보안 관제의 새로운 패러다임 ‘XDR·EDR·MDR’ [보안TMI] 작성일 02-01 1 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="2ANzCLPKLK"> <p contents-hash="5e612c6bd21f5371771cd81811bd756063ce90f045bf26e0eb9a1f06a30984f2" dmcf-pid="VcjqhoQ9ib" dmcf-ptype="general">IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 '보안TMI(Too Much Information)' 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]</p> <div contents-hash="0e8a665d08fc0c79101e7ef86494103599d00faf8011c05ba11e17001984dcf9" dmcf-pid="fkABlgx2nB" dmcf-ptype="general"> 보안관제센터에는 하루에도 수백, 수천 건의 경고가 쏟아진다. 분석가는 이 경고들 사이에서 진짜 위협을 가려내야 하지만, 여러 시스템을 오가며 데이터를 대조하는 사이 공격이 이미 진행되고 있는 경우도 적지 않다. </div> <figure class="figure_frm origin_fig" contents-hash="b14949e8e45755ab094093139f195c9b70f4c841add5819300f3bd6c9e42bd8d" data-idxno="435896" data-type="photo" dmcf-pid="4EcbSaMVRq" dmcf-ptype="figure"> <p class="link_figure"><img alt=". / 챗GPT 생성" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/01/552810-SDi8XcZ/20260201060017366kahi.png" data-org-width="1280" dmcf-mid="9exXj8ztn9" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/01/552810-SDi8XcZ/20260201060017366kahi.png" width="658"></p> <figcaption class="txt_caption default_figure"> . / 챗GPT 생성 </figcaption> </figure> <p contents-hash="9bfbf29ee09a181a42a2e724544fbf64ff7a0c7b460d9806cf208489612d684e" dmcf-pid="8DkKvNRfiz" dmcf-ptype="general">전통적인 보안 관제의 중심에 있던 보안 정보 및 이벤트 관리(SIEM)은 방화벽, 서버, 네트워크 장비의 로그를 수집해 분석하는 방식으로 운영돼 왔다. 그러나 미리 정해둔 규칙에 따라 위협을 탐지하는 구조이기 때문에 새로운 유형의 공격은 놓치기 쉽고, 탐지 이후의 분석과 대응은 온전히 사람의 몫이었다. 이러한 한계를 극복하기 위해 등장한 것이 엔드포인트 탐지·대응(EDR), 확장형 탐지·대응(XDR), 관리형 탐지·대응(MDR)으로 대표되는 차세대 탐지·대응 솔루션이다.</p> <p contents-hash="f578a1b8d49d71950d4806eb23ce24b84edfdd3120cf61e6789ad96fabc56227" dmcf-pid="6f2SJBtWe7" dmcf-ptype="general">EDR은 PC, 서버, 모바일 기기 같은 엔드포인트를 실시간으로 감시하는 솔루션이다. 엔드포인트에서 발생하는 모든 활동과 이벤트를 기록하고, 파일 변경, 프로세스 실행, 레지스트리 수정 같은 행위를 분석해 이상 징후를 포착한다. 파일리스 공격이나 랜섬웨어처럼 기존 방식으로는 탐지가 어려웠던 위협도 식별할 수 있다. 위협이 확인되면 감염된 기기를 네트워크에서 즉시 격리하는 자동 대응도 가능하다.</p> <p contents-hash="0c6bade7879b29eef9c44f247f27b33caf5a8beaebec1e07328b00d208725dbe" dmcf-pid="P4VvibFYdu" dmcf-ptype="general">이러한 강점 덕분에 EDR은 공공기관과 금융권, 대기업을 중심으로 빠르게 도입되고 있다. 시장조사기관 모도르 인텔리전스에 따르면 글로벌 EDR 시장은 2025년 51억달러(약 7조3486억원)에서 2030년 154억5000만달러(약 22조2619억원) 규모로 성장할 전망이다. 다만 EDR의 감시 범위는 엔드포인트에 한정된다. 네트워크를 통한 침입이나 클라우드 환경에서 발생하는 위협까지 연계 분석하는 데에는 구조적 한계가 있다.</p> <p contents-hash="3a38bda9f439c058b099f5cff2d9cb6781d5d7733d1252a2aab8bb9dec7100d7" dmcf-pid="Q8fTnK3GRU" dmcf-ptype="general">이러한 한계를 보완하기 위해 등장한 것이 XDR이다. XDR은 엔드포인트뿐 아니라 네트워크, 클라우드, 이메일, 사용자 계정까지 IT 환경 전반에서 데이터를 수집하고 통합 분석한다.</p> <p contents-hash="4292550be72d49766cd896aefcf958828ffe4a533e67bc8cda19bab27575ad18" dmcf-pid="x64yL90HRp" dmcf-ptype="general">기존에는 EDR, 네트워크 탐지 및 대응(NDR), SIEM이 각각 따로 운영되면서 위협 정보가 분산돼 있었다. 각 시스템이 개별적으로 경고를 보내기 때문에 전체 공격 흐름을 파악하려면 분석가가 직접 데이터를 연결해야 했다. XDR은 이들 데이터를 한곳에 모아 상관 분석함으로써 공격의 시작점부터 확산 경로, 최종 목표까지 한 눈에 파악할 수 있도록 한다. 인공지능 기반 분석으로 위협 탐지부터 원인 추적, 대응 조치까지 자동화한 것도 XDR의 핵심이다. 분석가가 일일이 판단하고 조치하던 과정을 시스템이 대신 처리하면서 대응 속도가 빨라지고 전문 인력에 대한 의존도도 낮아진다. </p> <p contents-hash="e62087a7c1909403ba8989bd3ef035e83488aa20373cffc73a09549239e8a2a6" dmcf-pid="yShx1sNdn0" dmcf-ptype="general">MDR은 EDR이나 XDR을 외부 전문업체가 서비스 형태로 운영해 주는 모델이다. 솔루션을 도입해도 이를 운영할 전문 인력이 부족한 기업이 많다는 현실에서 출발했다. MDR 서비스를 이용하면 24시간 전문가 팀이 네트워크를 모니터링하고, 위협을 탐지해 분석하며, 침해 사고 발생 시 대응까지 수행한다. 자체 보안운영센터(SOC)를 구축하려면 상당한 비용과 인력이 필요한데, MDR은 이를 구독 서비스 형태로 제공함으로써 중소기업도 수준 높은 보안 관제를 받을 수 있도록 한다.</p> <p contents-hash="9b7dcf0bb605396b4a7c33c485a7c6c71505d6a091df412d9b8960da0077a2f3" dmcf-pid="WvlMtOjJR3" dmcf-ptype="general">세 솔루션은 데이터 수집과 분석, 대응이라는 점에서 비슷해 보이지만 역할과 범위에는 차이가 있다.</p> <p contents-hash="bb1b2587f862eafccb36ae44037cf61e6deed733336710a7f1cf55d5a1bb1cc4" dmcf-pid="YTSRFIAiMF" dmcf-ptype="general">EDR은 엔드포인트에 특화된 정밀한 탐지와 포렌식 분석에 강점이 있다. XDR은 IT 환경 전반을 아우르는 통합 가시성과 자동화 대응에 초점을 맞춘다. MDR은 기술이라기보다 서비스 모델에 가깝다.</p> <p contents-hash="2be23a93bcffd4ca64d545500b0bb2b10d9fc7d99de9487e8ea935a32ce8212c" dmcf-pid="Gyve3Ccnnt" dmcf-ptype="general">조직의 규모와 보안 역량에 따라 선택은 달라질 수 있다. 인프라가 제한적인 중소기업은 EDR만으로도 엔드포인트 보호 효과를 볼 수 있다. 내부에 전담 인력이 없다면 MDR을 통해 외부 전문가의 도움을 받는 것이 현실적인 선택이다. SIEM이 여전히 로그 관리와 컴플라이언스 영역에서 역할을 수행하고 있지만, 실시간 대응과 자동화 측면에서는 XDR이 이를 보완하거나 대체하는 흐름이 뚜렷해지고 있다.</p> <p contents-hash="ae9cb991918ecc9325ba6c7243c79914146d9ff35011bd820b3435d60d7b8c12" dmcf-pid="HWTd0hkLJ1" dmcf-ptype="general">국내 시장은 아직 초기 단계다. 과학기술정보통신부의 2024년 정보보호산업 실태조사에 따르면 XDR을 도입했거나 검토 중인 기업은 전체의 9.8%에 불과하며, 이 가운데 절반 이상이 기술 검증 단계에 머물러 있다. 초기 구축 비용이 높고, 기존 EDR이나 SIEM과의 연동이 기술적으로 복잡하며 이를 운영할 인력이 부족하다는 점이 걸림돌로 꼽힌다. </p> <p contents-hash="3174eba151211d67abed88f13fb582dc3f1113640d67c9f863fcc798e644ed12" dmcf-pid="XYyJplEoR5" dmcf-ptype="general">홍주연 기자<br>jyhong@chosunbiz.com</p> </section> </div> <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p> 관련자료 이전 [브라보 모먼트] “도와주려는 사람들이 있는 게 행복한거죠” 02-01 다음 슈, S.E.S. 노래 열창하며 '손절설' 바다 언급…"언니 파트가 제일 높아" 02-01 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
