글로벌 보안 시장 판세를 보면 클라우드 중심으로 무게 중심이 옮겨가는 흐름이 두드러진다. 코로나19 상황 이후엔 특히 그렇다. 클라우드 보안을 주특기로 투자를 유치하는 스타트업들도 쏟아진다. IT인프라를 넘어 보안 쪽에서도 클라우드는 변화를 상징하는 키워드가 됐다.

크라우드스트라이크는 2011년 설립 당시부터 지금까지 클라우드 보안 서비스 사업에만 집중하는 대표적인업체 중 하나다. B2B SaaS 측면에서도 주목할 만한 ‘거리’들을 많이 가진 회사이기도 하다.

CrowdStrike celebrates its initial public offering at the Nasdaq stock exchange in New York City. COURTESY OF CROWDSTRIKE from Fortune

전통적인 백신과 다른 머신러닝 기반 행위 분석으로 승부

크라우드스트라이크는 나스닥에 상장됐고 올해 1월로 끝난 2021년 회계연도엔 8억7400만달러 매출을 기록했다. 25일 현재 기업 가치는 537억달러다. 팔로알토 네트웍스 같은 네트워크 보안 업체들을 앞섰다.

크라우드스트라이크 간판 제품은 클라우드 기반 EDR(Endpoint Detection & Response) 서비스다.

EDR은 PC부터 시작해 스마트폰까지 기업 사용자들이 쓰는 엔드포인트(단말기) 보안 솔루션인데, 기존 백신과는 차이가 있다.

우리가 알고 있는 백신 제품은 통상 시그니처((SIGNATURE, 이미 수집된 악성코드 데이터)를 기반으로 악성코드를 막는데 초점이 맞춰져 있다. 반면 EDR은 기업들이 백신으로는 막을 수 없는, 알려지지 않은 악성코드에 대응할 수 있도록 지원한다. 기존 백신으로 잡을 수 없는 악성코드를 잡기 위해 EDR을 도입하는 기업들이 조금씩 늘고 있다.

악성코드 행위를 파악하기 위해 크라우드스트라이크는 머신러닝 인공지능(AI) 기술을 활용한다. 나름 정교한 탐지 능력을 갖췄다는게 회사 측 설명이다.

크라우드스트라이크는 EDR 외에 차세대 백신을 표방하는 EPP(Endpoint Protection Platform) 솔루션도 제공한다. 크라우드스트라이크 EPP는 백신 역할을 하지만 기존 백신처럼 시그니처 기반은 아니다. EDR과 마찬가지로 머신러닝 AI를 활용한 행위 분석으로 악성코드를 잡는다는 점을 회사측은 강조하고 있다.

크라우드스트라이크는 머신러닝을 활용한 악성코드 행위 분석이 현재 나와 있는 악성코드 대응 방법 중 가장 진화된 방식이라는 점을 부각해왔다.

머신러닝을 투입하면 시그니처 기반 백신은 물론 샌드박스를 활용하는 기존 지능형 지속 공격(advanced persistent threat, APT)과 비교해 알려지지 않은 악성코드를 좀더 잘 막을 수 있다는 것이 회사측 주장이다.

왜 클라우드인가

크라우드스트라이크가 글로벌 보안 업계에서 주목을 끈 것은 시만텍 등 유명 보안 업체들이 버틴 미국 시장에서 고성장을 해왔다는 점과도 무관치 않다.

거대 보안 업체들을 상대로 기업 고객들을 확대해 가면서 시그니처나 샌드박스가 아닌 머신러닝 기반 행위 분석 기술이 갖는 잠재력을 입증하고 있다는게 회사측 설명이다.

크라우드스트라이크에 따르면 머신러닝을 활용하면 정확도 외에도 몇가지 장점이 더 있다. 우선 엔드포인트 기기에 시그니처 데이터를 수시로 업데이트할 필요가 없다. 시그니처 데이터가 계속 업데이트될 경우 시스템 지연이나 충돌에 원인이 될 수도 있는데, 크라우드스트라이크 EDR은 머신러닝 알고리즘만 들어가기 때문에 업데이트를 할 필요가 거의 없고 CPU도 상대적으로 덜 잡아먹는다.

크라우드스트라이크는 클라우드 기반 EDR과 EPP 외에 자체 위협 인텔리전스 서비스도 제공한다. 크라우드스트라이크 위협 인텔리전스 서비스는 전세계 주요 공격 그룹과 다크웹 정보를 포함하며 머신러닝 행위 분석 정확도를 끌어올리는데도 의미 있는 발판이 되고 있다.

크라우드스트라이크는 EDR을 포함한 모든 서비스를 퍼블릭 클라우드 환경에서 제공한다. 설치형 버전은 아예 없다. 설립할 때부터 지금까지 계속해서 클라우드 온니(Only) 서비스만 제공하고 있다.

나름 이유가 있다. 우선 머신러닝 알고리즘을 돌리는데 필요한 데이터 확보 측면에서 온프레미스(구축형)보다는 클라우드가 효율적이다. 공격 그룹들에 노출될 가능성을 줄일 수 있다는 측면에서도 클라우드가 유리하다고 회사측은 설명한다. 온프레미스형 보안 제품은 공격자들이 구매해서 여기저기 살펴볼 수 있지만 핵심 기술이 클라우드에 있으면 이렇게 하기가 상대적으로 어렵다는 이유에서다.

단일 엔진 기반으로 구독형 기능을 계속 확대하다

크라우드스트라이크 인수합병(M&A)을 통해 제공하는 클라우드 서비스 기능을 계속 확대해 나가고 있다. 기능을 확대하는 가운데서도 변치 않는 것은 모든 서비스들이 단일 엔진인 '팔콘' 플랫폼에서 돌아간다는 점이다.

크라우드스트라이크가 제공하는 서비스들을 팔콘 플랫폼에 기반하며 각각의 기능을 구독형 서비스로 이용할 수 있다. 구독 모델은 사용자 과금 방식이다. 단일 엔진에 기반하는 만큼, 관리 및 성능 측면에서 효율적이라고 회사측은 강조한다.

크라우드스트라이크는 미국 시장에서 거점을 확보한 이후 글로벌 시장 공략에도 속도를 내고 있다. 지난해에는 한국 시장에도 진출했다. 한국에서 크라우드스트라이크는 클라우드 보안에 진입 장벽이 있는 공공과 금융 시장보다는 일반 기업 시장 공략에 초점을 맞추고 있다.

IT인프라의 무게 중심이 클라우드로 넘어가는 흐름이 가속화되는 상황에서 보안 분야가 면치 않고 남아 있을 수는 없다. 글로벌 보안 시장은 한국과 비교해 클라우드로 무게 중심이 이동이 더욱 빠르게 펼쳐지는 양상이다. 이같은 상황은 결국 한국 시장에도 일정 부분 영향을 미칠 수 밖에 없다. 시간 차는 있을지 몰라도 한국 기업 보안 시장도 클라우드 지분이 커지는 것은 시간 문제로 보인다.

일찌감치 클라우드 보안 시장에 뛰어들어 글로벌 기업으로 성장했고 지금도 여전히 클라우드 보안에 집중하고 있는 크라우드스트라이크의 행보를 더욱 주목하는 이유다.