Q16. PLURA-EDR의 오탐(False Positive)과 미탐(False Negative) 비율은 어떻게 되나요? 기존 장비 대비 얼마나 정확한가요?

By PLURA

A. 핵심은 단순합니다.
PLURA-EDR은 오탐·미탐의 ‘비율’을 먼저 약속하기보다,
왜 그런 문제가 반복되는지를 구조적으로 줄이는 방식으로 설계되었습니다.

보안 제품을 평가할 때
가장 많이 받는 질문 중 하나가 바로
“오탐은 얼마나 되나요?”, “미탐은 없나요?”입니다.

이 질문은 당연히 중요합니다.
하지만 여기에는 한 가지 함정도 있습니다.

오탐·미탐 비율은
환경과 기준이 정의되지 않으면
의미 있는 숫자가 되기 어렵습니다.

예를 들어,

  • 어떤 산업군인지
  • 어떤 업무 시스템인지
  • 관리자 작업이 얼마나 많은지
  • 개발·운영 자동화가 얼마나 활발한지
  • 어떤 유형의 공격을 기준으로 삼는지

가 다르면
오탐과 미탐의 수치는 크게 달라질 수 있습니다.

그래서 PLURA-EDR은
단순 수치 경쟁보다,
왜 기존 보안 제품에서 오탐·미탐이 반복될 수밖에 없는지,
그리고 그 구조를 어떻게 바꾸었는지에 더 집중합니다.

1️⃣ 기존 보안 장비가 오탐을 만드는 구조

많은 전통적인 보안 제품은
다음과 같은 방식에 크게 의존해 왔습니다.

  • 정적인 시그니처
  • 룰 기반 패턴 매칭
  • 네트워크 메타데이터 추정
  • 단일 이벤트 중심 경고

이 방식의 공통점은
맥락(Context)을 충분히 보지 못한다”는 점입니다.

그 결과 다음과 같은 일이 자주 발생합니다.

  • 정상적인 윈도우 관리 작업
  • 그룹 정책(GPO) 배포 스크립트
  • 소프트웨어 자동 설치
  • 백업·배포·운영 자동화 작업

같은 행위까지 공격으로 오인하는
구조적 오탐(False Positive) 이 생깁니다.

즉,
행위 그 자체만 보면 수상해 보이지만,
실제 맥락까지 보면 정상인 경우가 많습니다.

예를 들어
PowerShell이 실행되었다는 사실만 보면 경고할 수 있습니다.
하지만 실제로는

  • 관리자가 승인된 배포 작업을 수행 중이었는지
  • 정해진 시간대의 자동화 작업이었는지
  • 부모 프로세스와 사용자 계정 맥락이 정상인지

를 함께 봐야
오탐을 줄일 수 있습니다.

2️⃣ 미탐이 발생하는 더 근본적인 이유

미탐(False Negative)은
오탐보다 더 치명적입니다.

알람이 조금 많이 울리는 것보다,
실제 공격을 놓치는 것이 훨씬 더 위험하기 때문입니다.

미탐이 발생하는 이유는 비교적 분명합니다.

  • 시그니처에 없는 공격
  • 변형된 악성코드
  • 정상 도구를 악용한 공격(LOLBins, Living-off-the-Land)
  • 계정 탈취 후 정상 권한으로 수행되는 행위
  • 파일 없이 메모리와 정상 프로세스를 이용하는 공격

이런 공격은
“파일”이나 “패턴”만으로는 잘 보이지 않습니다.

왜냐하면 공격자가
악성 파일을 직접 떨어뜨리지 않고,

  • PowerShell
  • rundll32
  • certutil
  • mshta
  • wmic

같은 정상 도구를 사용하거나,
정상 계정으로 정상 시간대에 움직일 수 있기 때문입니다.

즉, 미탐의 본질은
보안 제품이 도구의 이름은 보지만, 행동의 흐름은 충분히 보지 못할 때 발생합니다.

3️⃣ PLURA-EDR이 오탐을 줄이는 방식

PLURA-EDR은
단일 이벤트 하나만 보고 판단하지 않도록 설계되어 있습니다.

대신 다음과 같은 요소를 함께 봅니다.

  • 프로세스 생성과 부모–자식 관계
  • 명령어 인자(Command-line)
  • 실행 사용자와 권한 변화
  • 파일 접근과 변경 흐름
  • 시간 순서상 행위의 연결성

즉,

“이 행위 하나가 이상한가?”
보다
“이 행위가 이 시점에,
이 사용자·이 시스템 맥락에서 자연스러운가?”

를 더 중요하게 봅니다.

예를 들어
PowerShell 실행 자체는 이상하지 않을 수 있습니다.

하지만 다음처럼 연결되면 의미가 달라집니다.

  • Word 문서가 열리고
  • 그 직후 PowerShell이 비정상 인자로 실행되고
  • 외부 연결이 발생하고
  • 인증 정보 접근 또는 추가 스크립트 실행이 이어지는 경우

이것은 단일 이벤트가 아니라
공격 흐름으로 해석되어야 합니다.

이 구조 덕분에
정상 관리 작업은 덜 건드리고,
실제 공격 시나리오는 더 명확하게 구분할 수 있습니다.

4️⃣ PLURA-EDR이 미탐을 줄이는 방식

PLURA-EDR은
공격자의 도구 이름보다
공격자의 행동 목적과 순서를 더 중요하게 봅니다.

  • 어떤 파일이냐 ❌
  • 어떤 이름이냐 ❌
  • 어떤 패턴 문자열이냐 ❌
  • 어떤 행동 흐름이 만들어졌는가 ⭕

이 접근을 통해
다음과 같은 공격도 더 잘 포착할 수 있습니다.

  • 신종 공격
  • 변형된 악성코드
  • 파일 없는 공격(Fileless Attack)
  • LOLBin 기반 우회 공격
  • 정상 계정을 이용한 침해 확산

예를 들어
공격자가 PowerShell을 사용해 외부에서 스크립트를 받아 실행하고,
이후 자격 증명 접근이나 지속성 확보를 시도한다면,
각 단계가 전부 정상 도구일 수 있습니다.

하지만 행위 전체를 보면
다음과 같은 특징이 드러납니다.

  • 비정상 부모 프로세스
  • 수상한 명령어 인자
  • 외부 연결 후 즉시 실행
  • 권한 관련 행위의 연쇄
  • 이후 추가 프로세스 생성

즉, 공격자는
도구 이름을 바꾸거나 파일을 감출 수 있어도,
행동의 순서와 목적까지 완전히 숨기기는 어렵습니다.

PLURA-EDR은 바로 이 지점을 보려고 합니다.

5️⃣ 그래서 “정확도”는 어떻게 비교해야 할까요?

정확도를 비교할 때
단순히 “오탐 몇 %, 미탐 몇 %”만 보는 것은 충분하지 않습니다.

오히려 다음 질문이 더 중요합니다.

  • 정상 업무를 얼마나 자주 공격으로 오인하는가?
  • 시그니처가 없는 공격도 탐지 가능한가?
  • 사람이 알람의 이유를 이해할 수 있는가?
  • 알람이 단일 이벤트가 아니라 맥락으로 제시되는가?
  • 운영자가 신뢰할 수 있는 판단 근거를 제공하는가?

즉, 정확도는 숫자 그 자체보다
사람이 실제로 신뢰할 수 있는 탐지 결과를 주는가로 봐야 합니다.

이 기준에서 보면
PLURA-EDR은 단순 수치 경쟁보다,
오탐과 미탐이 반복되는 구조 자체를 줄이는 데 더 초점을 둡니다.

정리하면

오탐과 미탐의 문제는
단순 튜닝의 문제가 아니라, 설계의 문제입니다.

  • 무엇을 기준으로 판단하는가
  • 어떤 맥락을 함께 보는가
  • 단일 이벤트가 아니라 행위 흐름을 보는가
  • 사람이 이해하고 검증할 수 있는가

이 질문에 대한 답이
정확도를 결정합니다.

PLURA-EDR은
이 질문에 답하도록 설계된 EDR입니다.

정확한 보안이란
알람이 많은 보안이 아니라,
사람이 신뢰할 수 있는 판단을 제공하는 보안입니다.

그래서 PLURA-EDR의 가치는
단순한 FP/FN 비율 숫자보다,
오탐과 미탐을 반복하게 만드는 구조를 줄이고
실제 공격 흐름을 더 잘 드러내는 데 있습니다.

Tags