2018.03.05

글로벌 칼럼 | 스플렁크가 팬텀을 인수한 이유

Jon Oltsik | CSO
SIEM의 선도업체인 스플렁크(Splunk)는 팬텀(Phantom) 인수를 통해 시장의 모멘텀을 활용하고 보안 운영 및 분석 플랫폼(Security Operations and Analytics Platform Architecture, SOAPA)에 추가하고자 한다.

2월 27일 필자는 스플렁크가 팬텀 사이버 코퍼레이션(Phantom Cyber Corporation)을 3억 5,000만 달러(약 3,777억 원)에 인수하려고 한다는 소식을 받았다. 수년 전, IBM이 리질리언트 시스템즈(Resilient Systems)을 인수한 것처럼 스플렁크는 SIEM(Security Information and Event Management) 플랫폼에 전용 보안 운영 자동화 및 오케스트레이션 툴셋을 추가하기로 결정한 것이다.

스플렁크의 팬텀 인수, 4가지 이유
스플렁크가 팬텀을 인수하는 이유는 다음과 같은 것을 원하기 때문이다.

1. 스플렁크는 자체적인 적응 반응 이니셔티브(adaptive response initiative)를 정립하고자 한다.
지난 수년 동안 스플렁크는 보안 분석과 보안 제어 간의 폐쇄형 프로세스 자동화를 제공하는 적응 반응(adaptive response)이라 부르는 기술 분야에서 선도적인 역할을 해왔다. 이 기술은 분석 도구가 문제를 탐지하면 취약점 스캔 수행, 새로운 방화벽 규칙 작성, 또는 C&C 서버에 대한 네트워크 노드 검역 등 여러 유형의 대응 방법이 자동적으로 촉발하도록 프로그래밍할 수 있다. 스플렁크는 데미스토(Demisto), 리졸브 시스템즈(Resolve Systems), 시엠플리파이(Siemplify), 서비스나우(ServiceNow), 스윔레인(Swimlane) 등 다른 업체들에 대해 여전히 오픈형 적응 반응 전략을 취할 것이지만 프로세스 자동화/ 오케스트레이션 부문에서 사실상 자체적인 솔루션을 가져갈 것이다. 스플렁크는 대시보드 시장에서 성공적으로 수행한 것처럼 적응 반응 분야에서도 크라우드 소스를 시작하길 원한다.

2. 스플렁크는 마켓 모멘텀을 이용하는 것이다.
보안 운영 자동화 및 오케스트레이션은 이미 증가 추세에 있다. ESG 조사에 따르면, 1,000명 이상 기업의 19%가 이미 보안 운영 자동화 및 오케스트레이션을 위한 기술을 광범위하게 추가하고 있으며, 39%는 제한적으로 추가하고 26%는 이 기술을 추가하는 프로젝트에 종사하고 있으며, 13%는 가까운 미래에 구현하거나 관심을 갖게 될 것이라고 응답했다(참고로 필자는 ESG 직원이다). 스플렁크는 과거에도 이 시장 성장을 추진하고 있지만, 현재에도 이런 추세를 촉진하고 활용할 수 있다.

3. 고객의 생산성 향상을 지원하고자 한다.
기업들이 보안 운영 자동화 및 오케스트레이션을 수용하는 이유는 간단하다. 기업 보안팀이 직면한 문제는 점점 더 많아지는 보안 경고, 조사 및 수정 작업을 제대로 처리할 수 없다는 점이다. 특히 자체 사이버보안에 문제가 있다고 주장하는 조직의 51%가 사이버보안 인력 부족을 그 이유라고 응답한 것을 감안한다면 적절하다. 스플렁크는 팬텀 인수를 통해 고객의 생산성을 높이고 스플렁크 핵심에서 사용하고 있는 데이터를 수집, 처리, 분석하기 위한 시간을 확보하고자 한다.

4. 천천히, 그러나 확실하게 엔터프라이즈급 SOAPA 구축을 계속한다 
스플렁크는 행동 분석(behavioral analytics), 규정 준수(regulatory compliance), 사기 탐지(fraud detection) 및 내부자 위협(insider threat)과 같은 추가 기능으로 핵심 SIEM을 둘러싸고 있다. 인수 전에도 스플렁크는 파트너와 함께 탄탄한 SOAPA를 제공해왔다. 그러나 이제 팬텀을 통해 스플렁크는 대부분의 SOAPA 상자를 자체적으로 채울 수 있게됐다. 이는 수년동안 스플렁크가 통합 SOAPA 제공이라는 큰 그림을 그려온 것이다.

팬텀 인수에 대한 몇가지 생각
스플렁크와 팬텀은 서비스 제공업체와 협력해 기업들이 SOC를 구축, 설계하고 공식적인 사고대응계획을 작성할 수 있도록 지원하기를 원한다. 이는 수억 달러의 사업 기회일 수 있다.

비슷하게는 팬텀은 보안 자동화와 오케스트레이션 분야에서는 노련하지만 이를 알리는 역량은 자체 규모와 자원의 제약이 있었다. 마케팅, 훈련, 교육에 대해 스플렁크가 원활하게 채워줄 수 있다.

타이밍이 모든 것이다. 스플렁크와 팬텀은 향후 수년 동안 GDPR 계획, 개선 및 공황으로부터 이익을 얻을 것이다.

이번 인수는 이 시장을 더욱 정당화하며, 이 분야에서 다른 업체들을 따돌리는 효과를 갖고 왔다. 체크포인트(Check Point), 시스코(Cisco), 포스포인트(Forcepoint), 포티넷(Fortinet), 맥아피(McAfee), 팔로알토네트웍스(Palo Alto Networks), 시만텍(Symantec)과 같은 다른 업체들도 보안 운영자동화 및 오케스트레이션 개발업체를 인수하는 바람이 불지 모른다. editor@itworld.co.kr  


2018.03.05

글로벌 칼럼 | 스플렁크가 팬텀을 인수한 이유

Jon Oltsik | CSO
SIEM의 선도업체인 스플렁크(Splunk)는 팬텀(Phantom) 인수를 통해 시장의 모멘텀을 활용하고 보안 운영 및 분석 플랫폼(Security Operations and Analytics Platform Architecture, SOAPA)에 추가하고자 한다.

2월 27일 필자는 스플렁크가 팬텀 사이버 코퍼레이션(Phantom Cyber Corporation)을 3억 5,000만 달러(약 3,777억 원)에 인수하려고 한다는 소식을 받았다. 수년 전, IBM이 리질리언트 시스템즈(Resilient Systems)을 인수한 것처럼 스플렁크는 SIEM(Security Information and Event Management) 플랫폼에 전용 보안 운영 자동화 및 오케스트레이션 툴셋을 추가하기로 결정한 것이다.

스플렁크의 팬텀 인수, 4가지 이유
스플렁크가 팬텀을 인수하는 이유는 다음과 같은 것을 원하기 때문이다.

1. 스플렁크는 자체적인 적응 반응 이니셔티브(adaptive response initiative)를 정립하고자 한다.
지난 수년 동안 스플렁크는 보안 분석과 보안 제어 간의 폐쇄형 프로세스 자동화를 제공하는 적응 반응(adaptive response)이라 부르는 기술 분야에서 선도적인 역할을 해왔다. 이 기술은 분석 도구가 문제를 탐지하면 취약점 스캔 수행, 새로운 방화벽 규칙 작성, 또는 C&C 서버에 대한 네트워크 노드 검역 등 여러 유형의 대응 방법이 자동적으로 촉발하도록 프로그래밍할 수 있다. 스플렁크는 데미스토(Demisto), 리졸브 시스템즈(Resolve Systems), 시엠플리파이(Siemplify), 서비스나우(ServiceNow), 스윔레인(Swimlane) 등 다른 업체들에 대해 여전히 오픈형 적응 반응 전략을 취할 것이지만 프로세스 자동화/ 오케스트레이션 부문에서 사실상 자체적인 솔루션을 가져갈 것이다. 스플렁크는 대시보드 시장에서 성공적으로 수행한 것처럼 적응 반응 분야에서도 크라우드 소스를 시작하길 원한다.

2. 스플렁크는 마켓 모멘텀을 이용하는 것이다.
보안 운영 자동화 및 오케스트레이션은 이미 증가 추세에 있다. ESG 조사에 따르면, 1,000명 이상 기업의 19%가 이미 보안 운영 자동화 및 오케스트레이션을 위한 기술을 광범위하게 추가하고 있으며, 39%는 제한적으로 추가하고 26%는 이 기술을 추가하는 프로젝트에 종사하고 있으며, 13%는 가까운 미래에 구현하거나 관심을 갖게 될 것이라고 응답했다(참고로 필자는 ESG 직원이다). 스플렁크는 과거에도 이 시장 성장을 추진하고 있지만, 현재에도 이런 추세를 촉진하고 활용할 수 있다.

3. 고객의 생산성 향상을 지원하고자 한다.
기업들이 보안 운영 자동화 및 오케스트레이션을 수용하는 이유는 간단하다. 기업 보안팀이 직면한 문제는 점점 더 많아지는 보안 경고, 조사 및 수정 작업을 제대로 처리할 수 없다는 점이다. 특히 자체 사이버보안에 문제가 있다고 주장하는 조직의 51%가 사이버보안 인력 부족을 그 이유라고 응답한 것을 감안한다면 적절하다. 스플렁크는 팬텀 인수를 통해 고객의 생산성을 높이고 스플렁크 핵심에서 사용하고 있는 데이터를 수집, 처리, 분석하기 위한 시간을 확보하고자 한다.

4. 천천히, 그러나 확실하게 엔터프라이즈급 SOAPA 구축을 계속한다 
스플렁크는 행동 분석(behavioral analytics), 규정 준수(regulatory compliance), 사기 탐지(fraud detection) 및 내부자 위협(insider threat)과 같은 추가 기능으로 핵심 SIEM을 둘러싸고 있다. 인수 전에도 스플렁크는 파트너와 함께 탄탄한 SOAPA를 제공해왔다. 그러나 이제 팬텀을 통해 스플렁크는 대부분의 SOAPA 상자를 자체적으로 채울 수 있게됐다. 이는 수년동안 스플렁크가 통합 SOAPA 제공이라는 큰 그림을 그려온 것이다.

팬텀 인수에 대한 몇가지 생각
스플렁크와 팬텀은 서비스 제공업체와 협력해 기업들이 SOC를 구축, 설계하고 공식적인 사고대응계획을 작성할 수 있도록 지원하기를 원한다. 이는 수억 달러의 사업 기회일 수 있다.

비슷하게는 팬텀은 보안 자동화와 오케스트레이션 분야에서는 노련하지만 이를 알리는 역량은 자체 규모와 자원의 제약이 있었다. 마케팅, 훈련, 교육에 대해 스플렁크가 원활하게 채워줄 수 있다.

타이밍이 모든 것이다. 스플렁크와 팬텀은 향후 수년 동안 GDPR 계획, 개선 및 공황으로부터 이익을 얻을 것이다.

이번 인수는 이 시장을 더욱 정당화하며, 이 분야에서 다른 업체들을 따돌리는 효과를 갖고 왔다. 체크포인트(Check Point), 시스코(Cisco), 포스포인트(Forcepoint), 포티넷(Fortinet), 맥아피(McAfee), 팔로알토네트웍스(Palo Alto Networks), 시만텍(Symantec)과 같은 다른 업체들도 보안 운영자동화 및 오케스트레이션 개발업체를 인수하는 바람이 불지 모른다. editor@itworld.co.kr  


X