계획은 의미없다. 기획만 필요할뿐.

실리콘밸리 최고 엔젤 투자자 크리스 딕슨이 작성한 사업기획서

원문: Plans are nothing, but planning is indispensable  

사업계획서를 쓰는 것은 시간낭비라는 인식이 있다. 이유인즉 1) 사업계획서를 읽는 사람들은 거의 없고 2) 결국엔 도중에 바뀔 것이 분명하기 때문이다. 맞는 말이다.

하지만 프로젝트를 시작하기 전에 앞으로 무엇을 구축해야할지 그리고 어떤 부분에서 이슈가 있을지를 미리 고민하는 것이 현명하다. 세부적인 사업계획 작성은 기존에 자신이 가지고 있는 논리를 더욱 보강할 수 있는 최선의 방법이다.  

공동창업자와 함께 SiteAdvisor를 처음 창업했을 때 상당히 긴 사업 계획서를 작성한 적이 있다. 많은 기업가, VC, 기업 임원들의 솔직한 피드백을 바탕으로 우린 반복해서 사업계획서를 수정했다(사업 아이디어를 비밀로 붙이지 말아야하는 이유 중에 하나가 이런 다양한 의견을 사업 초기에 얻을 수 있기 때문이다).

과거 작성했던 사업계획을 공유하는 것이 유용할 것 같아 아래와 같이 첨부하고자 한다(초창기 우리 회사이름을 Siteadvisor이 아닌 InfiniTrust로 정했었다).  

되돌아보면 사업계획중 일부는 잘 맞아떨어지기도 하고, 어떤 부분들은 이상적이거나 형편없는 것들도 있었다. 하지만 사업계획서를 쓰는 것은 매우 유용한 연습이었다. 사업계획서 작성은 우리가 만날 수 있는 각종 이슈들에 대해 고민하게 해주었다. 또한 사업을 진행하면서 다른 외부적 요소에 흔들림 없이 핵심이 집중할 수 있도록 도와주었다.

아이젠하워는 다음과 같이 말했다.  

"계획은 의미없다. 기획만이  필요할 뿐이다"
(“plans are nothing, but planning is indispensable.”)

***

InfiniTrust

January, 2005

InfiniTrust는 "Web reputation service"를 표방한 새로운 유형의 데스크탑 보안 소프트웨어 제품을 만들고자 한다. 우리가 만든 제품은 웹을 이용하면서 각종 취약점에 노출된 사용자, 중소 비즈니스 업체에게 혜택을 제공하기를 기대한다. 제품의 핵심은 우리가 자체적으로 고안한 신뢰도 레벨를 기반으로 웹상에 존재하는 URL, IP주소, 다운로드 가능한 프로그램, 액티브엑스 오브젝트의 안전도를 분류하는 것이다. InfiniTrust는 다운로드 가능한 애플리케이션 형태로 제공될 것이며, InfiniTrust가 보유하고 있는 데이터베이스를 기반으로 사용자는 자신의 데스크탑 PC의 보안을 유지할 수 있을 것이다. 이밖에 우리는 방화벽, 라우터, 웹 프록시를 위한 플로그인도 제공하고자 한다.  

우리는 InfiniTrust가 규모있는 시장을 만들어낼 것으로 보고있다. InfiniTrust는 오늘날 약 6억대로 추산되는 PC 이용자 중 상당수에게 중요한 가치를 제공할 것으로 예상된다. 제품 가격은 종류 및 판매 채널에 따라 2~20불(PC당) 가량의 가격체계를 가질 것이다. 우리 사업은 고객당 발생하는 한계 비용이 매우 낮기 때문에(대부분 비용은 데이터베이스 유지를 위해 사용될 것이다) 높은 매출 총이익을 기대할 수 있다.

지난 몇년 동안 데스크탑 PC보안은 중요한 이슈로 떠올랐다. 그리고 문제점은 점점 악화되고 있는 상황이다. 우리는 InfiniTrust가 데스크탑 보안 소프트웨어 분야에서 새로운 카테고리를 창출할 것으로 예상한다. 그리고 사업이 계획대로 진행된다면 안티 바이러스 분야의 Symantec, McAfee, 안티 스팸 분야의 Brightmail, Postini처럼 이 분야의 리더가 될 것이라 믿는다.   

Problem

데이터 보안 산업은 그동안 데스크탑 PC 보안 이슈를 단순한 "social engineering" 또는 "user education issues"라고 치부하며 신경쓰지 않았다. 따라서 그들이 보유하고 있는 보안 솔루션은 이와 같은 영역에서 발생하는 이슈를 처리할 수 없었다.  

예를 들어 어떤 사용자가 웹브라우저를 사용하다가 지금까지 들어본적 없는 Claria라는 회사의 엑티브엑스 파일을 설치할 것인지 묻는 메시지를 만났다. 사용자는 예전에 ofoto.com을 방문했을 때 비슷한 메시지를 만났을 때 'No'를 선택하자 사이트의 기능이 정상적으로 작동하지 않았던 경험을 가지고 있다. 그래서 이번에는 'Yes"를 선택했다. 결과적으로 사용자 컴퓨터에 Claria의 Gator 악성 스파이웨어가 설치되는 것이다.

이 경우 보안 업체는 다음과 같이 응대할 것이다. 사용자는 그와 같은 경우가 발생했을 때 언제 Yes 또는 No를 선택해야할지 스스로 학습해야한다. 혹은 많은 웹사이트가 정상적으로 작동하지 않을지라도 자신의 브라우저에 액티브액스가 활성화되지 않도록 조치했어야 했다.

한 사용자가 씨티뱅크를 사칭한 피싱 이메일을 받았다(고객의 신용카드 정보를 훔치려는 우즈베키스탄 범죄조직이 보낸 이메일). 씨티뱅크 측은 피싱공격이 발생했다는 것을 탐지했지만 이와 관련된 대응 정보를 알릴 효과적인 방법이 없는 상황이다.

이경우 보안업체의 반응은 다음과 같다: 사용자는 절대로 이메일 내용 속에 있는 URL을 클릭하지 않도록 알고 있어야한다.

한 사용자가 뮤직 공유사이트에 방문했다가 인터넷 익스플로어에서 패치하는 취약성을 노린 스파이웨어에 간염되었다.

이경우 보안업체의 반응은 다음과 같다. 사용자는 자신의 브라우저 보안 설정에서 자바스크립트, 액티브엑스 기능을 제한하지 않고 신뢰할 수 없는 웹사이트를 방문하면 안된다는 점을 사전에 알고 있어야한다.

한 사용자가 Grokster라는 인기있는 P2P 파일 공유 어플리케이션을 다운 받았다. 그리고 그 유저는 32페이지에 이르는 약간을 읽지 않고 동의 버튼을 클릭했다. 이를 노려 Grokster는 수십여개의 번들 스파이웨어 어플리케이션을 사용자 컴퓨터에 설치시키고, 스파이웨어는 사용자 컴퓨터를 가상으로 렌더링하여 사용할 수 없게 만들어버렸다.

이경우 보안업체의 반응은 다음과 같다. 사용자는 소프트웨어를 다운받기 전에 이용약관을 읽어야한다.

데이터 보안 산업은 웜, 바이러스와 같은 전통적인 보안 이슈를 그동안 잘 해결해왔다. 이러한 보안 이슈는 다음과 같은 특징을 가지고 있다. 1) 악의성이 명확하고 2) attack vector의 특성이 주로 기술적이다. 점점 기술에 대한 지식이 낮은 다수의 사용자들이 이메일, 웹을 사용하면서 새로운 유형의 보안 위협이 발생하고 있다. 이들의 특성은 다음과 같다. 1)  social한 특징을 갖는 attack vetor를 가지고 있으며 2) 악성인지 유무 판단하는 것이 명확하지 않으며 사용자 관점에서 트레이드오프 성격을 띄기도 한다.

"social", "grey-area"  보안 위협의 트렌드가 최근 경제적 이익을 추구하는 해킹산업에 대한 아이디어를 제공하고 있다. 그 예로 스파이웨어와 피싱은 매우 빠른 속도로 큰 비즈니스를 형성했다. Claria(Gator 제작사)는 Kazaa와 제휴를 통해 2003년에 9000만불의 매출을 거두었다. WhenU는 2004년에 4500만불의 매출을 냈으며 이밖에 180Solutions, Direct Revenu 같은 기업들이 이와 같은 스타일로 수천달러의 매출을 2004년에만 거두었다. 피싱을 통해 발생한 피해액은 예측이 어렵지만 보수적으로 약 1억달러는 넘을 것으로 예상된다. 정리하면 이와 같은 기업들이 매년 수십억 달러의 매출을 사용자의 보안 취약점 혹은 미숙함을 통해 발생하고 있는 것이다.

Background on Spyware and Phishing

스파이웨어는 데스크탑 PC 유저에게 점점 심각한 위협이 되고있다. Dell 최근 연구에 따르면 90%의 컴퓨터가 스파이웨어에 감염되어 있다고 한다. Dell 고객센터 인입되는 이슈 1위도 스파이웨어 처리 방법이며 이는 전체 상담의 20%를 차지한다고 한다. 이밖에 컴퓨터 사용자의 24%만이 스파이웨어 이슈 처리 방법을 알고 있다고 한다.

IDC는 이보다 보수적으로 컴퓨터의 67%가 스파이웨어에 감염되었으며, 안티 스파이웨어 소프트웨어 시장이 2004년 4700만 불에서 2008년에는 3억 5백만불 규모로 성장할 것이라고 성장했다 (우리는 IDC의 예측치가 매우 낮다고 생각한다. 우리가 알고 있는 몇몇 안티 스파이웨어 매출을 합친 것이 이미 2004년에 4700만불을 넘어섰다)

피싱은 2004년까지만 언급되지 않았던 피싱이 이제는 심각한 보안이슈가 되었다. Gartner Group에 따르면 미국인 5700만명이 피싱 이메일을 받은 것 같다고 밝혔다. 물론 이중에서 11%만이 링크를 클릭했으며 3%가 민감한 개인정보를 넘겨주었다고 한다. 피싱 공격 숫자는 그 성장률이 월간 2~3배의 높은 수준을 보여주고 있다.  

InfiniTrust Solution

InifniTrust 제품의 주요기능은 다음과 같다

Site Protection: 현재 방문한 웹사이트의 보안 등급에 따라 동적으로 브라우저 기능을 조정한다. 예를 들면 보안 신뢰도가 낮은 사이트에 방문하면 보안에 취약할 수 있는 액티브엑스 오브젝트 스크립트 호출은 비활성화하는 것이고, 반대로 신뢰도가 높은 사이트에서는 활성화하는 것이다. 여기서 중요한 점은 신뢰할 수 있는 사이트의 기능을 제한하지 않으면서 사용자를 짜증나게 하는 팝업 스크립트를 제거하고 또한 스파이웨어, 바이러스가 침투할 수 있는 브라우저 취약점을 철저히 줄이는 것이다.

Download Protection:  자체 보유하고 있는 화이트리스트를 기반으로 신뢰할 수 없는 프로그램 다운로드시 사용자에게 경고 또는 차단하는 것이다(기업 버전에서는 정책 설정을 통해 안내 없이 신뢰할 수 없는 프로그램을 자동으로 차단할 것이다).

Fraud Detection and Protection: 피싱 랜딩 페이지와 같이 사기 행위가 예상되는 사이트 방문시 경고 페이지로 리다이렉트 시키는 기능이다.

ActiveX Protection:  화이트리스트에 포함된 액티브엑스 오브젝트만이 브라우저에 다운되고 실행되도록 한다. 화이트리스트에 포함되지 않은 엑티브엑스는 안내 메시지 없이 차단된다.

Exploit Protection:  보안 취약점과 관계 있는 브라우저 스크립트 코드는 필터한다.

Ecommerce Protection:  사용자가 신용카드 정보를 입력하기 전에 해당 커머스 사이트의 보안등급이 낮으면 경고 메시지를 노출한다. 버전 2.0부터 해당 커머스 비즈니스 실행과 관련된 요약정보를 사용자에게 제공한다(BizRate와 같은 소스를 통해 얻은 정보를 기반으로)

Privacy Protection (v2.0 only):  사용자가 이메일주소와 같은 개인정보를 입력하기 전에 해당 사이트의 신뢰도를 경고하는 기능이다. 또한 신뢰할 수 없는 사이트, 애드 네트워크로 개인정보를 전송하려는 액션 및 쿠키를 차단한다.

파이어폭스 브라우저를 사용하는 사용자(물론 대부분 테크 엘리트들이지만)들이 많아지면서 어떤 기능이 모든 브라우저에 해당하는지 혹은 인터넷 익스플로어에만 한정된 것인지 구분할 필요가 있다. 위에서 언급한 1번, 4번, 5번은 주로 IE 유저를 위한  기능이다. 그리고 나머지는 모든 플랫폼, 브라우저에 공통적으로 적용되는 기능이다.  

InfiniTrust가 설치된 데스크탑(방화벽 또는 웹 프록시 API와 반대로)은 현재 사용자가 처해진 상황/맥락에 따라 자동으로 보안 액션을 수행하거나 혹은 사용자가 쉽게 이해할 수 있는 안내 메시지를 노출할 것이다. 예를 들면 사용자가 신뢰할 수 없는 사이트에서 브라우징하고 있을 때 InfinTrust는 자동으로 브라우저 기능을 제할 것이다. 유저가 악성 기능이 포함된 프로그램을 다운로드하려고 할때는 안내 메시지를 노출할 것이다.

기업 버전에서는 시스템 관리자 설정에 따라 안내 메시지 노출이 제거될 수도 있다. 점점 많은 기관들이 스파이웨어 이슈에 대한 걱정으로 다운로드 및 액티비엑스 콘트롤을 차단하고 있는 상황이다. InfiniTrust는 이들에게 액티브엑스, 다운로드 소프트웨어, 브라우저 취약점에 대한 화이트리스트 DB를 기반으로 보안 이슈가 있는 스파이웨어 설치를 100% 차단할 수 있는 대안 솔루션을 제공하게 될 것이다.  

Technology Plan

기술적으로 세가지 주요 요소가 있다.

1) Data collection/analysis. InfiniTrust는 웹상에 존재하는 모든 "web entity"(다운로드 프로그램, 액티브엑스 오브젝트, URL/IP)의 "InfiniTrst Score"를 부여하기 위해 대용량의 데이터를 수집하고 분석하게 될 것이다. Input 데이터 소스는 아래 요소들을 포함하고 있다.

웹에서 크롤링한 HTML, 자바스크립트의 정적 분석

다운로드 가능한 소프트웨어의 자동설치 결과 분석

서드파티 제휴를 통한 데이터 수집(IP 인텔리전스 서비스, 피싱 블랙리스트 피드, 웹사이트/프로그램 평판 데이터)

InfiniTrust 제품 개선 프로그램을 옵트인한 유저의 피드백

공개적으로 오픈된 데이터를 마이닝한 정보(whois 데이터, 공개 블랙리스트)

웹사이트 링크 분석.  구글처럼 사이트X가 사이트Y에 링크를 보내면 이는 어떤 면에서 사이트 Y는 사이트X를 보증한다는 것으로 이해할 수 있다. 구글은 이런 방식으로 사이트 연관성에 대한 랭킹을 매기는 것에 대한 인사이트를 도출했다. 이와 같은 논리는 사이트에 대한 신뢰도에 대한 랭킹을 매길 때도 응용될 수 있다. 사이트X가 신뢰도가 낮은 것으로 알려진 사이트Y로 링크를 건다면 사이트X도 신뢰도가 낮은 사이트로 볼 수 이을 것이다. 이와 같은 아이디어를 적용할 수 있는 다른 방법은 웹상 어둠의 경로는 링크 구조 관점에서 높은 밀도로 클러스터링되어 있는 경향이 있다는 것이다.

위에서 설명한 모든 것들은 사용자가 웹사이트에 방문하거나, 특정 소프트웨어를 다운받거나, 혹은 온라인상에서 거래행위를 할때 이들에 대한 신뢰도를 측정하는 과정에 활용될 것이다. 이들 input 데이터 소스를 처리하고 분석하는 프로세스와 툴이 InfiniTrust의 지적재산의 대부분이 될 것이다.

 2)  Data servers.  데이터 트래픽을 관리하고 커뮤니케이션 비용을 줄이기 위해서 데이터베이스는 분산된 데이터 서버로 복제되어 관리될 것이다. 데스크탑 클라이언트는 특정 사이트/소프트웨어/액티브엑스의 보안 등급을 체크하기 위해서 또는 업데이트 버전을 다운 받기 위해서 이들 데이터 서버에 접속할 것이다. 클라이언트 소프트웨어는 성능 이슈 해결을 위해 캐싱 메커니즘 포함할 것이다. 또한 데이터 서버는 제품 개선 프로그램을 옵트인한 유저의 정보도 수집할 것이다.

3) Client agent.  클라이언트 사이드는 사용자를 대신해 액션을 수행하거나 혹은 사용자가 이해하기 쉬운 연관 정보를 제공할 것이다. 클라이언트 사이트는 데이터 서버와 커뮤니케이션 하는 core-agent와 사용자에게 보여지는 GUI으로 구성된다. GUI 에이전트의 대부분은 웹 브라우저 플러그인 형태가 될 것이지만 HTTP 프로토콜을 이용하는 애플리케이션 보안을 위해서 웹 프록시 혹은 OS에 빌트인될 수 있도록 지원할 예정이다.   

InfiniTrust는 외부 소프트웨어 및 장비 업체와 파트너쉽을 활성화하기 위해 API 공개 및 리눅스/파이어폭스 클라이언트의 오픈소스를 공개할 예정이다. 데이터 피드에 대한 접속은 암호화된 인증서를 통해 접근 범위가 조절될 예정이다.

InfiniTrust 버전1의 데이터들은 공개된 소스를 통해 확보할 예정이다. 사용자 숫자 및 매출이 성장하면 추가로 데이터 라이센싱 계약을 진행할 예정이다. 예를 들면 안티 스펨 업체의 피싱 블랙리스트, Bizrate와 같은 업체의 e커머스 데이터가 여기에 포함될 수 있을 것이다. 어느정도 규모의 사용자를 확보하면 InfiniTrust는 "self-regulating"(대부분 효과가 없을) 프로그램과 Trust-e, P3P와 같은 프로토콜을 위한 중요한 강제 기제가 될 것이다. 이밖에 해외 운영 인력을 데이터 수집과 분석 프로세스를 위해 활용할 수도 있을 것이다.  

Competition

Overview: 2005-2006년에는 스파이웨어, 피싱 같은 문제에 많은 관심이 집중될 것으로 예상된다. 이와 같은 트렌드는 InfiniTrust에게 좋은 점과 나쁜 점을 가지고 있다. 리스크는 (가능성이 낮지만)큰 기업들이 이러한 보안 이슈를 해결하고자 시장에 진출하는 것과 또는 시장에 InfiniTrust 제품에 대한 니즈 판단을 방해하기 위해 노이즈를 만드는 것이다(이는 가능성있다). 좋은 소식은 InfiniTrust가 기존 보안 번들의 대체제가 아닌 보완재라는 것이다. 기존 보안 번들에 대한 차별화가 시장에서 요구될수록 InfiniTrust는 매력적인 애드온 제품 및 인수 타겟이 될 수 있다. 역사적인 패턴을 살펴보면 컨슈머 보안 사업에서 대부분의 혁신은 스타트업으로부터 발생했다. 예를 들면 소프트웨어 기반의 방화벽은 ZoneLabs에 의해 혁신이 발생했다. 그리고 안티 스파이웨어는 PestPatrol, Lavasoft, WebRoot와 같은 스타트업으로부터 혁신이 일어났다.

Summary of existing anti-spyware technologies: 안티 스파이웨어 제품 대부분이 스파이웨어 차단이 아닌 제거를 위한 후처리 솔루션이다. 그리고 성능이 높다는 안티 스파이웨어 소프트웨어도 제거 성공률이 만족스러운 수준이 아닌 것은 널리 알려진 사실이다. 이와 같은 이유에서 보안 전문가들은 여러개의 스파이웨어 제거 소프트웨어를 설치할 것을 추천한다 (그리고 사용자에게 브라우징하는 사이트, 다운로드할 프로그램을 유심히 살펴볼 것을 끊임없이 교육한다). 스파이웨어 제거 성공률이 낮은 이유는 일단 PC가 스파이웨어에 감염되면 자가 복사하는 트릭이나 호스트 파일 변경하는 방식으로 기술적으로 안티 스파이웨어 소프트웨어가 체크하는 것을 어렵게 만들기 때문이다.

스파이웨어 차단 기능을 보유하고 있는 안티 스파이웨어 프로그램은 많지 않다 (SpywareBlaster, Microsoft의 AntiSpyware 정도) . 하지만 이들 프로그램은 정확도가 매우 떨어지는 행동 기반의 테크닉을 사용하고 있다(침입 예방 시스템과 유사함). 조만간 보안 기업들이 블랙리스트 기반의 방법론을 그들의 스파이웨어 프로그램에 적용할 것으로 예상된다.  

블랙리스트 방법론은 많은 문제점을 가지고 있다. 1) 스파이웨어 블랙리스트를 업데이트 하는 것이 무척 어렵다. 그리고 단 한건의 실수만으로도 PC를 사용하지 못하도록 만들 수 있다 2) 소위 말하는 회색지대("grey area")에 있는 스파이웨어를 적절히 판별하지 못한다. 스파이웨어의 문제점은 단순히 웜이나 바이러스 같은 블랙&화이트의 문제가 아니다. 대부분의 스파이웨어는 전문가들만이 판별할 수 있는 악성 번들  애드웨어를 통해 설치된다는 것이다. InfiniTrust는 사용자들의 브라우징 경험을 해치지 않으면서 보안 이슈도 챙길 수 있는 최선의 방법은 다음과 같다고 믿는다 1) 신뢰할 수 있는 프로그램은 화이트리스트로 관리, 2) 확실한 악성 프로그램은 블랙리스트화, 3) 회색지대에 있는 프로그램은 사용자에게 대안으로 설치할 수 있는 프로그램 정보를 이해가 쉽게 제공하는 것이다.

Summary of existing anti-phishing technologies:  피싱 보안 관련해서 세가지 주요 기술이 사용되고 있다. 첫번째는 단순히 피싱 이메일 필터링을 개선하는 것이다. 안티 스팸 기술은 95% 이상의 정확도를 보유하고 있지만 아직 완벽하지는 않다. 더욱이 피싱 이메일이 좀비 PC를 이용하면서 이들의 패턴을 감지하는 부분이 더욱 어려워지고 있고 있다(따라서 IP 기반의 차단 기술이 어려워지고 있다). 또한 이들은 기존 콘텐츠와 매우 유사한 형태를 띄고 있기도 하다.

두번째 방법은 공격 받고 있을때 이메일 전송 혹은 랜딩 페이지 로딩을 중단하는 것이다. 많은 보안 업체들이 고객사(대부분 금융사)를 대신하여 이와 같은 대응을 진행해주고 있다. 이와 같은 접근법은 피싱공격 초기 6시간 (가장 중요한 순간)이 지나고나서야 대응할 수 있다는 한계가 있다. 더욱이 데스크탑 PC 사용자 관점에서 금융사 관련 피싱공격은 보안업체가 대응을 하고 있지만 이외에도 너무 많은 유형의 피싱 공격(ex: 쓰나미 구호를 사칭한 피싱)이 있는데 이 영역까지는 보안업체들이 관장을 하지 못하고 있는 현실이다.

클라이언트 사이드 솔루션는  제로아워 공격(취약점이 발견되면 바로 공격)이나 모든 유형의 온라인 사기를 방어하는데 유리하다. Earthlink, Netcraft, WebRoot, GeoTrust가 클라이언트 사이드 보안 솔루션을 제공하는 주요 업체들이다. InfiniTrust는 이들 클라이언트 사이드 보안 솔루션을 제공하는 경쟁사보다 차별화되는 장점을 보유하고 있다. InfiniTrust는 웹상에 존재하는 대부분의 사이트 DB를 수집하기 때문에 피싱 탐지에 있어 (부분적으로) 화이트리스트 관점에서 문제를 해결하고자 한다. InfiniTrsut DB 리스트에 있지 않는 사이트를 랜딩페이지를 가진 이메일 경우, 잠재적으로 피싱 사기가 의심되는 것으로 간주하는 것이다. 이와 같은 화이트리스트 접근법은 이메일을 통한 피싱 사기외에 브라우저 취약점을 노린 키로거 삽입과 같은 다른 유형의 피싱 공격도 효과적으로 막을 수 있다. 또한 사기가 의심되나 그 판단이 모호한 e커머스 사이트에서 발생하는 피싱피해도 예방할 수 있다.

Notes on primary competitors:

Symantec:  2004년에 18.7억불의 매출을 이루었으며, 매출의 47%가 컨슈머 제품로부터 발생했다. Symantec은 아직 스파이웨어 삭제 툴을 배포하지 않았으나 2005년 1분기에 관련 제품을 출시할 것으로 예상된다. 아직 클라이언트 사이드의 피싱 관련 제품을 출시하지 않았으나 조만간 관련 라인업을 갖출 것으로 예상된다.

McAfee:  McAfee는 컨슈머 보안 번들 분야에서 2위 사업자이다. McAfee는 현재 스파이웨어 솔루션은 삭제 기능이 없는 탐지용 솔루션이다. 조만간 스파이웨어 제거용 솔루션도 출시할 것으로 예상된다.

ZoneLabs:  ZoneLabs는 2004년에 Checkpoint에 약 2.5억불에 인수되었다. 주요 제품으로는 ZoneAlarm이 있다. ZoneAlarm은 소프트웨어 기반의 방화벽 제품이다. 2004년에 3000만명의 무료 가입자를 유치했었다. ZoneLabs은 약 100만명의 유료 가입자를 보유하고 있는 보안 번들 프로그램을 가지고 있으며 이밖에 무료 기반의 프로그램을 통해 미디어 및 얼리어답터 사이에서 좋은 반응을 이끌어 내고 있다.

Computer Associates: CA는 보안 번들 제품을 판매했었다. 최근에는 PestPatrol을 인수하면서 스파이웨어 삭제 솔루션을 갖추었다.

Trend Micro:  Trend Micro는 최근에 스파이웨어 제거 기능을 추가했다. 안티 피싱이라 칭하는 기능을 가지고 있다(엄밀히 말하면 PC로부터 나가는 개인정보를 감시하는 outgoing 방화벽일뿐이다)

Microsoft: 최근에 안티 스파이웨어 기업 Giant와 안티 바이러스 기업을 인수했으며 2005년 1분기에 각각에 대한 업데이트 버전을 출시할 것으로 예상된다. 아직 인수한 기업 제품을 대상을 유료화할 것인지 명확하지 않은 상태이다. 마이크로소프트는 웹 기반의 보안 이슈에 대해 골모리를 앓고 있다. 또한 파이어폭스가 최근 6개월 동안 인터넷 익스플로어 보안 이슈 덕분에 10%의 점유율을 차지한 것에 대해서도 마이크로소프트는 예의주시하고 있다.

WebRoot:  WebRoot는 스파이웨어 제거 툴 분야에서 좋은 솔루션을 가지고 있는 것으로 평가받고 있다. 그들이 보여준 혁신은 지금까지 매우 인상적이었다. WebRoot는 2004년 4분기에만 1600만불에 이르는 매출을 달성했으며 이는 컨슈머 보안 제품도 시장에서 생존할 수 있다는 것을 보여준 긍정적 사례로 여겨지고 있다. Webroot는 아마도 인수될 것으로 예상된다. 어쨌든 최근에 1억 8백만불의 투자를 유치한 건실한 기업이다.

Freeware:  Lavasoft의 애드웨어, 스파이봇 S&D는 무료 스파이웨어 제거 툴로서 큰 명성을 얻고 있다.  

Websense: Websense는 1억달러의 가치를 가진 기업이다. 소위 말하는 웹 필터링 기술에 있어 리딩하는 기업으로 평가받고 있다. 웹 필터링 기술의 주요 관심사는 성인 또는 도박 사이트와 같이 bad topic을 가진 사이트에 기업 사용자가 접근하지 못하도록 제한하는 것이다. Websense는 최근에 부가적으로 애드온 보안 모듈을 추가함으로써 Kazoaa.com 처림 보안 관련 이상 징후를 보이는 다수의 사이트를 블랙리스트에 등록하였다. Websense는 매우 엄격하게 접속 가능한 사이트를 관리함으로써 철저한 통제가 필요한 대기업에서 많이 활용되고 있다.  

경쟁사들 중에서 InfiniTrust와 유사한 제품을 제공할 수도 있을까?   

현재 InfiniTrust와 가장 유사한 제품군을 가지고 있는 경쟁사는 Websense이다. Websense가 집중하고 있는 분야는 securty ratings가 아닌 토픽 중심이지만 InfiniTrust와 유사한 데이터베이스를 보유하고 있다. Websens는 대기업을 위한 제품에 집중함으로써 높은 비즈니스 성과를 보여주고 있다 ($100M revs, $36M EBITDA, $1.2B market cap). 현재는 가능성이 낮지만 추후에 Websense가 컨슈머 시장에 진출하게 된다면 InfiniTrust 입장에서 큰 위협이 될 것으로 예상된다.

안티스파이웨어 보안업체들은 비록 그들이 구현하는 기술과 데이베이스 구조와 관련해서 대대적인 개편을 해야함에도 불구하고 InfinTrust가 시도하는 접근법을 사용할 것으로 예상된다.

지금 이들 업체의 접근법은 안티 바이러스 기술에 가깝다: 현재 PC상에 존재하는 악성 감영체를 스캔하는데 활용한 데이터베이스를 보유하고 있다. 반대로 InfiniTrust는 이와 같은 악성 감염체를 퍼트릴 위협이 있는 "hosts"(웹사이트, 다운로드 프로그램, 액티브엑스 오브젝트) 데이터베이스를 보유할 것이다.

hosts의 신뢰도를 판단하는 것은 단순히 악성 감염체를 찾거나 제거하는 기술과는 다르다.

우리는  InfiniTrust가 근본적으로 안전하고 "짜증나지 않는" 그리고 제약없는 사용자의 웹 접속을 제공할 것으로 믿는다. 안티 스팸 기업들이 안전하고 "짜증나지 않는" 사용자의 이메일 접속을 보장하려고 노력하는 것과 같은 맥락이다. 스파이웨어와 피싱은 이 두가지는 앞으로 웹 기반의 보안 위협 중에서 가장 중요하게 다뤄져야할 대상들이다.

따라서 스파이웨어와 피싱 보안은 InfiniTrust의 중요한 value proposition이다. 하지만 이는 InfiniTrust가 단순히 또다른 안티 스파이웨어, 안티 피싱이 된다는 것을 의미하지 않는다는 것을 명심해야한다.  

Marketing Plan

타겟 마켓은 보안과 제약없는 웹브라우징 활동에 신경을 쓰는 개인과 단체들이다. 다수의 개인고객과 이보다 다소 비중이 낮은 중소형 비즈니스 업체로 구성될 것으로 예상된다. 반면에 대기업은 직원의 외부 웹접속 상당 부분을 차단하는 Websense와 같은 기존 보안 솔루션에 만족하는 경향이 있을 것으로 판단된다.

InfiniTrust는 infinitrust.com 또는 각종 채널들을 통해 바로 다운받을 수 있는 기능이 제한된 무료 버전을 제공할 예정이다. 무료 버전에 대한 현재 계획은 기본적인 방어 기능을 제공하고 전체 데이터베이스에 대한 접근 권한은 제외할 예정이다. 무료버전은 사용자에게 그동안 차단하거나 경고했던 보안 이슈에 대해 정기적으로 알림 메시지늘 노출하여 InfiniTrust의 사용가치를 어필할 예정이다.

유료버전은 일반 컨슈머 대상으로 일년에 30불에 판매를 시작할 예정이다(타겟 사용자에 따라 전략적으로 할인함) 그리고 엔터프라이즈 버전은 어드민 콘솔에 대한 사전 라이센스 비용을 포함해 연간 5~20불의 가격체계를 가질 예정이다.

Distribution Partnerships:  ISPs, 보안 소프트웨어 업체, 검색엔진, 툴바 업체, PC OEM이 배포 파트너이다.

ISP 업체는 보안 소프트웨어를 통해 시장에서 점점 차별화를 꾀하고 있다. 예를 들면 최근에 AOL, Earthlink와 같은 업체들이 TV캠페인을 통해 보안을 강조한다는 점을 확인할 수 있다. 더욱이 이들 업체들은 피싱, 스파이웨어 관련된 고객 상담 때문에 많은 비용 부담을 겪고 있다. 예를 들면 Earthlink는 피싱 공격이 발생하면 120,000불의 비용이 발생할 것으로 예측한다고 했다. ISP 업체의 딜은 유저당 과금 방식(AOL은 McAfee에 안티바이러스 기능 제공에 대하여 유저당 2불씩 과금하고 있다)을 취하거나 또는 무료 제품을 조건없이 배포할 수 있는 채널로써 계약을 진행할 수 있다.

대형 컨슈머 보안 소프트웨어 업체들은 모든 카테고리의 보안 소프트웨어를 포함하고 있는 싱글 페키지를 제공하고자 애쓰고 있다. 만약에 InfiniTrust가 이들 업체에게 제품의 유용성과 보완재 역할을 할 수 있음을 어필할 수 있다면 InfiniTrust가 이들 업체의 번들에 중요한 애드온으로 역할을 할 수 있으리라 보여진다.

Google, Yahoo, Earthlink, MSN, Ebay와 같은 툴바업체들은 최근 안티 바이러스, 안티 스파이웨어 관련해서 보안 기능을 자사 제품의 통합하려고 노력하고 있다. 야후는 PestPatrol의 제품을 활용하고 있으며, Earthlink는 WebRoot의 제품을 활용하고 있다. EarthLink 같은 경우에는 자체적으로 안티 피싱 기능을 구축했다. InfiniTrust의 데이터 피드는 이들 툴바 업체의 기능을 더욱 강화시켜줄 것이다.

PC OEM 업체들은 브라우저 보안 이슈 관련해서 많은 고객 상담을 인입받고 있다. 앞서 설명했듯이 Dell 고객 상담의 20%가 스파이웨어와 관련된 이슈이다. 이들 업체들은 이와 같은 고객센터 상담 비용을 줄이는 것 뿐만 아니라 보안 관련해서 자사의 제품이 더 차별화시킬 수 있는 포인트에 대해 관심이 많다. 많은 OEM업체들이 보안 관련 스타트업과 기꺼이 협력할 의사가 있음을 최근에 비추고 있다(Dell은 Sunbelt의 안티 스파이웨어 솔루션을 배포하고 있으며 이는 Sunbelt 매출의 상당 부분에 기여하고 있다)

InterActive Corp.에서 최근 진행한 내부 보고서에 따르면 웹 검색 유저들의 가장 큰 걱정거리가 안전하지 못한 사이트에 방문하는 것이라고 확인했다(응답자의 77%가 "major concern"이라고 응답했다). 검색엔진이 점점 웹서핑을 위한 관문 역할을 담당함으로써 필터링 및 랭킹 기반의 보안 체계를 제공하는 것이 자연스러워 보인다. 매우 간단한 수준에서 검색엔진과 제휴를 통해 검색결과 옆에 InfiniTrust 로고와 함께 해당 웹페이지의 InfiniTrust Score를 노출시킬 수 있을 것이다.

피싱에 영향을 받았던 금융기관은 클라이언트 사이드 레벨에서 InfiniTrust와 같은 솔루션을 자사 고객에게 배포하길 원한다. 최근에 개발된 피싱 툴바인 FraudEliminator는 지난 몇주동안 마케팅 비용을 전혀쓰지 않았음에도 불구하고 대형 금융기관 3개 업체와 Mastercard, Experian으로부터 사업개발과 관련된 콜드 콜을 받기도 했다.

PR:  데스크탑 보안은 2004년에 테크 언론에서 가장 많이 논의되었던 주제이다. 브라우저 취약점과 같은 오래된 보안 이슈를 포함해 최근에 큰 관심을 받고 있는 피싱 및 스파이웨어를 해결하고자 하는 InfiniTrust의 행보는 이들 테크 미디어로부터 많은 관심을 갖게 될 것이다. 초기 PR은 테크 미디어들이 될 것이며 제품에 대한 가치가 널리 알려지면 메인스트림 미디어도 자연스럽게 관심을 갖게 될 것이다.

Word of mouth: 대부분의 "unsophisticated" 사용자들은 1) 미디어, 2) PC 제조사, 3) 컴퓨터에 대해 조금더 잘아는 친구, 가족의 추천에 따로 보안 소프트웨어를 설치한다. 1)번, 2)번에 해당하는 전략은 위에서 논의했다. 3)번 케이스를 위한 전략은 얼리어답터가 좋아할만한 제품, 메시지를 만드는 것이다.

InfiniTust의 클라이언트 소프트웨어는 오픈소스로 공개할 것이다. 이는 얼리어답터(technology-enthusiast)에게 일종의 선의를 보여주는 것이다. 또한 InfiniTrust 클라이언트 소프트웨어가 어떠한 악성 기능을 보유하고 있지 않다는 것을 보여줌으로써 얼리어답터를 보안 이슈에 대해서는 안심해도 된다는 것을 어필할 수 있다(중요한 점은 InfiniTrust 비즈니스 핵심은 데이터베이스이기 때문에 클라이언트를 오픈소스화하는 것은 사업적으로 큰 이슈가 되지 않는다). 추가로 파어폭스, 리눅스, 맥 버전을 비교적 일찍 오픈할 것이며, InfiniTrust의 데이터베이스 중에서 인기있는 데이터 일부를 검색엔진에 노출시킬 예정이다.

Paid marketing: 지난 몇년동안 검색과고, 디스플레이 애드네트워크와 같은 온라인 광고 채널은 컨슈머 소프트웨어 다운로드 및 서비스들을 위한 마케팅 기회를 제공해주었다. 특히 과거보다 사용자 데모그래픽이나 컨텍스트에 타겟팅하여 보다 정교한 마케팅 액션 실행이 가능해졌다. 더욱이 소매점 진열대 전시나 유통채널 확보를 위해 많은 비용을 지불해야 할 필요 없이 경매 기반의 온라인 광고는 스타트업도 비슷한 수준으로 기존 업체와 경쟁할 수 있는 환경을 제공하고 있다. 일부 컨슈머 소프트웨어 제품과 서비스는 주로 웹 기반 광고를 활용해 성공적인 비즈니스를 펼쳤으며 최근에는 성공적인 엑시트 사례도 나타나고 있다(Gotomypc는 2억 3700만불에 Citrix에 인수되었으며, ZoneLabs는 Checkpoint에 2억 5천만불, Classmates.com은 United Online에 1억불, TripAdvisor는 IAC에 2억 5천만불에 인수되었다. Shopping.com은 7500만불의 기업가치를 인정받고 있다).  

Risks.

Market risks:

Competitive offerings: Symantec, McAfee, Microsoft와 같은 경쟁사들은 InfiniTrust가 해결하고자 하는 문제점을 충분히 해결하여 그들의 제품을 향상시킬 수 있다. 이들 기업은 InfiniTrust 보다 높은 브랜드 인지도와 배급 채널을 가지고 있다. 만약 이들 기업이 InfiniTrust가 달성한 것의 75% 수준만 달성하더라도 이 분야에서 성공을 거두게 될 것이다.

Insufficient or inaccurate data: 초기 InifiniTrust가 확보한 데이터 세트는 얼리어답터에게 어필하기에 부족한 면이 많을 것이다. 사용자의 브라우징 활동에 방해가 되지 않으려면 지금보다 더 정확하고 많은 데이터이 확보가 필요할 것이다. 하지만 대부분의 웹브라우징이 일부 사이트에 집중되어 있기 때문에 이러한 리스크는 일부 줄일 수 있을 것이다. 예를 들면 웹상에서 발생하는 PV의 50%가 상위 5000개 사이트에서 발생하고 있으며, 2000개의 소프트웨어가 전체 다운로드의 95%를 차지하고 있다.

Unwillingness to pay: InfiniTrust가 사용자에게 제공하는 가치가 늘어나는 동안 비용을 기꺼이 지불하고 싶어하지 않는 사용자도 있을 것이다.

Lack of awareness: 각종 파트너쉽과 PR에도 불구하고 대부분의 고객들은 InfiniTrust 제품을 잘 알지 못할 것이다. 이밖에 InfiniTrust와 같은 스타트업들은 공동 프로모션이나 paid inclusion progrmam 같은 마케팅 형태에 비용을 지불할 정도로 넉넉한 자금을 보유하고 있지 않기 때문에 사용자로부터 인지도를 얻는데 한계가 존재할 수 밖에 없다.

법률적 환경 변화, 소프트웨어 품질 개선 및 기타 외부 요소에 의해 InfiniTrust가 풀고자 하는 이슈에 대한 사용자의 니즈를 줄어들지도 모른다.

Technical risks:

Data collection: InifiniTrust가 요구하는 수준의 데이터를 수집하는 것은 어려운 작업이다. 프로그램들은 자동으로 설치되어야한다. 피싱 공격 역시 탐지해야한다. 그리고 웹 취약점 역시 발견하고 분석할 수 있어야한다. 우리는 이러한 모든 문제점을 해결하기 위해 자체적인 계획을 갖추고 있지만 만일에 관련해서 분석의 일부가 잘못된다면 제품의 품질 관련해서 많은 이슈를 겪게 될 것이다.

“Arms race”:  악성 공격자들이 InfiniTrust가 동작하는 방식을 파악하게 되면 그들은 우리가 설계한 방식을 피해 스파이웨어, 피싱공격, 웹취약점을 숨기는데 온갖 노력을 기울일 것이다. 이는 데이터 품질을 떨어뜨리게 될 것이다. 하지만 이러한 경우는 InfiniTrust가 큰 성공을 거둔 경우에 발생할 이슈이다. 따라서 우리 역시 이들과 맞설 리소스를 확보해야할 것이다.  

Budget

제품개발 12개월+마케팅/사업개발/제품개선 12개월을 운영할 수 있는 규모의 자금 270만불을 펀딩받은 상태이다. 버전 1.0 출시 후, 마케팅, 사업개발 멤버를 고용할 것이며 이밖에 PR기업에게 온라인 광고를 맡길 예정이다. 예산 계획 요약버전은 아래와 같다.