 탐지된 로그. 윈도우 필터링 플랫폼의 패킷 차단을 의미하는 5157 이벤트를 보여준다. 


필터링 플랫폼은 쉽게 얘기하면 윈도우 방화벽을 뜻하는데, 별도 정책이 없는 한 아웃바운드는 모두 허용, 인바운드는 모두 차단(요청 아웃바운드에 의한 응답 인바운드는 허용)이 기본 정책이다. 

그런데 애플리케이션 및 네트워크 상태나 TCP의 복잡다단한 동작 방식(3-way handshake 등) 등에 의한 것으로 보이는 아웃바운드 패킷 차단 이벤트가 종종 발생한다. (아직까지 인바운드 차단은 못봤음) 차단이라고 해서 무조건 겁줄 필요는 없다는 얘기.

좀 살펴보니 무료 사용자는 당일 발생 로그만 볼 수 있고, 통계 분석도 제공하지 않지만, 유료 사용자에게는 다양한 기간별 분석 및 필터 최적화 등의 기능을 제공하는 듯하다. 

필터 최적화만 잘 하면 쓸만할 듯

하지만 가능할까? IDS 류의 네트워크 보안 장비도 룰 최적화만 잘 하면 쓸만하지만 미국 포함, 수십 년 역사를 가진 업계도 못하는 (사실은 안 하는) 데는 다 이유가 있다.

패턴매칭 기반의 필터 최적화에만 매달려서는 고만고만한 수준을 벗어나기 힘들 것이다. 해법은 이상징후 분석. plura의 궁극적인 목표 역시 비슷할 것이다. 셀 수 있는 상태를 모두 세고, 그 숫자의 변화를 추적할 수 있는 체계를 만드는 것.


거기에 인공지능같은 걸 끼얹으면 쓸만하지 않을까? 그게 가능해지려면 필요한 건 역시 데이터. 괜히 무료 이용을 허용한 게 아니다. 데이터 수집이 그만큼 더 용이해지겠지. 구글, 페이스북 다 그렇게 장사하지 않나.

하지만 패키지가 아닌 서비스 기반으로 잘 될까? 내부 정보 유출에 대한 우려나, 사고 발생보다 그 사실이 외부로 알려지는 것을 더 두려워하는 경우가 많아서, 내부 데이터를 외부에 맡기는 것에 대한 거부감이 만만치 않을 텐데. 결정적으로 패키지는 도입만으로 성과 포장이 가능하다는 장점이 있어서.

패키지가 아닌 서비스라는 특성, 접근이 쉽다는 특성을 잘 살리려면, 먼저 개인 시장 개척을 통해 신뢰를 쌓아야 하지 않을까 싶은데, 그런 의미에서 '무료 체험' 서비스 도입은 긍정적으로 보인다. 개인 시장에서 '제 2의 백신' 정도의 인식까지 심어준다면 대박.

그리고 역시 서비스라는 특성을 잘 살리면 해외 시장 공략도 수월해 보인다. 아니, 해외를 먼저 공략해야 성공 가능성이 높아지지 않을까? 국내에서 보안 서비스 판매는 쉽지 않을 것이기 때문. (과거 이걸 해보고 싶었으나, 다들 장비만 팔고 깔끔하게 빠지는 걸 선호해서 -_-)

국내 보안 시장은 너무 좁아서 

회사를 유지하려면 비싸게 팔아야 하고, 비싸게 팔려니 소비층은 더 좁아지고, 좁은 소비층에 의지하려면 커스터마이징 열심히 해줘야 하고, 그러다 보면 품질은 안드로메다 가고 등등 어려운 점이 많지만, 그래도 고정 수요만 유지할 수 있다면 승산이 있다. 그래서 영업력이 중요.

데이터는 내줘야 하고, 커스터마이징도 안 해주고, 자산으로 잡을 실체도 없는 서비스 영업이 패키지보다 어려울 게 뻔하다. 국내에서 비싸게 팔려고 어렵게 영업하는 것보다, 넓은 소비층을 대상으로 싸게, 많이 파는 게 훨씬 편하지 않을까? 물론 기술력이 뒷받침된다는 전제에서 하는 얘기.

해외도 데이터 소유에 대한 거부감은 있겠지만, 눈에 안 보이는 소프트웨어에 대한 사용 문화가 다르고, 사고 발생 시 징벌 레벨이 다르니 개인 시장부터 착실히 신뢰를 쌓고, 효과를 보여준다면 승산이 있을 듯.

포럼 운영 등을 통해 로그 분석 노하우를 축적하려는 의지도 보이던데, 포럼이 활성화되려면 이용자가 늘어나야 하고, 그럴려면 더욱 해외 진출해야 한다. 괜히 말은 제주도로, 사람은 서울로 보내는 거 아님. 장사는 사람 많은 데서 해야지.

관련 글

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스