Q16. PLURA-EDR의 오탐(False Positive)과 미탐(False Negative) 비율은 어떻게 되나요? 기존 장비 대비 얼마나 정확한가요?
A. PLURA-EDR은 ‘비율’을 약속하기보다,
오탐과 미탐이 발생하지 않도록 설계된 구조를 제공합니다.
보안 제품을 평가할 때
가장 많이 받는 질문 중 하나가 바로
“오탐은 얼마나 되나요?”, “미탐은 없나요?”입니다.
하지만 이 질문에는 한 가지 함정이 있습니다.
오탐·미탐 비율은 환경과 기준이 정의되지 않으면
의미 있는 숫자가 될 수 없습니다.
그래서 PLURA-EDR은
단순 수치 경쟁 대신,
왜 기존 보안 제품에서 오탐·미탐이 반복될 수밖에 없는지,
그리고 그 구조를 어떻게 바꿨는지에 집중합니다.
1️⃣ 기존 보안 장비가 오탐을 만드는 구조
기존 보안 제품(IPS, 시그니처 기반 AV, 일부 EDR)은
다음과 같은 방식에 의존해 왔습니다.
- 정적인 시그니처
- 룰 기반 패턴 매칭
- 네트워크 메타데이터 추정
이 방식의 공통점은
“맥락(Context)을 보지 못한다”는 점입니다.
그 결과:
- 정상적인 관리 작업
- 백업·배포·자동화 스크립트
- 개발·운영 환경의 특수 행위
까지 공격으로 오인하는
구조적 오탐(False Positive) 이 발생합니다.
2️⃣ 미탐이 발생하는 더 근본적인 이유
미탐(False Negative)은
보안 담당자에게 더 치명적입니다.
미탐이 발생하는 이유는 단순합니다.
- 시그니처에 없는 공격
- 정상 도구를 악용한 공격(LOLBins, Living-off-the-Land)
- 계정 탈취 후 정상 권한으로 수행되는 행위
이러한 공격은
“파일”이나 “패턴”이 아니라,
행위의 흐름과 조합으로만 식별할 수 있습니다.
시그니처·네트워크 중심 보안이
이 공격을 놓칠 수밖에 없는 이유입니다.
3️⃣ PLURA-EDR이 오탐을 줄이는 방식
PLURA-EDR은
단일 이벤트를 보지 않습니다.
대신 다음을 함께 봅니다.
- 프로세스 생성과 부모–자식 관계
- 명령어 인자(Command-line)
- 권한 변화
- 시간 순서상 행위의 연결성
즉,
“이 행위 하나가 이상한가?”가 아니라,
“이 행위가 이 시점에,
이 사용자·이 시스템 맥락에서 자연스러운가?”
를 기준으로 판단합니다.
이 구조 덕분에:
- 정상 관리 작업은 오탐으로 줄어들고
- 실제 공격 시나리오는 더 명확해집니다.
4️⃣ PLURA-EDR이 미탐을 줄이는 방식
PLURA-EDR은
공격자의 도구보다 공격자의 행동을 봅니다.
- 어떤 파일이냐 ❌
- 어떤 패턴이냐 ❌
- 무엇을 하려고 했는가 ⭕
이를 통해:
- 신종 공격
- 변형된 악성코드
- 파일 없는 공격(Fileless Attack)
까지도
행위 기반으로 식별할 수 있습니다.
즉, 공격자가
도구를 바꾸거나 이름을 바꿔도,
행동을 바꾸지 않는 한 탐지를 피하기 어렵습니다.
5️⃣ 그래서 “정확도”는 어떻게 비교해야 할까요?
PLURA-EDR은
“오탐 0%, 미탐 0%” 같은
마케팅 숫자를 제시하지 않습니다.
대신 다음을 제시합니다.
- 오탐이 발생할 수밖에 없는 구조를 제거했는가?
- 미탐을 만드는 전제(시그니처·패턴 의존)를 벗어났는가?
- 사람이 맥락을 이해할 수 있는 로그를 제공하는가?
이 기준에서 보면,
PLURA-EDR의 정확도는
기존 장비 대비 ‘수치 경쟁이 불필요한 수준’으로 차별화됩니다.
정리하면
오탐과 미탐의 문제는
튜닝의 문제가 아니라, 설계의 문제입니다.
- 무엇을 기준으로 판단하는가
- 어떤 맥락을 함께 보는가
- 사람이 이해하고 검증할 수 있는가
PLURA-EDR은
이 질문에 답하도록 설계된 EDR입니다.
정확한 보안이란
알람이 많은 보안이 아니라,
사람이 신뢰할 수 있는 판단을 제공하는 보안입니다.