기본적인 전략 분석

마지막 업데이트: 2022년 5월 13일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
비즈니스 모델 구조화 틀 (이노무브)

비즈니스 모델은 무엇인가? – 정의, 역사, 활용 방법

비즈니스 모델은 어떤 사업이 이익을 창출하는 방식이다. 비즈니스 모델은 사업 모형, 사업 모델 등으로도 불리는데, 일상 언어로 말하자면 돈을 버는 방법이다. 조직적 기술(organizational Technology)의 한 종류라고 할 수 있다.

비즈니스 모델을 ‘가치를 창출하고, 수익을 창출하는 방법’ 같이 정의하는 것을 많이 본다. 대부분의 사업은 고객에게 가치를 제공하고 그 대가를 받으므로, 이런 정의에 맞다. 하지만 어떤 사업은 이런 정의로 잘 설명이 되지 않는다. 대표적인 예로, (자기 자금의) 투자를 들 수 있다. 누구에게 어떤 서비스나 상품을 제공하고 대가를 받는 것이 아니다. 하지만 돈을 버는 방법임에는 틀림없다. 그래서 ‘이익을 창출하는 방식’이라는 정의가 더 단순하면서 현실적이다.

전략과의 차이

사업 모델과 사업 전략의 개념은 흔히 혼동된다. 개념을 정확하게 아는 것이 사업을 잘 하는데 필수는 아니다. 하지만 개념이 확실히 정립되어 있으면, 생각이나 토론에 분명히 도움이 된다.

전략은 ‘결정’이라고 생각할 수 있다. 앞으로 나아갈 방향을 정하는 것이다. 현재 상황을 개선하려면 어떤 방법들이 있고, 그 중에 무엇을 선택할 것인가? 전형적인 전략적 사고의 과정이다.

전략은 매우 일반적인 개념이기 때문에, 보통 그 앞에 수식어가 필요하다. 회사의 기업 전략은 여러 사업 중에 어떤 사업에 더 투자하고 어떤 사업을 포기할 것인가가 주된 이슈일 것이다. 자동차 사업 전략이라면 자동차 사업 전반을 앞으로 어떻게 할 것인가가 문제일 것이다. 전기차 마케팅 전략이라면 전기차의 마케팅 방향을 정해야 할 것이다. 자동차 가격 전략이라면 자동차의 가격을 얼마로 할 것인가가 초점이다.

‘사업 모델 전략’이라는 말도 가능하다. 이 아이디어를 사업화 하려면 어떤 사업 모델이 좋을까? 그런 질문에 대한 답을 찾는 전략일 것이다. 사업 모델을 기획해야 기본적인 전략 분석 하는 경우, 또는 몇 가지 사업 모델 중에서 결정해야 하는 경우 등이다.

꼭 그런 것은 아니지만 사업 모델은 신사업을 발굴하고 기획하는 데에 많이 쓰인다. 전략은 이미 운영을 하고있는 사업을 더 잘 되기 위한 고민에 많이 쓰인다. 신사업은 존재하지 않는 새로운 사업을 만들어야 하기 때문에, 사업의 뼈대를 세우는 일이 중요하다. 기존 사업의 틀은 이미 잡혀있고, 제품, 생산, 마케팅, 영업 등 구체적인 문제를 해결하는 것이 중요한 경우가 많다. 하지만 신사업도 초기 사업을 구축하였으면 어떻게 마케팅할 것인가라는 마케팅 ‘전략’이 필요하고, 환경이 급변하여 기존 사업의 존재 가치가 의문스러워진다면 사업 모델을 제로베이스에서 생각해야 한다.

비즈니스 모델 개념의 역사

인터넷의 등장과 비즈니스 모델 개념의 필요성

비즈니스 모델이라는 개념은 21세기에 들어서야 보편화되었다.

예전에는 사업 모델 개념의 필요성이 거의 없었다. 수익을 창출하는 방법은 사실상 선형 사업 모델 한가지였기 때문이다. 선형 사업 모델은 제조업을 생각하면 간단하다. 원료를 구매하여, 제품을 만들어서, 판매하는 것이다. 상품을 사서 판매하는 유통업을 생각해도 좋다. 일직선의 가치사슬(value chain) 단계별로 부가가치가 더해진다. 나는 고객에게 제품이나 서비스를 주고 돈을 돈을 받는다.

그런데 인터넷이 등장하였다. 특히 1990년대 후반에 소위 닷컴 스타트업들이 대거 등장하였다. 아마존처럼 전통적인 선형 비즈니스 모델의 회사들도 있었지만, 많은 회사들은 그렇지 않았다. 전형적인 닷컴 스타트업은 재미있는 콘텐츠로 트래픽을 모아서, 광고로 수익을 내겠다는 사업 모형을 갖고 있었다. 인터넷 이전에도 라디오, TV 등은 광고로 돈을 버는 사업 모델이었지만, 매우 특수한 분야일 뿐이었다.

인터넷 시대 이전에도 사업 모델에 해당하는 사고 자체는 있었을 것이다. 어느 시대이든지 경제활동을 하는 이상 ‘나는 이렇게 돈을 번다’는 생각은 필요하니까 말이다. 하지만 ‘비즈니스 모델’이라는 용어와 개념을 정립한 것은 인터넷이 등장하고 20세기가 다 끝나갈 때였다.

비즈니스 모델 개념과 용어의 등장

비즈니스 모델 개념을 도입한 사람으로 20세기의 유명 경영학자인 알프레드 챈들러 교수나 피터 드러커 교수를 꼽기도 한다. 챈들러 교수는 1962년에 ‘전략과 조직’ 책에서 “전략은 기본적인 장기 목표들의 결정, 그리고 그 목표들을 수행하는 데에 필요한 행동 방향의 적응과 자원의 배분”이라고 하였다. 피터 드러커 교수는 1994년에 시장, 고객, 경쟁, 기술, 역량 등에 대한 가정들이 회사가 돈을 버는 원천이고, 이런 가정들을 사업의 이론(the theory of the business)이라고 하였다. 하지만 이들은 ‘비즈니스 모델’이라는 용어를 사용하지는 않았다. 더 근본적으로 그들이 얘기한 것은 사업 모델보다는 사업 전략에 가까워 보인다.

‘비즈니스 모델’이라는 말은 한 개인의 창조물이 아니라, 인터넷으로 새로운 사업을 만들려는 창업자(entrepreneur)들의 필요의 산물이다. 어떤 의미를 표현할 적당한 용어가 없기 때문에 누가 먼저인지도 모르게 쓰기 시작하였다. 전략이라는 말은 이미 널리 쓰이고 있었지만, ‘돈을 버는 방식’이라는 뜻에 맞지 않았다. 누군가 ‘비즈니스 모델’이라는 용어를 쓰기 시작하였고 그 말이 개념을 잘 표현하므로 유행하기 시작한 것이다.

그러다가 유명한 비즈니스 작가인 마이클 루이스(Michael Lewis)가 1999년작 ‘The New New Thing: A Silicon Valley Story’에서 Business Model 용어를 사용한다. 주류 용어가 된 상징적인 사건이라고 하겠다. 실리콘밸리의 인터넷 창업 붐을 묘사한 이 책의 한글판 제목은 “뉴뉴씽: 세상을 변화시키는 힘”이다. 루이스는 사업 모델이라는 말이 인터넷 붐의 중심에 있고 온갖 덜 익은 사업계획들을 미화한다고 당시의 닷컴 버블을 꼬집었다. 하지만 한편으로는 미래의 기업들은 오로지 인터넷으로만 연결된 사업 모형에 기초할 것이라고 긍정적인 예측도 하였다.

비즈니스 모델 구조화 틀

비즈니스 모델의 뜻과 역사를 알았으니, 실전에 쓸 틀을 익혀보자. 비즈니스 모델 캔버스라는 도구를 많이 사용하는데, 구성요소가 9가지나 되어서 필자처럼 기억력 나쁜 사람이 쓰기는 어렵다. 더욱 근본적인 문제도 있다. 잘게 나뉘어진 틀은 생각을 편하게 해준다. 논술형 문제보다 단답형 문제가 답하기 쉬운 것과 비슷하다. 반면에 생각의 자유로움을 막고 규격화 할 수 있다. “우리 사업에 파트너가 꼭 필요한가?”라는 의문을 가지면서도 비즈니스모델 캔버스에 파트너 칸이 있으니까 채우게 된다. 틀은 필요 최소한이 좋다.

매우 단순한 이노무브의 비즈니스 모델 구조화 틀을 소개한다.

비즈니스 모델 (사업 모델, 사업 모형) 구조화 틀

비즈니스 모델 구조화 틀 (이노무브)

타겟 고객

타겟 고객은 비즈니스 모델의 일부로 봐도 별 무리가 없다. 다만, 사업모델의 목적이 타겟 고객의 니즈를 잘 해결해주는 것이므로, 타겟 고객은 사업모델의 밖에 있되 동전의 양면 같은 관계로 보는 것이 생각에 도움될 것으로 생각한다. 사업모델을 얘기할 때에 타겟 고객보다는 사업이 운영되는 구조를 뜻하는 우리의 언어습관과도 더 가깝다.

비즈니스 모델을 구상함에 있어서 타겟 고객은 절대적인 중요성을 갖는다. 타겟 고객에 따라서 사업모델은 달라진다. 예를 들어서 문구를 판매하는 사업을 검토하고 있다고 하자. 소비자를 타겟으로 하는가 기업을 타겟으로 하는가에 따라서 이 사업의 모습은 많이 달라질 것이다. 모든 고객을 만족시킬 필요는 없다.

사업 모델은 타겟 고객의 문제를 잘 해결해 주도록 구상해야 한다. 이미 사업 모델이 있다면, 가장 적절한 고객을 타겟팅 해야 한다.

주는 것 (Give)

주는 것은 문자 그대로 우리가 고객에게 주는 것이다. 무엇을 제공해야 할까? 이 질문은 사업 모델의 기획에서 가장 근본적인 질문이라고 할 수 있다. 왕도는 없지만 출발점은 보통 고객의 문제이다. 고객들에게 중요한 문제의 해결책을 제공했을 때 고객들은 만족할 것이고 지속 사용자가 될 것이다.

받는 것 (Get)

고객에게 뭔가를 주었다면, 우리도 대가를 받아야 한다. 대가 없이 주기만 하는 것은 좋은 자선사업일 수는 있어도 지속 가능한 영리 사업이긴 어렵다.

그 대가가 꼭 금전적인 것일 필요는 없다. 페이스북, 트위터 등 대부분의 소셜 미디어는 무료지만 우리는 알게 모르게 대가를 치르고 있다. 우선 나의 ‘방문’ 자체가 대가다. 소셜미디어가 많은 사람들이 보는 매체가 되는 데에 나도 한 몫을 하는 것이다. 게다가 소셜미디어는 사용자의 나이, 성별, 사용 패턴 등 데이터를 수집한다. 나의 정보를 대가로 내고 있는 것이다.

주는 것과 받는 것. 이 둘을 묶어서 가치 교환(value exchange)이라고 할 수 있다. 고객의 관점에서는 받는 가치에서 주는 가치를 뺀 것이 가치 제언(value proposition, 가치 제안)에 해당한다. 주는 것만을 가치 제언이라고 하는 것은 정확하지 않다. 생필품을 싸게 파는 할인점이라면 고객에 주는 것은 생필품이다. 하지만 생필품을 가치제언이라고 한다면 잘못이다. ‘생필품을 싼 가격에 살 수 있는 것’이 고객이 느끼는 가치이다.

주는 것과 마찬가지로 받는 것도 타겟 고객과 맞아야 한다. 결국 받는 것과 주는 것이 묶여서 가치제언이 되는 것이므로 그 둘은 함께 고려되어야 한다.

하부 구조는 주는 것, 받는 것을 만들어 내기 위하여 필요한 자원 및 이의 구조를 말한다.

어떤 제품을 만들려면 필요한 재료를 조달할 수 있어야 하고, 제작에 필요한 기술이 필요하다. 상품을 판매하려면 그 상품을 안정적으로 살 수 있는 공급처가 필요하다. 또한 판매할 수 있는 채널이 필요하다. 웹이나 앱 서비스를 하려면 개발할 수 있는 역량이 필요하고, 이를 운영할 수 있는 서버나 클라우드 시스템이 필요하다.

모든 사업은 연극과 같다. 무대 앞에 있어서 눈에 보이는 것들이 있고, 무대 뒤에 있어서 눈에 안 보이는 것들이 있다. 하부구조의 상당 부분은 무대 뒤에 있어서 관객의 눈에는 보이지 않는다.

비즈니스 모델 사례

이제 실제 비즈니스 모델을 분석해보자. 비즈니스모델 개념을 필요하게 한 온라인 사업의 대표 중 하나인 구글 검색 사업은 좋은 예이다.

구글의 광고 사업모델은 다음과 같이 나타낼 수 있다. 누가 하더라도 엇비슷할 것이다.

구글 검색 광고 비즈니스 모델

구글의 검색 광고 사업 모델

그런데 이 모델은 두가지 고객을 상대하고 있고, 두가지 서로 다른 가치 교환을 하고 있다. 비금전적 가치를 받는 것도 사업모델로 본다면, 구글의 검색광고는 두가지 사업 모델의 결합이다.

구글 검색 광고 비즈니스 모델 (사업 모델, 사업 모형) - 검색 서비스 부분

구글 검색 광고 사업 모델의 분해 1/2 – 검색 서비스

구글 검색 광고 비즈니스 모델 (사업 모델, 사업 모형) - 검색 광고 부분

구글 검색 광고 사업 모델의 분해 2/2 – 검색 광고 서비스

실제로 구글은 무료 검색 서비스를 먼저 만들고, 이후에 검색 광고 사업모델을 붙였다. 페이스북, 트위터, 인스타그램 등 많은 소셜미디어 서비스들은 이런 과정을 거쳤다. 먼저 무료 서비스로 사용자들을 모으고, 이후에 광고 등의 사업모델을 추가하였다. 그래서 실리콘밸리에서는 monetization이라는 말이 널리 쓰이게 된 것이다. 선 고객 모집, 후 수익화. 이런 순서가 소셜미디어, 플랫폼 사업에서는 표준적이 되었기 때문이다.

수익화(Monetization) 방식을 수익모델이라고도 부른다. 수익모델은 선형적인 비즈니스 모델에서는 ‘받는 것’ 자체이고, 플랫폼 비즈니스 모델에서는 금전적 수익을 벌어들이는 후속 사업모델이라고 할 수 있다.

참고로, 플랫폼 사업의 경우 관건은 첫번째 사업 모델이다. 사용자를 모으고 유지하는 것이다. 많은 사람들이 초기에 수익모델을 걱정하는데, 대부분 너무 이른 걱정이다. 그 자체가 “때이른 규모 확대”의 증상이다. 플랫폼 사업모델을 생각한다면, 초기엔 고객을 모으고 유지하는 것에 온 정신을 쏟기 바란다.

비즈니스 모델 틀의 활용

비즈니스 모델 틀은 언제 사용할 수 있을까?

고객이 어떤 문제를 갖고 있을 때, 그 문제를 해결하는 사업 모델은 여러 가지가 가능하다. 고객의 디자인 니즈를 해결해주는 방법은 디자인 에이전시, 디자인 템플릿 판매, 디자이너 연결 플랫폼, 인공지는 디자인 솔루션 등 여러가지가 있다.

우리가 어떤 기술이 있다고 할 때, 그 기술을 바탕으로 수익을 창출할 수 있는 사업 모델도 여러가지가 있다. 그 기술을 라이센싱 할 수도 있고, 그 기술로 완제품을 만들 수도 있고, 그 기술을 이용한 부품을 만들 수도 있다.

기존 사업의 사업모델이 고객과 회사를 위한 최적의 모델인지도 생각할 수 있다. 세상은 계속 변하기 때문에, 사업 모델 변화가 필요할 수 있다.

비즈니스 모델 틀을 이용하여 여러 가능성을 생각해 보고, 그 중 무엇이 타겟 고객에게 제일 좋은지를 생각해야 한다. 물론 우리가 잘 할 수 있는지도 생각해야 한다.

당신이 새로운 비즈니스 모델을 구상하였다고 하자. 또는 기존 사업의 비즈니스 모델을 변화시킬 아이디어가 있다고 하자. 이제 무엇을 해야 할까? 머리 속에 있는 사업모델을 실제로 구현하는 것이 다음 단계일 것이다. 하지만, 많은 아이디어들이 실패한다. 성공 가능성을 높이기 위한 검증 우선 신사업 개발 방법론에 대해서 읽어보시기 바란다.

기본적인 전략 분석

전략 경쟁 분석

전략 경쟁 분석

: 비즈니스 경쟁 분석을 위한 방법론 및 테크닉

  • 250원 (1% 적립)
  • 5만원이상 구매 시 2천원 추가적립?
  • 국내배송만 가능
  • 최저가 보상
  • 문화비소득공제 신청가능

〈2022 한국 문학의 미래가 될 젊은 작가〉- 투표 참여 회원 전원 1천원 상품권 증정!

취향으로 채우는 일상 - 디즈니 분리수거함/디즈니 일체형 장바구니/투웨이 보냉백/미니 접이식 테이블

7월 얼리리더 주목신간 : FIND YOUR WAVE 북서핑 배지 증정

2021 우량 투자서 35선 “최고의 주식 책을 소개합니다!”

7월 전사

쇼핑혜택

이 책을 구입하신 분들이 산 책

품목정보
출간일 2003년 12월 07일
쪽수, 무게, 크기 470쪽 | 204*257*30mm
ISBN13 9788995467701
ISBN10 8995467703

책소개 책소개 보이기/감추기

목차 목차 보이기/감추기

1부 분석과 전략 경쟁정보에 대한 관계

1장 전략과 경쟁정보 프로세스
2장 분석과 그리고 함정
3장 FAROUT 시스템

2부 전략 경쟁 분석 테크닉

Section1. 전략적 분석 테크닉
4장 BCG 성장/점유율 포트폴리오 매트릭스
5장 GE 비즈니스 스크린 매트릭스
6장 산업 분석
7장 전략집단 분석
8장 SWOT 분석
9장 가치사슬 분석

Section2. 경쟁?고객 분석 테크닉
10장 맹점 분석
11장 경쟁사 분석
12장 고객 세분화 분석
13장 고객가치 분석
14장 기능역량 및 자원 분석
15장 경영진 프로파일링

Section3. 환경 분석 테크닉
16장 이슈 분석
17장 거시환경(STEEP) 분석
18장 시나리오 분석
19장 이해관계자 분석

Section4. 진화적 분석 테크닉
20장 경험곡선 분석
21장 성장벡터 분석
22장 특허 분석
23장 제품수명주기 분석
24장 S-커브(기술수명주기) 분석

추천평 추천평 보이기/감추기

이 책은 학생(학부·대학원·최고 경영자 과정)들과 현직 관리자들이 가장 일반적으로 활용되는 전략경영 테크닉을 빠르게 이해하고 적용할 수 있도록 만든다. 특히 FAROUT 시스템은 각각의 프레임워크를 일반적인 관점에서 평가하고 점검할 수 있도록 해준다. 중요한 분석툴을 이렇게 사용하기 편리하게 제공하는 책은 본적이 없다.

비즈니스 성공의 핵심은 차별화와 독창성이다. 이는 경쟁 상황과 고객, 그리고 미래환경에 대한 깊은 통찰에서 얻어진다. 뛰어난 통찰력과 사업판단은 현상을 보는 다양하고 심도깊은 분석에 기초한다. 본서에서 소개되는 핵심 방법론은 이러한 통찰력 있는 비즈니스 개발을 위한 훌륭한 지침서 역할을 할 것이다.

한마디로 이 책은 경영 컨설턴트를 위한 매뉴얼이다. 또한 경영자들은 이 책을 통해서 현실에서 필요한 경영분석 테크닉을 습득할 수 있을 것이다. BCG 매트릭스·마이클 포터 경쟁분석·맹점분석·SWOT분석·시나리오 분석·환경분석·재무분석 등 모든 주요한 분석 테크닉에 대한 이론적 배경 및 실행 프레임워크가 풍부한 사례와 비주얼한 도표를 통해서 제시된다. 이 책은 앞으로 전문경영자나 컨설턴트가 되고자 하는 MBA 학생들에게도 필독서가 될 것이다.

회원리뷰 (4건) 리뷰 총점 6.5

훌륭한 도서, 형편없는 번역. 정말 좋은 책을 번역을 잘못해서 망쳐놨다는 생각만 드네요.읽다보면 전혀 무슨말인지 알 수 없는 오역, 원문의 내용과 미묘한 의미를 무시한 번역을 비롯, 가중치로 표현해야 할 부분(Weight)을 무게로 번역한 부분을 보고는 차마 실소만 머금게 됩니다.다른 분께 도움을 드리고자 하는 마음에 일부로 로그인 해서 글 남깁니다.;

정말 좋은 책을 번역을 잘못해서 망쳐놨다는 생각만 드네요.

읽다보면 전혀 무슨말인지 알 수 없는 오역, 원문의 내용과 미묘한 의미를 무시한 번역을 비롯, 가중치로 표현해야 할 부분(Weight)을 무게로 번역한 부분을 보고는 차마 실소만 머금게 됩니다.

다른 분께 도움을 드리고자 하는 마음에 일부로 로그인 해서 글 남깁니다.

오늘 주문한 이 책을 오후에 받고 "기대가 큰 만큼 실망도 크다"라는 속담을 다시금 가슴 속에 새기게 된 계기가 된 것 같네요. 훌륭하신 분들의 서평을 보고 예전의 경영학적인 스킬을 다시금 수양하고, 소장 가치도 있을 것이라 믿고 구입한 책이였지만, 그냥 외국 원서 번역해서 대학원생들이 제본한 수준의 책으로만 보이는 것은 저의 수준이 낮음인가요? ;

오늘 주문한 이 책을 오후에 받고 "기대가 큰 만큼 실망도 크다"라는 속담을 다시금 가슴 속에 새기게 된 계기가 된 것 같네요.

훌륭하신 분들의 서평을 보고 예전의 경영학적인 스킬을 다시금 수양하고, 소장 가치도 있을 것이라 믿고 구입한 책이였지만,

그냥 외국 원서 번역해서 대학원생들이 제본한 수준의 책으로만 보이는 것은 저의 수준이 낮음인가요?

책 가격이 2만원대 중반으로 결코 싸지 않은 책임에도 불구하고, 하드커버로 된 책은 아닐지언정, 최소한 복사집에서 제본한 싸구려 책이라는 느낌은 안 주었음 좋았을텐데.. 하는 마음이 앞서네요.

다시금 한 번 오프라인 매장에서 책을 구경하고 구입해야 겠다는 생각이 든 하루였습니다.

전략 경쟁 분석은 기존의 경영 분석 책과는 여러 면에서 차별적인 요소를 가지고 있다고 생각한다. 먼저, 24가지 가장 널리 활용되는 경영 분석을 한 권에 망라했다는 점이 마음에 들었다. 그리고 그것을 저자가 일관된 형식으로 전달한다. 즉, 각각의 모델이 배경과 전략적 근거, 장/단점, 테크닉 적용 프로세스, 사례, FAROUT 서머리, 관련된 툴/테크닉, 참고문헌으로 아주 읽기 쉽도;

전략 경쟁 분석은 기존의 경영 분석 책과는 여러 면에서 차별적인 요소를 가지고 있다고 생각한다. 먼저, 24가지 가장 널리 활용되는 경영 분석을 한 권에 망라했다는 점이 마음에 들었다. 그리고 그것을 저자가 일관된 형식으로 전달한다. 즉, 각각의 모델이 배경과 전략적 근거, 장/단점, 테크닉 적용 프로세스, 사례, FAROUT 서머리, 관련된 툴/테크닉, 참고문헌으로 아주 읽기 쉽도록 구조화되어 있다. 거기에 각 분석 모델에 적절한 사례를 제시하고 있어서, 분석 기법을 실제로 적용하는데 도움을 줄 수 있을 것 같다. 경영 분석을 다루는 대개의 책들은 단순히 분석 모델을 소개하는 데 그치고 있지만, 이 책에서 저자들은 각각의 분석 모델에 대해서 자신들이 설정한 평가 기준(FAROUT)을 가지고 평가하려고 시도했다는 점이 특히 돋보였다. 더구나 방대한 참고자료를 제공하고 있기 때문에, 현장에서 업무를 담당하는 사람이나, 경영분석을 학문적으로 연구하려는 연구자들에게 모두 큰 도움이 될 것 같다.

배송/반품/교환 안내

배송 안내

안전하고 정확한 포장을 위해 CCTV를 설치하여 운영하고 있습니다.

고객님께 배송되는 모든 상품을 CCTV로 녹화하고 있으며, 철저한 모니터링을 통해 작업 과정에 문제가 없도록 최선을 다 하겠습니다.

기본적인 전략 분석

전략(Strategy)는 경영대학 수업을 듣고 있노라면, 하루에도 몇차례씩 나오는 용어이다.

경영학 원론에서 부터 경영전략, 그리고 전공 기초 과목들에서도 전략은 빠지지 않고 나타난다. 재무전략, 생산 운영 전략, 유통 전략, 마케팅 전략, MIS 전략, 신사업 전략 등등 이미 있는 과목에 전략이라는 단어만 붙여서 새로운 과목을 만들수도 있다.

조금 과장하면 전략의, 전략에 의한, 전략을 위한 커리큘럼이 경영대 커리큘럼이라고 볼 수도 있는 것 같다.

경영 전략을 세우기 위해 필요한 여러가지 분석 툴들이 있지만, 기본적인 것 몇가지만 설명하도록 하겠다.

경영의 각 기능별 전략 수립을 위한 분석 도구들을 하나하나 열거 하면 끝이 없다.

큰 그림에서 즉 전체적인 맥락에서 사용되는 것들 위주로 선정했다.

이러한 전략을 세우기 위해서는 어떤 도구가 필요하다. 가장 많이 쓰이는 것은 너무나 기초적인 SWOT 분석이다.

Strength, Weakness, Opportunity, Threat 이렇게 강점 , 약점, 기회, 위협이라는 네가지 영단어의 앞글자를 따서 말한다.

강점과 약점 그리고 기회와 위협은 서로 대비가 되는 용어이다. 그리고 강점과 기회 약점과 위협은 기업 또는 조직의 내부적 관점이냐, 아니면 외부적 요인에 의한 것이냐 라는 기준을 가지고 구분을 한다.

이것을 강점과 기회를 엮어서 SO전략 이런 식으로 사용하기도 한다.

예를 들면, 아이폰의 애플사의 강점이 차별화된 브랜드 이미지, 그리고 높은 브랜드 충성도, 프리미엄 이미지라고 하고 외부의 기회를 중국의 프리미엄 스마트폰의 성장세라고 하자. 그렇다면, SO전략은 강력한 브랜드파워로 중국 프리미엄 스마트폰 시장 진출 및 역량 집중이라는 전략이 나올 수 있을 것이다.

약점과 강점, 또는 약점과 위협 등등 다른 조합도 얼마든지 가능하다.

전략에서 이 분석틀을 활용하기 위해서는 단순히 용어의 뜻이나 정의만 알고 있는 것이 아니라, 내부의 핵심역량과 외부환경을 잘 분석한 후 자사에게 적합한 전략을 세워 시장에 대응하는 것이 핵심이다.

경쟁우위 전략으로 유명한 마이클 포터 ( Michael Eugene Porter) 교수가 고안한 경쟁환경 분석 모델이다.

사업구조 분석 모형이라고도 한다.

이와 같이 5개의 경쟁요소는 경쟁의 법칙에 영향을 미치게 된다. 또 이 5가지 요소는 산업의 매력과 수익성을 결정한다.

1. 신규 진입자의 위협 - 규모의 경제, 상표 정체성, 필요자본과 같안 요소는 신규 경쟁자들이 산업에 진입이 쉬운지 어려운지를 결정한다.

2. 대체재 위협 - 교체 비용과 구매자 충성도 같은 요소가 고객들이 대용품을 사는 정도를 결정한다.

3. 구매자 교섭력. 시장에서 고객 수, 고객 정보, 대체재의 이용 가능성 등이 구매자가 산업에서 갖는 영향력의 크기를 결정한다.

4. 공급자의 교섭력 - 공급자의 의존 정도와 대체재 투입의 능력 같은 요소가 공급자가 산업에서 기업에 대해 갖는 권리를 결정한다.

5. 기존 경쟁자.- 산업 성장률, 수요의 증가 또는 감소, 제품 차별화 요소가 산업에서 현재의 회사 간의 경쟁 정도를 결정한다.

이 5가지 요인을 평가하면서 위협과 기회 존재를 결정하고 적절한 경쟁 전략을 선택할 수 있게 된다.

보통 3가지 기본적인 전략 분석 경쟁 전략이 있다.

마이클 포터 교수는 이렇게 세가지를 경쟁전략으로 제시했다 마지막 집중 전략은 요즘에는 타이밍 전략으로 대체되서 설명이 나오기도 한다. 공부하는 사람 입장에서는 교수님 마다 설명이 다르니깐 짜증날 수 있다. 어쨌든 실전에서는 이런 용어 자체가 중요한게 아니니깐, 시험준비하는 사람은 각자 전공 교수님의 스타일이나 강의 중 설명을 우선하면 된다.

Value Chain 이라고 하는 모형을 이용하여 경영전략을 수립하는 데 사용한다. Value Chain은 보통 Value System과 함께 언급되므로 두가지 개념을 확실히 해놓는 것이 좋다. 가치사슬을 한 기업의 관점으로 본다면 가치 시스템은 여러 가치사슬들이 모여서 한 산업적인 관점에서 보는 것이다.

가치 사슬이란 원재료의 취급 시 시작에서 최종 이용자의 손에 완제품을 넘기기까지각 단계에서 가치를 부가하는 일련의 조직적 작업활동을 말한다.

이것도 마이클 포터 교수의 책에서 나오는 내용이다. 경영학의 아버지라는 피터 드러커보다 더 자주 보이시는 분이다.

암튼 주활동과 보조활동 또느 지원활동이라고 하는 부분으로 나누어지는 그림이 보인다. 주 활동은 직접적으로 부가가치를 창출하는 기업들의 메인 활동 즉 본업이라고 본다면, 지원활동은 재무, 인사 등등 주활동을 잘 할수 있도록 돕는 것이라고 볼수 있다.

5force 모델 (산업구조분석)은 기업을 둘러싼 외부 환경을 분석한 것이라면 가치사슬은 기업의 내부프로세스에 집중한 것이다. SWOT 분석은 기업의 내부 능력 및 역량과 외부 환경을 모두 검토하는 것이다. 일반적으로 SWOT 분석 후 다른 2가지 도구를 사용해 전략을 수립해 나간다.

담덕의 경영학노트

효율적 마케팅 전략을 위한 기본순서 - 마케팅 프로세스 5단계 (Marketing Process Model)

  • 담덕의 경영학노트
  • MBA Framework/마케팅 프레임워크
  • 2020. 4. 11.

효율적 마케팅전략을 위한 기본순서 - 마케팅 프로세스 5단계 (Marketing Process Model)

안녕하세요. 담덕입니다. 오늘은 필립코틀러 교수의 마케팅 프로세스 모델에 대한 내용을 정리해보도록 하겠습니다. 전통적인 기본적인 전략 분석 마케팅관리라고 할 수 있는 마케팅 프로세스는 리서치를 시작으로 해서 STP와 4P Mix의 단계를 거치게 됩니다. 마케팅이라는 학문이 은근히 공부해야할 내용들도 많고, 영역이 넓기 때문에 마케팅 프로세스의 흐름을 통해 내용만 정리해보는 시간을 가져보도록 하겠습니다.

마케팅 프로세스에 대한 내용을 알기전에 우선은 마케팅과 관련하여 많이 등장하는 용어인 '가치(Value)'에 대한 내용을 알아보고 넘어가도록 하겠습니다.

1. 가치에 대한 이해

가치라는 개념은 사전적인 의미로 사물이 지니고 있는 쓸모 또는 인간과의 관계에서 지니게 되는 중요성이라고 해석을 합니다. 가치는 구분 방식에 따라 물질적가치, 정신적가치, 도구적가치, 본래적가치로 나눌수가 있습니다.

이러한 가치들의 개념이 왜 마케팅에서 중요하냐면 고객은 기업에게 계속적으로 자신들의 욕구를 충족시켜 줄수 있는 물질이나 정신이나 도구 등을 요구하고 있습니다. 기업은 이를 받아들여서 고객이 필요로 하는 것과 원하는 것을 가치있는 것으로 만들어서 공급을 합니다. 이러한 교환과정을 통해 고객과 기업은 서로가 원하는 것을 교환을 통해 얻게 됩니다.

헌데 고객은 자신들이 필요로 하는 것 들이 무엇인지 잘 모르는 경우가 있습니다. 그래서 기업은 그것이 무엇인지를 알기 위해 고객을 분석하고 이해하려고 합니다. 그 무엇이 바로 '가치(vlaue)'라는 개념입니다.

2. Marketing Process

필립코틀러의 마케팅원리에서 제시하는 마케팅 프로세스는 아래 그림과 같습니다. 처음 1단계부터 4단계까지는 고객을 위한 가치를 창출하는 단계이고, 5단계는 고객관계를 구축한 댓가로 기업가치를 보상받게 되는 단계입니다.

기업은 먼저 고객욕구를 파악하기 위해 마케팅조사(Research)를 실시하게 되고, 그 결과를 바탕으로 고객 데이터를 분석합니다. 그 다음 2단계에서는 우리가 익히 들어서 알고 있는 개념인 STP전략을 실행합니다. 시장세분화와 표적시장선정은 어떤 소비자를 대상으로 할 것인가에 대한 해답을 찾는 과정이고, 차별화와 포지셔닝은 목표한 고객을 어떻게 만족시킬 것인가에 대한 해답을 찾는 과정입니다. 이것을 가치제안이라 부릅니다.

STP전략이 결정되면 기업은 이에 맞는 마케팅 프로그램을 개발하게 됩니다. 이를 4P Mix라고 표현을 하는데 마케팅 믹스요소는 제품, 가격, 유통, 촉진이 되며, 이것들을 통합적으로 조화롭게 운용한다고 해서 4p 믹스라고 부릅니다. 3단계까지 진행을 하게 되면 목표고객들과 가치에 기반을 둔 수익성있는 관계를 구축하는 단계로 넘어가게 되고, 이를 고객관계관리를 통해 이루어집니다. 마지막 5단계는 강력한 고객관계를 구축한 대가로 기업은 고객에게서 기업가치를 보상받게 됩니다.

마케팅은 고객가치창출과 고객관계구축을 통해 기업가치를 획득하는 과정이다라고 정의를 내릴수가 있겠습니다.

3. Research

마케팅의 첫 시작은 시장조사입니다. 기업들은 소비자들의 소비패턴을 분석해서 이를 마케팅 전략 수립에 활용을 합니다. 아래 그림을 보시면 마케팅정보시스템은 크게 내부정보와 고객정보, 마케팅 인텔리전스정보, 그리고 마케팅조사로 구성이 되어 있습니다.

내부정보와 고객정보 그리고 마케팅인텔리전스정보는 다른 목적으로 수집된 2차자료에 기반을 하고 있기 때문에 마케팅 문제 해결과는 직접적인 관계가 그렇게 높지 않습니다.그래서 마케팅문제의 직접적인 해결을 위해 마케팅 조사를 시행하게 됩니다. 마케팅조사는 총 4단계로 구성이 되어있고, 관련 내용은 위의 그림과 같습니다.

4. STP

마케팅 관리에서 가장 핵심이라 할수있는 부분은 STP전략입니다. 소비자행동에 대한 이해에 근거해서 시장을 세분화하고 표적시장을 선정하며 적절하게 제품을 포지셔닝하는 과정의 앞글자를 따서 STP라고 부릅니다.

STP는 수많은 경쟁자가 속해있는 시장속에서 우리가 경쟁해야할 최적의 시장을 찾아서 선택을 하고, 이 시장을 어떻게 공략할 것인지를 차별화요소와 경쟁우위요소를 가지고 전반적인 포지셔닝 전략을 취하는 것입니다.

5. 4P Mix

STP전략이 결정이 되면 기업은 통합된 마케팅프로그램을 개발하는 단계로 넘어가게 됩니다. 이를 마케팅믹스라고 부릅니다. 마케팅믹스는 기업이 목표시장의 고객에게서 기대하는 반응을 창출하기 위해 사용하는 통제 가능한 전술적인 마케팅 도구들의 집합을 의미합니다. 마케팅 믹스의 4가지 요소는 제품(Product), 가격(Price), 유통(Place), 촉진(Promotion)이며 이들의 앞글자를 따서 4P라고 부릅니다.

지금까지 마케팅을 공부하다보면 주로 4P에 해당하는 개별 요소들에 집중해서 다루어지는 경우가 많습니다. 하지만 마케팅믹스는 통합의 개념으로 접근을 하셔야 하고, 이 통합의 핵심기준은 바로 시너지창출입니다. 그래서 4P에 해당하는 요소들을 어떻게 효과적으로 통합할 것인지가 마케팅 프로그램 개발의 핵심이라고 할 수 있습니다.

6. 고객관계구축

마케팅 프로세스의 4번째 단계는 고객관계구축입니다. 고객관계를 관리하는 것을 CRM이라고 하는데요. CRM은 고객관리에 필수적인 요소들을 고객중심으로 정리해서 고객과의 장기적인 관계를 유지하는 경영방식을 뜻합니다. CRM은 고객관계를 뜻하기 때문에 고객지향적이고 관계지향적인 관리방식입니다.

고객이 상품과 서비스에 요구하는 가치를 고객가치라고 하고, 상품과 서비스가 고객이 기대했던 것 이상으로 가치가 있으면 고객만족으로 이어지게 됩니다. 고객가치는 기본적으로 품질, 서비스, 가격의 3요소 이루어집니다.

고객가치를 구하는 공식인 CPV를 보면 총고객가치에서 총고객부담비용을 빼는 것으로 고객가치를 구할 수가 있습니다. 총고객가치는 고객이 상품이나 서비스에 기대하는 품질과 서비스, 가격 등의 모든 편익을 합친 것을 의미하고, 총고객비용은 고객이 상품과 서비스에 들인 모든 비용을 의미합니다. 그래서 총고객가치에서 총고객비용을 빼면 고객이 상품이나 서비스에 대해 느끼는 가치인 고객지각가치(Customer Perceived Value)를 알수가 있게 됩니다.

7. 기업가치획득

마케팅관리의 마지막 단계는 기업가치의 획득 단계입니다. 우리가 지금껏 살펴본 1단계에서 4단계까지의 다양한 활동들을 통해 최종적으로 기업은 매출과 이익의 증대로 인해 높은 시장점유율을 얻게 됩니다. 기업이 이러한 기업가치를 획득하게 된 이유중 하나는 앞에서 살펴본 높은 고객가치를 창출하였기 때문입니다.

고개가치와 관련되어 필수적으로 알아야 할 내용은 고객생애가치(Customer Lifetime Value)입니다. 이것은 어떤 소비자가 그 일생동안 얼마만큼의 이익을 기업에 가져다주는가를 금전적인 가치로 환산한 것을 의미합니다. 다시말해 고객이 기업에게 제공하는 이익, 그것도 평생의 이익을 말합니다.

CVP를 구하는 공식은 여러방법이 있는데 그중에서 미국마케팅협회가 제시한 계산법은 보시는 그림과 같고, 여기에서 눈여겨보아야 부분은 바로 고객유지율입니다.

고객유지율은 어떤 고객이 그 다음해에도 여전히 고객으로 남아있을 확률을 뜻하는 것으로 CLV는 고객유지율이 높고 기업이 고객에게 제공하는 할인율이 낮을수록 커지게 됩니다. 고객 유지율이 높다는 것은 그만큼 고객충성도가 높아서 미래에도 계속적으로 해당 기업의 고객일 확률도 높다는 것을 의미합니다.

지금까지 필립코틀러의 마케팅 프로세스에 대해 알아보았습니다. 중요한 부분만 압축해서 정리를 했기 때문에 부분적으로는 부족한 점이 있을수 있지만 전반적인 마케팅 프로세스가 어떤 식으로 흘러가는지를 이해하는데는 충분하지 않았나 생각이 듭니다.

위험 전략을 통한 위험 분석

사용자 환경의 보안을 위해 가장 중요한 작업 중 하나는 취약점 해결 우선 순위를 정하는 것입니다. Nexpose 가 각각의 자산에서 수백 개 또는 수천 개의 취약점을 검색한 경우 가장 먼저 문제를 해결해야 하는 취약점 또는 자산은 어떻게 파악할까요?

각각의 취약점에는 익스플로이트 난이도 및 익스플로이트 후 해커가 사용자 환경에 미칠 수 있는 영향을 나타내는 여러 특징이 있습니다. 취약점이 사용자 환경에 미치는 위험은 이러한 특징으로 이루어 집니다.

또한 모든 자산은 해당 자산이 사용자 조직의 보안에 미칠 수 있는 영향과 관련된 위험을 갖고 있습니다. 예를 들어 신용 카드 번호를 포함하는 데이터베이스가 손상되면 조직에 발생하는 손실은 프린터 서버가 손상된 경우보다 훨씬 클 것입니다.

이 애플리케이션은 위험을 계산하기 위한 다양한 전략을 제공합니다. 조직의 특수한 보안 요구 사항 또는 목표에 따라 위험을 분석할 수 있도록 각각의 전략은 특정한 특징을 강조합니다. 또한 사용자 지정 전략을 생성하고 애플리케이션에 통합할 수도 있습니다.

위험 전략을 선택한 후 다음과 같은 방식으로 활용할 수 있습니다.

  • 위험을 기준으로 취약점이 웹 인터페이스 표에 나열되는 방식을 정렬합니다. 취약점을 정렬하면 즉각적인 조치가 필요한 취약점과 심각도가 높지 않은 취약점을 시각적으로 신속하게 파악할 수 있습니다. 보고서에서 시간에 따른 위험 추세를 검토해 문제 해결 작업의 진행 상태를 추적하거나 시간에 따라 네트워크의 여러 세그먼트에서 위험이 증가하는지 또는 감소하는지 확인할 수 있습니다.

위험 전략과 관련된 작업은 다음과 같습니다.

위험 전략 비교

각각의 위험 전략은 손상 발생 가능성, 손상의 영향 및 자산의 중요도와 같은 요소를 계산하는 데 사용하는 공식에 기반합니다. 각각의 공식은 다양한 범위의 숫자 값을 생성합니다. 예를 들어 Real 리스크 전략이 생성할 수 있는 최대 지수는 1,000인 반면 임시 전략은 상한값 제한이 없어 취약점 지수가 수십만에 달할 수 있습니다. 이는 스캔 데이터의 여러 세그먼트에 다양한 전략을 적용하는 경우 기억해야 할 중요한 사항입니다. 위험 전략 변경 및 기존 스캔 데이터 재계산을 참조하십시오.

사용할 수 있는 위험 전략 중 많은 전략이 위험 진단에 동일한 요소를 사용하며 각각의 전략은 관련 요소를 다양한 방식으로 평가하고 집계합니다. 일반적인 위험 요소는 취약점 영향, 초기 익스플로이트 난이도 및 위험 노출의 세 가지 범주로 분류됩니다. 취약점 영향 및 초기 익스플로이트 난이도로 구성된 요소는 CVSS(Common Vulnerability Scoring System)에 사용되는 6개의 기본적인 메트릭입니다.

  • 취약점 영향은 취약점을 통한 해킹이 발생할 때 자산에서 손상될 수 있는 부분 및 손상의 정도를 나타냅니다. 취약점 영향은 세 가지 요소로 구성됩니다. 기밀성 영향은 데이터가 권한 없는 사용자 또는 시스템에 노출되는 것입니다. 무결성 영향은 데이터가 권한 없이 변경되는 것입니다. 가용성 영향은 자산의 데이터에 액세스할 수 없는 것입니다. 초기 익스플로이트 난이도는 취약점을 통한 해킹이 성공할 가능성을 나타내며 다음과 같은 세 가지 요소로 구성됩니다. 액세스 벡터는 취약점을 익스플로이트하기 위해 필요한 해커와 자산의 근접성을 나타냅니다. 해커가 로컬 액세스를 확보해야 하는 경우 위험도는 낮아집니다. 근접성 요건이 감소하면 위험이 커집니다. 액세스 복잡성은 필요한 기술 및 익스플로이트 실행에 필요한 상황의 두 가지 기본적인 전략 분석 측면 모두에서 살펴본 익스플로이트 실행 난이도에 기반한 익스플로이트 발생 가능성을 나타냅니다. 액세스 복잡성이 감소하면 위험이 커집니다. 인증 요건은 해커가 취약점을 익스플로이트하기 위해 실행해야 하는 인증의 수에 기반한 익스플로이트 발생 가능성을 나타냅니다. 필수 인증 수가 감소하면 위험이 커집니다. 위험 노출은 세 가지 변수를 포함합니다. 취약점 기간은 취약점이 보안 커뮤니티에 알려진 기간을 나타냅니다. 취약점 존재가 알려진 기간이 길수록 이러한 커뮤니티가 취약점 익스플로이트 기본적인 전략 분석 방법을 고안했을 가능성과 자산에서 해당 취약점에 대한 해킹이 발생할 가능성이 증가합니다. 취약점 기간이 오래되면 위험이 커집니다. 익스플로이트 노출은 Metasploit Framework에 따라 취약점 관련 등급이 가장 높은 익스플로이트의 등급을 나타냅니다. 이러한 등급은 알려진 익스플로이트가 취약한 자산을 얼마나 쉽게 그리고 지속적으로 손상시킬 수 있는지 나타냅니다. 익스플로이트 노출이 증가하면 위험이 커집니다. 멀웨어 노출은 익스플로이트 키트라고도 하는 취약점과 관련된 멀웨어 키트의 발생 가능성을 나타냅니다. 개발자들은 해커가 악성 코드를 작성 및 구축하여 관련 취약점을 통해 대상을 해킹하기 쉽도록 이러한 키트를 생성합니다.

메트릭을 선택하기 전에 각각의 모델에 대한 요약을 검토하십시오.

Real 리스크 전략

이 전략은 익스플로이트 또는 멀웨어 키트가 개발된 취약점 해결 조치의 우선 순위를 정하는 데 유용합니다. 사용자 환경이 단순한 익스플로이트 또는 폭넓게 액세스 가능한 멀웨어 키트를 통해 개발된 감염에 노출되는 보안 허점에는 즉각적인 조치가 기본적인 전략 분석 기본적인 전략 분석 필요할 수 있습니다. Real 리스크 알고리즘은 각각의 취약점에 대한 고유한 익스플로이트 및 멀웨어 노출 메트릭을 발생 가능성 및 영향에 대한 CVSS 기반 메트릭에 적용합니다.

특히 이 모델은 취약점의 기밀성, 무결성 및 가용성 영향에 기반해 최대 영향을 0~1,000 범위로 계산합니다. 이러한 영향을 항상 1 미만인 분수로 나타나는 발생률 요소로 곱합니다. 발생률 요소의 초기 값은 CVSS의 취약점 초기 익스플로이트 난이도 메트릭인 액세스 벡터, 액세스 복잡성 및 인증 요건에 기반합니다. 발생률 요소는 위험 노출에 의해 변경됩니다. 즉 발생률은 취약점의 기간에 따라 증가해 1에 점차 가까워 집니다. 발생률이 시간에 따라 증가하는 속도는 익스플로이트 노출 및 멀웨어 노출에 기반합니다. 취약점 위험은 CVSS 영향 메트릭에 의해 결정되는 최대 영향을 절대로 초과하지 않습니다.

Real 리스크 전략은 기본 영향으로 요약할 수 있으며 손상의 초기 발생률 및 시간에 따른 위험 노출 정도에 따라 수정할 수도 있습니다. 최대 Real Risk 지수는 1,000입니다.

TemporalPlus 전략

TemporalPlus 전략은 임시 전략과 마찬가지로 취약점 존재가 알려진 기간을 강조합니다. 하지만 TemporalPlus 전략은 부분적인 영향 벡터의 위험 요인을 확대하여 취약점을 더욱 세부적으로 분석합니다.

TemporalPlus 리스크 전략은 기밀성, 무결성 및 가용성 영향을 액세스 벡터와 함께 사용하여 근접성에 기반한 취약점의 영향을 집계합니다. 이러한 영향은 액세스 복잡성 및 인증 요건과 같은 익스플로이트 난이도 메트릭의 집합에 따라 감소합니다. 반면 위험은 취약점 기간에 따라 증가합니다.

TemporalPlus 전략에는 상한값 제한이 없습니다. 위험도가 높은 취약점의 경우 취약점 지수는 수십만에 달할 수 있습니다.

이 전략은 같은 벡터에 대해 “부분적인” 영향 값을 가진 취약점과 관련된 위험을 영향 값이 “없음”인 취약점과 관련된 위험과 구분합니다. 이는 이 두 가지 위험을 동일하게 간주하는 임시 전략에서 TemporalPlus 전략으로 전환할 때 기억해야 할 중요한 사항입니다. 이러한 전환을 실행하면 사용자 환경에서 이미 감지된 많은 취약점에 대한 위험 지수가 증가합니다.

임시 전략

이 전략은 취약점의 존재가 알려진 기간을 강조하므로 오래된 취약점의 해결 우선 순위를 정하는 데 유용합니다. 오래된 취약점은 해커에게 알려진 기간이 길어 익스플로이트하기 보다 쉽습니다. 또한 취약점이 오래될수록 일반적으로 많이 알려지지 않은 익스플로이트가 존재할 가능성이 높습니다.

임시 리스크 전략은 기밀성, 무결성 및 가용성 영향을 액세스 벡터와 함께 사용하여 근접성에 기반한 취약점의 영향을 집계합니다. 이러한 영향은 액세스 복잡성 및 인증 요건과 같은 익스플로이트 난이도 메트릭의 집합을 분류하여 감소합니다. 반면 위험은 취약점 기간에 따라 증가합니다.

임시 전략에는 상한값 제한이 없습니다. 위험도가 높은 취약점의 경우 취약점 지수는 수십만에 달할 수 있습니다.

가중 전략

가중 전략 사이트에 중요도를 할당하거나 대상 자산에서 실행되는 서비스와 관련된 위험을 진단할 때 유용합니다. 이 전략은 주로 사이트 중요도, 자산 데이터 및 취약점 유형에 기반하며 다음의 요소를 강조합니다.

    이 애플리케이션이 각 취약점에 대해 계산하여 1~10의 숫자로 나타내는 심각도 수준 취약점 인스턴스 수
  • 자산의 서비스 수와 유형, 예를 들어 데이터베이스는 비즈니스 가치가 높음
  • 사이트를 구성할 때 사이트에 할당하는 중요도 또는 비중: 동적 사이트 구성 또는 시작: 정보 및 보안을 참조하십시오. 가중 리스크 지수는 취약점의 수에 따라 증가합니다. 자산에 취약점이 많으면 위험 지수는 커집니다. 이 지수는 주로 한 자릿수 또는 두 자릿수로 나타나며 소수점을 포함합니다.

PCI ASV 2.0 위험 전략

PCI ASV 2.0 위험 전략은 PCI DSS(Payment Card Industry Data Security Standard) 버전 2.0에 기반한 지수를 검색된 모든 취약점에 적용합니다. 범위는 1(최소 심각도)~5(최대 심각도)입니다. 이 모델을 통해 ASV(Approved Scan Vendor) 및 기타 사용자는 PCI 2.0 지수에 따라 취약점을 분류하고 이러한 지수를 PCI 보고서에서 확인하여 PCI 관점에서 위험을 평가할 수 있습니다. 또한 5점 단위의 심각도 범위를 바탕으로 조직은 위험을 간단하게 요약 평가할 수 있습니다.

위험 전략 변경 및 기존 스캔 데이터 재계산

사용자 환경에 존재하는 위험을 다른 관점에서 검토하기 위해 현재의 위험 전략을 변경할 수 있습니다. 이러한 변경에 따라 향후의 스캔을 통해 나타나는 위험 지수는 기존 스캔의 위험 지수와 크게 다를 수 있으므로 기존 스캔 데이터의 위험 지수를 재계산하는 옵션을 선택할 수도 있습니다.

이를 통해 시간에 따른 위험 추세를 일관적으로 추적할 수 있습니다. 위험 추세 차트를 통해 보고서를 생성하는 경우 기존의 지수가 향후 스캔의 지수와 일치하도록 특정 스캔 데이터 범위의 지수를 재계산할 수 있습니다. 이를 통해 위험 추세 보고의 일관성을 유지할 수 있습니다.

예를 들어 사용자가 노출 기반 위험 분석을 수행하기 위해 12월 1일 위험 전략을 임시 전략에서 Real 리스크로 변경합니다. 사용자는 조직의 경영진에게 문제 해결 자원을 위한 투자 덕분에 해당 연도의 첫 번째 분기에 위험 절감에 긍정적인 효과가 나타났음을 설명하고자 할 수 있습니다. 따라서 Real 리스크를 전략으로 선택하는 경우 4월 1일 이후의 모든 스캔 데이터에 대한 Real 리스크 지수를 계산하고자 할 수 있습니다.

계산 시간은 다양하게 나타납니다. 재계산하는 스캔 데이터의 양에 따라 계산에는 수 시간이 소요될 수 있습니다. 진행 중인 재계산을 취소할 수 없습니다.

注意: 재계산이 진행 중일 때 스캔 및 보고와 같은 일반적인 작업을 수행할 수 있습니다. 하지만 위험 지수를 포함하는 보고서를 재계산이 진행 중일 때 실행하면 이러한 지수가 일치하지 않을 수 있습니다. 이 보고서는 이전에 사용된 위험 전략의 지수와 새로운 전략의 지수를 모두 포함할 수 있습니다.

위험 전략을 변경하고 기존 스캔 데이터를 재계산하는 단계:

  1. 보안 콘솔 웹 인터페이스에서 관리 아이콘을 클릭합니다.

콘솔이 관리 페이지를 표시합니다.

보안 콘솔이 글로벌 설정 패널을 표시합니다.

  1. 왼쪽 탐색 창에서 위험 전략을 클릭합니다.

보안 콘솔이 위험 전략 페이지를 표시합니다

새로운 위험 전략을 선택합니다.

    기본적인 전략 분석
  1. 위험 전략 페이지에서 원하는 위험 전략 화살표를 클릭하면 해당 정보를 확인할 수 있습니다.

이 정보에는 전략 및 관련된 계산 요소, 전략의 출처(기본 또는 사용자 지정), 현재까지의 전략 이용 기간(현재 선택된 전략의 경우)에 대한 설명이 포함됩니다.

  1. 해당 위험 전략의 라디오 버튼을 클릭합니다.
  2. 기존 스캔 데이터의 지수를 재계산하지 않으려면 재계산하지 않음을 선택합니다.
  3. 저장을 클릭합니다. 다음 단계는 생략할 수 있습니다.

(선택 사항) 위험 전략 이용 내역을 확인합니다.

다양한 위험 전략이 사용자의 모든 스캔 데이터에 적용된 방식을 확인할 수 있습니다. 이 정보를 통해 위험 추세의 일관성을 유지하기 위해 재계산해야 하는 스캔 데이터의 양을 파악할 수 있습니다. 또한 위험 추세 데이터의 세그먼트가 일치하지 않는 이유도 파악할 수 있습니다.

  1. 위험 전략 페이지에서 이용 내역을 클릭합니다.
  2. 위험 전략 이용 상자에서 현재 이용 탭을 클릭해 사용자의 전체 스캔 데이터 세트에 현재 적용되는 모든 위험 전략을 확인합니다.

상태 열에서 성공적으로 완료되지 않은 계산이 있는지 확인합니다. 이에 따라 계산을 다시 실행해 위험 추세 데이터에 있는 일치하지 않는 섹션을 수정할 수 있습니다.

  1. 감사 변경 탭을 클릭해 설치 내역에서 위험 전략 이용에 대한 모든 변경 사항을 확인합니다.

이 섹션의 표에는 적용된 다른 위험 전략, 영향을 받는 데이터 범위, 변경을 실행한 사용자와 같은 모든 인스턴스가 나열됩니다. 이러한 정보는 또한 위험 추세의 불일치 수정 또는 기타 용도에 유용합니다.

  1. (선택 사항) CSV로 내보내기 아이콘을 클릭해 내부 용도로 스프레드시트에서 사용할 수 있는 CSV 형식으로 감사 변경 정보를 내보냅니다.

기존 스캔 데이터의 위험 지수를 재계산합니다.

  1. 재계산하려는 스캔 데이터의 데이터 범위에 대한 라디오 버튼을 클릭합니다. 전체 내역을 선택하면 첫 번째 스캔 이후의 모든 데이터에 대한 지수가 재계산됩니다.
  2. 저장을 클릭합니다.

콘솔이 완료된 재계산의 비율을 나타내는 상자를 표시합니다.

사용자 지정 위험 전략 이용

사용자는 조직의 보안 목표에 따른 특수한 관점에서 위험을 분석하는 사용자 지정 전략을 통해 위험 지수를 계산하고자 할 수 있습니다. 사용자 지정 전략을 생성해 Nexpose 에서 사용할 수 있습니다.

각각의 위험 전략은 XML 기본적인 전략 분석 문서로 제공됩니다. 사용자 지정 전략의 고유한 내부 식별자인 id 속성을 포함하는 RiskModel 구성 요소가 필요합니다.

RiskModel에는 다음과 같은 하위 구성 요소가 포함됩니다.

    name: 웹 인터페이스의 위험 전략 페이지에 나타나는 전략의 이름입니다. 데이터 유형은 xs:string입니다. description: 웹 인터페이스의 위험 전략 페이지에 나타나는 전략에 대한 설명입니다. 데이터 유형은 xs:string입니다.

注意: Rapid7 PSO(Professional Services Organization)는 사용자 지정 위험 평가 개발 기능을 제공합니다. 자세한 내용은 고객 담당자에게 문의하십시오.

    VulnerabilityRiskStrategy: 이 하위 구성 요소는 전략에 대한 수학적인 공식을 포함합니다. 기본으로 제공되는 전략의 XML 파일을 참조해 VulnerabilityRiskStrategy 하위 구성 요소의 구조 및 컨텐츠 모델로서 참고하시기 바랍니다.

사용자 지정 위험 전략의 XML 파일에 포함되는 구조:

이 사용자 지정 위험 전략에서는 여러 중요한 요소가 강조됩니다.

注意: 애플리케이션을 예상대로 작동하기 위해 사용자 지정 전략의 XML 파일이 체계적인 형식으로 구성되고 모든 필수 구성 요소를 포함하는지 확인하십시오.

Nexpose 에서 사용자 지정 위험 전략을 사용하는 단계:

  1. 사용자 지정 XML 파일을 디렉토리

사용자 지정 전략이 위험 전략 페이지에서 목록의 상단에 나타납니다.

위험 전략 표시 순서 설정

위험 전략의 순서를 설정하려면 다음의 예와 같이 선택 사항인 order 하위 구성 요소에 0보다 큰 수를 지정해 추가합니다. 0을 지정하면 전략이 가장 마지막에 나타납니다.

Jane의 사용자 지정 위험 전략

Jane의 사용자 지정 전략에서는 Jane에게 중요한 요소가 강조됩니다.

  1. 다음 디렉토리 중 하나에서 해당 위험 전략 XML 파일을 엽니다:
  • 사용자 지정 전략: [installation_directory]/shared/riskStrategies/custom/global
  • 기본 전략: [installation_directory]/shared/riskStrategies/builtin
  1. 앞의 예와 같이 order 하위 구성 요소에 파일 번호를 지정해 추가합니다.
  2. 파일을 저장 후 닫습니다.
  3. 보안 콘솔을 재시작합니다.

위험 전략 표시 순서 변경

위험 전략이 위험 전략 페이지에 나열되는 순서를 변경할 수 있습니다. 이 기능은 목록에 여러 전략이 있으며 이중 자주 사용하는 전략을 목록의 위쪽에 나열할 때 유용합니다. 순서를 변경하려면 위험 전략의 XML 파일에서 선택 사항인 order 구성 요소를 사용해 순서 번호를 각각의 개별 전략에 지정합니다. 이는 RiskModel 구성 요소의 하위 구성 요소입니다. 사용자 지정 위험 전략 이용 을 참조하십시오.

예: 조직의 관계자 세 명이 각각 사용자 지정 위험 전략: Jane의 위험 전략, Tim의 위험 전략Terry의 위험 전략을 생성합니다. 각각의 전략에 순서 번호를 지정할 수 있습니다. 또한 기본 제공되는 위험 전략에도 순서 번호를 지정할 수 있습니다.

다음과 같은 순서가 생성될 수 있습니다.

  • Jane의 위험 전략(1)
  • Tim의 위험 전략(2)
  • Terry의 위험 전략(3)
  • Real 리스크(4)
  • 기본적인 전략 분석
  • TemporalPlus(5)
  • 임시(6)
  • 가중(7)

注意: 기본 제공 전략의 순서는 제품이 업데이트될 때마다 기본 순서로 재설정됩니다.

사용자 지정 전략은 항상 기본 제공 전략 위에 표시됩니다. 따라서 사용자 지정 전략과 기본 제공 전략에 같은 번호를 지정하거나 기본 제공 전략에 앞 번호를 지정해도 사용자 지정 전략이 항상 먼저 표시됩니다.

위험 전략에 번호를 지정하지 않으면 해당 전략은 각각의 그룹(사용자 지정 또는 기본 제공)에서 하단에 표시됩니다. 다음 예의 순서에서는 하나의 사용자 지정 전략과 두 개의 기본 제공 전략에 번호 1이 지정되었습니다.

하나의 사용자 지정 전략과 하나의 기본 제공 전략에는 번호가 지정되지 않았습니다.

  • Jane의 위험 전략(1)
  • Tim의 위험 전략(2)
  • Terry의 위험 전략(지정된 번호 없음)
  • 가중(1)
  • Real 리스크(1)
  • TemporalPlus(2)
  • 임시(지정된 번호 없음)

Tim의 사용자 지정 전략은 다른 두 개의 기본 제공 전략보다 뒷 번호가 지정되었지만 이 두 개의 전략보다 위에 표시되었습니다.

스캔 상태에 따른 위험 지수 계산 방식

자산 스캔 시 스캔 완료 상태가 되기 전에 여러 단계가 수행됩니다. 모든 필수 스캔 단계가 완료되지 않은 자산은 진행 중 상태로 표시됩니다. Nexpose 는 스캔 완료 상태인 자산의 데이터에만 기반해 위험 지수를 계산합니다.

스캔이 중지되거나 일시 중지되면 이 애플리케이션은 완료 상태가 아닌 자산의 결과를 위험 지수 계산에 사용하지 않습니다. 예: 10개의 자산을 같이 스캔합니다. 일곱 개의 자산이 스캔 완료 상태이며 세 개는 그렇지 않습니다. 스캔이 중지됩니다. 스캔 완료 상태인 일곱 개의 자산의 결과를 바탕으로 위험이 계산됩니다. 진행 중 상태인 세 개의 자산의 경우 마지막에 완료된 스캔의 데이터가 사용됩니다.


0 개 댓글

답장을 남겨주세요