.gif)
EDR이 강화된 엔드포인트 지킴이라면 XDR은 전체를 조율하는 지휘자
EDR/XDR에 대한 사용자 설문조사
EDR/XDR 전문기업 집중분석: 안랩, 쿼드마이너, 팔로알토 네트웍스, 스텔라사이버, 이글루코퍼레이션
[보안뉴스 원병철 기자] 2013년 가트너의 안톤 추바킨(Anton Chuvakin)이 ‘ETDR; Endpoint Threat Detection and Response(현 EDR)’라는 용어를 처음 사용하면서 시작된 위협탐지에 대한 고민은 2018년 팔로알토 네트웍스의 공동창업자인 니어 주크(Nir Zuk)가 주장한 ‘XDR(eXtended Detection and Response)’로 심화됐다. 보안을 강화하기 위해 하나씩 늘어난 보안 솔루션이 뱉어내는 데이터가 어느새 사람이 일일이 대응하기 힘든 수준이 된 요즘, EDR과 XDR의 등장은 너무나도 당연한 순서였다. 하지만 새로운 신기술이 자리 잡기까지는 오랜 시간이 걸리기 마련. 현재 EDR과 XDR의 상황은 어떤지 알아보자.
[자료: gettyimagesbank]
보안위협 탐지부터 대응까지, 자동화를 꿈꾸는 EDR과 XDR
안톤 추바킨이 2013년 7월 자신의 블로그에서 ‘Named: Endpoint Threat Detection and Response’라는 제목의 글을 통해 EDR의 개념을 처음 제시했지만, 사실 엔드포인트에서 발생하는 위협을 탐지하고 분석하려는 시도는 이전부터 있었다. 특히 기존 안티바이러스의 시그니처(Signature) 기반 방식의 한계, 즉 잘 알려진 멀웨어가 아닌 신종이나 변종 멀웨어는 탐지하기 어렵다는 것을 해결하기 위해 데이터를 수집하거나 멀웨어의 악성 행위를 조사하는 등의 연구는 계속됐다.
예를 들면, EDR이란 용어가 처음 등장한 건 2013년이지만, 상용화된 EDR로 꼽히는 제품 중 하나인 맨디언트의 ‘Mandiant Intelligent Response’는 2010년 출시했다. 물론 그 이전에도 EDR의 핵심 기능을 다 갖춘 것은 아니었지만 비슷한 성격의 제품들이 있었고, 이들의 노력으로 EDR로 진화하는 기반 기술이 하나씩 만들어진 것이라 할 수 있다.
EDR, 엔드포인트 보안을 위한 진화의 결과물
그렇다면 EDR의 정확한 정의는 무엇일까? 일반적으로 알려진 EDR은 엔드포인트(PC, 서버, IoT 기기 등)에서 발생하는 보안위협을 실시간으로 탐지하고 분석하며 대응하는 기술을 말한다. 단순히 보안위협을 탐지하는 데 그치지 않고 위협을 차단하고 복구하며, 나아가 보안위협의 행위를 분석한다.
즉, 엔드포인트를 ①실시간으로 모니터링하고 ②데이터를 수집해 문제를 탐지하며 ③문제 발견시 이를 사용자에게 알려주어 ④대응하고 복구할 수 있도록 돕는 것이 바로 EDR이다.
안랩은 EDR을 “PC, 서버 등 엔드포인트에서 발생하는 위협을 탐지하고 대응하는 솔루션”이라고 정의했다. 아울러 “주로 사용자 PC, 서버 등 단말 단위 위협을 중심으로 정밀한 행위 기반 탐지와 차단이 이뤄지며, 단순한 탐지를 넘어 위협의 원인과 경로를 분석해 실시간 대응과 사후 조사까지 지원하는 것이 특징”이라고 강조했다.
또한, 스텔라사이버는 “EDR은 전통적인 백신을 넘어선 차세대 엔드포인트 보안 솔루션”이라고 설명했다. “백신이 주로 알려진 악성코드의 시그니처를 기반으로 차단하는 데 중점을 둔다면, EDR은 엔드포인트에서 발생하는 모든 행위(프로세스 실행, 레지스트리 변경, 네트워크 연결 등)를 지속적으로 모니터링하고 기록해 알려지지 않은 위협이나 비정상적인 활동을 탐지하고 대응하는 데 초점을 맞춥니다.”
지니언스는 “단말의 이상 행위를 실시간으로 탐지하고 대응하는 차세대 보안 솔루션”이라고 정의했다. 특히 단말에서 발생하는 모든 행위를 모니터링하고 기록하며, 보다 정밀한 위협 대응을 돕는다면서, 악성코드의 유입과 감염뿐 아니라, 취약점을 통한 내부 확산, 반복적이고 비정상적인 행위 등을 사전에 탐지하고 차단한다고 덧붙였다. 그리고 “보안사고 발생 시에는 행위 기반 로그 분석과 감사 증적 확보를 통해 신속한 원인 파악과 재발 방지까지 지원한다”라고 말했다.
이어 엔피코어는 “EDR은 컴퓨터, 노트북, 서버 등 네트워크에 연결된 개별 엔드포인트 기기들을 보호하는 솔루션”이라면서 “엔드포인트에서 발생하는 모든 행위, 예를 들면 의심 파일 실행, 레지스트리 위변조, 네트워크 행위, 프로세스, API 등을 지속적으로 감시하고 분석함으로써, 기존 백신으로는 탐지하기 어려운 알려지지 않은 위협이나 지능형 지속 위협까지 탐지한다”라고 설명했다. 또한 “위협을 탐지하면 해당 기기를 네트워크에서 격리하거나 악성 프로세스를 중단시키는 등 신속한 대응을 수행하며, 공격의 원인 분석 및 복구에 필요한 상세 정보를 MITRE ATT&CK 프레임워크를 기반으로 가시화해 제공한다”라고 덧붙였다.
이처럼 EDR은 복잡해진 사이버 보안 환경에 대응하기 위한 변화에서 시작됐다고 할 수 있다. 특히 2010년 전후로 지능형 지속 위협(APT) 공격이 진화해 기업은 물론 정부 기관을 대상으로 한 공격이 빈번해졌고, 기존 시그니처 중심의 안티바이러스로 대응하는 것의 한계가 드러났다. 게다가 늘어나는 보안 솔루션에서 나오는 로그 데이터를 분석해 실제 위협을 찾아내고 대응하는 것이 불가능에 가까워지고, 보안 담당자의 부족 현상까지 겹치면서 사람들은 공격받은 엔드포인트에서 어떤 일이 일어났는지 조사할 수 있는 EDR에 관한 관심이 높아졌다.
[자료: gettyimagesbank]
엔드포인트를 넘어 네트워크와 클라우드까지 통합하는 ‘XDR’
EDR의 등장 이후 사람들은 여러 엔드포인트에서 얻는 통합된 가시성에 관심을 갖기 시작했다. 특히 1개의 보안 솔루션에서 놓칠 수 있었던 보안위협의 징조를 여러 정보를 종합해 찾아내기 시작하면서, 엔드포인트는 물론 네트워크와 클라우드, 그리고 이메일과 아이덴티티까지 다양한 솔루션의 정보를 하나로 묶어 관리할 수 있기를 바랬다. 바로 XDR의 등장이다.
2018년 팔로알토 네트웍스의 니어 주크가 한 행사에서 ‘XDR’을 언급한 건 이러한 사람들의 니즈를 파악했기 때문이다. 니어 주크는 엔드포인트의 데이터만 파악하는 EDR의 한계를 지적하고, 보안팀이 더 넓은 데이터 소스를 통합해 위협을 탐지하고 대응해야 한다고 주장했다.
이후 가트너가 2020년 XDR에 대한 가이드를 제공하면서 본격화됐다. 가트너는 리포트에서 XDR을 ‘여러 보안 제품의 네이티브 또는 통합된 보안 데이터 소스를 자동으로 수집하고 상관 분석하는 통합 보안사고 탐지 및 대응 플랫폼’으로 정의했다.
이글루코퍼레이션은 XDR에 대해 매우 깊이 있는 분석을 내놓았다. 먼저 ‘X(eXtended)’는 모든 것과 확장을 의미한다. 조직은 보안과 관련된 모든 것을 수집하고, 그 수집 대상을 확장할 수 있어야 한다. 기존 네트워크 보안 장비는 물론 ‘제로트러스트’ 방법론의 핵심 요소인 식별자-신원, 기기-엔드포인트, 네트워크, 시스템, 애플리케이션-워크로드, 데이터가 이 수집·분석 대상에 해당된다. 외부에 노출된 조직의 공격 표면 정보와 최신 공격 전술, 기술, 절차(TTPs)를 포함한 위협 인텔리전스도 포함된다. 내부자 위협을 파악하기 위해서는 이와 관련된 정보 모두를 수집할 수 있어야 한다.
‘D(Detection)’는 수집한 모든 것을 탐지 및 분석하는 것을 말한다. 보안과 관련된 모든 것을 수집했다면, 다음은 이에 대한 탐지 및 분석을 수행할 차례다. 보안 조직은 정책 수립 및 경보 발생부터 통합 운영 관리, 가시성 확보를 아우르는 기능 확보를 위해, 차세대 XDR 기반 보안 플랫폼(SIEM), 인공지능·머신러닝(AI·ML), 사용자 및 계정 행위 분석(UEBA) 기반 분석과 탐지를 수행할 필요가 있다. 또한 내부자 위협 파악의 핵심 요소인 내부 정보 유출과 측면 이동(Lateral Movement)을 탐지·분석하기 위한 정책 수립에도 힘을 기울여야 한다.
‘R(Response)’은 자동 대응을 말한다. 분석 및 탐지가 이뤄졌다면, 다음은 플레이북(Playbook) 기반 보안 운영·위협 대응 자동화(SOAR) 솔루션을 활용해 자동 대응을 수행할 순서다. 조직 상황과 공격 유형에 부합하는 최적의 대응 요소들을 하나의 과정으로 묶은 플레이북을 토대로, 보안 위협 대응 프로세스를 자동화하는 형태다. 단순 반복적인 업무에 투입된 시간을 심화 분석에 활용함으로써, 보안 운영의 성숙도를 높일 수 있다.
이글루코퍼레이션은 “조직 전반에 걸친 보안 가시성을 확보하고 고도화된 위협에 적시 대응하기 위한 확장형 ‘탐지-분석-대응’ 체계가 바로 XDR”이라면서, “AI 기반 오픈 XDR(AI driven Open XDR) 전략을 전개하는 이글루코퍼레이션은 XDR 기반 차세대 보안관제 플랫폼(SIEM)을 중심으로 보안 운영·위협 대응 자동화(SOAR), 분류형·설명형·생성형 인공지능(AI), 위협 인텔리전스(TI) 등의 핵심 솔루션·서비스를 유기적으로 통합 및 확장하고 있다”라고 설명했다.
▲국내외 대표 EDR/XDR 솔루션[자료: 시큐리티월드/보안뉴스 정리]
따로, 또 같이 움직이는 XDR
EDR과 XDR의 등장 이후 보안업계는 데이터의 통합과 이를 자동으로 분석하고, 대응하는 것에 모든 초점을 맞추기 시작했다. 대표적인 것이 ‘NDR(Network Detection and Response)’이다. NDR은 기존 ‘NTA(Network Traffic Analysis)’에서 발전한 개념으로, NTA가 네트워크 데이터를 수집한 뒤 이를 분석해 이상징후를 탐지한다면, NDR은 이렇게 탐지된 이상징후에 대응까지 한다. 또한 NDR은 기존의 다른 솔루션과 통합하거나 오케스트레이션(Orchestration)하는 것도 가능하다.
즉, 비교해 보면 EDR은 엔드포인트의 데이터를 수집해 이상징후를 탐지하고 대응하며, NDR은 네트워크의 데이터를 수집해 이상징후를 탐지하고 대응한다. 또한 XDR은 엔드포인트와 네트워크는 물론 클라우드와 이메일, ID 등 다양한 데이터를 수집해 이상징후를 탐지하고 대응한다.
다만 XDR은 EDR과 XDR 외에도 CSPM과 같은 클라우드 보안 솔루션과 IAM과 같은 아이덴티티 보안 솔루션, 그리고 SIEM(보안 정보 및 이벤트 관리, Security Information and Event Management)과 SOAR(보안 오케스트레이션과 자동화 및 대응, Security Orchestration, Automation and Response)에 TI(위협 인텔리전스, Threat lntelligence)까지 다양한 솔루션에서 데이터를 받아 통합하고 대응한다.
물론 이 모든 기능을 XDR이 모두 제공하는 것은 아니다. XDR은 말 그대로 다양한 솔루션에서 데이터를 받아와 분석하고 그 결과에 따라 대응하는 솔루션이기 때문에, 연동하는 것에 초점이 맞춰져 있다.
때문에 XDR은 어떤 솔루션을 어떻게 연동하느냐에 방식이 구분된다. 먼저 ‘Native XDR’이다. Native XDR은 자체 솔루션 혹은 에이전트와 연동해 데이터를 수집한다. 자사의 솔루션을 사용하기 때문에 연동이 쉽고 통합하는 데 최적화됐다는 장점이 있다. 하지만 XDR이 필요로 하는 모든 솔루션과 에이전트를 직접 개발할 수 없기 때문에 아무나 시도할 수 있는 방법이 아니다. 게다가 구축 비용이 높다는 것도 걸린다.
다음은 ‘Open XDR’이다. 이 방법은 기존에 있던 다양한 솔루션을 API 등을 통해 연동함으로써 구축 비용을 줄일 수 있다. 다만 API를 통한다 해도 다른 솔루션을 통합한다는 것 자체가 쉽지 않으며, 우리나라의 경우 API 연동이 활발하지 않기 때문에 개발기간이 더 길어진다.
‘Anchored XDR’은 기업 간 파트너십을 통해 상호 연동을 꾀하는 방식이다. 즉, API가 아닌 XDR을 위해 몇몇 기업이나 솔루션이 ‘협업’ 방식으로 ‘연합’을 만드는 것이라 할 수 있다. 지난 2023년 한국정보보호산업협회(KISIA)를 중심으로 한 ‘K-시큐리티 얼라이언스’가 이러한 방식이라 할 수 있다.
▲기업별 EDR/XDR 구축사례[자료: 시큐리티월드/보안뉴스 정리]
쾌속 순항 중인 EDR, 이제 시장 구축 중인 XDR
현재 EDR과 XDR의 시장 상황은 매우 활발하다. 우선 EDR은 공공과 금융, 대기업을 중심으로 빠르게 도입됐으며, 가격경쟁이 심해 레드오션으로 분류하는 곳도 있을 정도다. 이는 APT 공격이나 파일리스 공격, 랜섬웨어 등 고도화된 사이버 공격으로 인해 안티바이러스나 시그니처 기반 방식으로는 대응하기가 쉽지 않기 때문이다. 특히 엔드포인트를 노리는 공격이 늘어나면서 EDR의 수요가 빠르게 증가했고, 그만큼 시장이 성장했다는 평가다. 일각에서는 EDR 운영을 어려워하는 고객과 과도한 가격 경쟁력으로 인해 EDR과 기본적인 XDR 플랫폼을 같이 제공하는 사례도 있다고 말한다.
글로벌 리서치 기업 Grand View Research는 보고서를 통해 전 세계 EDR 시장이 2022년 28억 7,000만달러를 기록했으며, 2030년까지 연평균 성장률 24.9%를 기록하며 총 168억 9,000만달러에 달할 것이라고 밝혔다. 보고서는 EDR이 엔드포인트 장치를 관리하고 보호해 직원이 보안에 대한 걱정 없이 언제 어디서나 작업할 수 있도록 해주었다고 성장 이유를 설명했다.
또한 Mordor Intelligence는 EDR 시장이 2025년 51억달러를 기록할 것이며, 연평균 성장률 24.8%를 기록하며 2030년 154억5000만달러에 달할 것이라고 밝혔다. 보고서는 산업 전반에 사이버보안 위협이 심화되면서 EDR 시장이 전례 없는 성장을 보여주고 있다면서, 특히 다양한 기기를 업무용으로 사용하면서 공격에 취약해진 엔드포인트의 급증이 원인이라고 강조했다.
Coherent Market Insights 역시 EDR 시장분석 보고서를 통해 2025년 54억5660만달러 규모로 추산했고, 2032년까지 연평균 성장률 26.12%를 기록해 총 276억9550만달러에 달할 것으로 예측했다.
이에 비해 XDR의 성장은 쉽지 않은 상황이다. 우선 XDR이 등장한 것은 꽤 지났지만 아직까지 시장이 형성되기 시작한 초기 단계로, 실제 XDR 구축 사례가 많지 않은 것이 사실이다. 특히 단일 솔루션인 EDR과 NDR 등과 달리 XDR은 구성되는 모든 솔루션을 설치하거나 기존 솔루션과의 연동 작업을 해야 하므로 시간과 비용 차이가 크다. 업계에서는 제대로 된 XDR 구축을 위해서는 1~2년의 세월이 필요하다고 이야기한다.
때문에 실제 국내에선 제대로 된 XDR 구축 사례가 알려진 것이 거의 없다. 가장 대중적으로 알려진 것은 지난 2023년 11월 랜섬웨어로 홍역을 치른 골프존이 안랩과 함께 XDR을 구축한 사례다.
다만 세계시장의 상황은 좋은 편이다. 글로벌 리서치 기업 Grand View Research는 보고서를 통해 2022년 전 세계 XDR 시장 규모를 7억5480만달러로 추산했으며, 2030년까지 연평균 성장률 20.7%를 기록하며 34억980만달러에 달할 것으로 예측했다. 보고서는 기존 시스템에 여러 솔루션이 통합되는 추세가 늘어나고, 증가하는 보안 위협에 대한 맥락이 제한적인 여러 경고를 관리하는 복잡성이 증가함에 따라 XDR에 대한 관심이 늘고 있다고 분석했다.
또한 Markets and Markets도 XDR 시장이 2023년 17억달러에 도달했으며, 연평균 성장률 38.4%를 기록하며 2028년 88억달러에 이를 것으로 예상했다. 이들은 진화하는 사이버 위협 환경과 증가하는 사이버 공격, IT 환경의 복잡성과 보안 기술을 통합 플랫폼으로 통합하는 움직임, 나아가 EDR에서 XDR로 전환하는 움직임 등이 시장 성장의 원인이라고 지목했다.
상호 보완관계인 EDR과 XDR, AI 만나 더 강력해져
앞서 Markets and Markets가 EDR에서 XDR로 옮겨가는 움직임이 있다고 한 것처럼, EDR과 XDR은 많은 연관성이 있다. 실제로 업계에서는 이 두 솔루션이 상호보완적인 관계라고 보고 있으며, XDR이 엔드포인트의 심층 방어를 책임지는 EDR에게 다양한 정보를 받은 뒤 또 다른 정보와 유기적으로 통합해 대응한다는 생각이다. 즉 엔드포인트 자체의 보안을 EDR이 책임지지만, 파편화된 정보를 통합해 EDR에서 놓칠 수 있는 문제를 발견함으로써 EDR의 역량을 확장하는 것이 XDR이라는 것이다.
쿼드마이너는 “EDR은 기본적으로 그 자체만으로 운영이 가능하지만, XDR은 EDR을 포함한 여러 보안 솔루션이 필요하다”라면서, “최근에는 현실적으로 EDR만으로는 모든 보안 상황에 대응하기 어렵고, EDR에서 탐지되는 보안위협의 분석과 대응이 빠르게 진행되지 못하기 때문에 운영 및 대응 효율성을 높이기 위해 EDR과 XDR을 통합적으로 제안하는 형태의 사업이 나오고 있다”고 설명했다.
특히 최근 인공지능(AI)이 더해지면서 EDR과 XDR 모두 큰 변화를 겪고 있다. AI가 EDR과 XDR의 정밀도와 효율성을 효과적으로 높이고 있다는 것. 안랩은 “수많은 이벤트 중 실제 위협으로 발전할 가능성이 높은 경보만을 선별해 주는 분석 기능은 탐지의 정확도를 높이고, 운영자의 판단 부담을 줄이는 데 기여하고 있다”라면서, “또한 AI는 탐지 이후 ‘플레이북 기반의 대응 자동화’나 ‘보안 어시스턴트’ 기능을 통해 위협 식별부터 대응 전략 제시까지 보안 운영 전반의 효율성을 높이고 있다”라고 밝혔다.
엔피코어는 AI로 인한 3가지 발전 방향을 설명했다. 첫째, 탐지 능력 고도화를 위해 AI는 정상 행위 학습을 통해 신·변종 악성코드나 지능형 공격(APT)의 비정상 행위를 정밀하게 탐지해 오탐을 줄이고 정탐률을 높일 수 있다. 둘째, 대응 효율성 증대를 위해 AI는 위협의 우선순위를 신속하게 식별하고 자동화된 조치를 제안하거나 실행해 대응 시간을 단축할 수 있다. 셋째, 위협 예측 및 인텔리전스를 강화해 과거 데이터를 기반으로 미래 공격 트렌드를 예측하고, 위협 인텔리전스를 풍부하게 할 수 있다는 점이다.
▲보안전문가들의 EDR/XDR에 대한 설문조사[자료: 시큐리티월드/보안뉴스]
보안전문가들의 EDR/XDR에 대한 설문조사
그렇다면 실제 보안전문가들은 EDR과 XDR에 대해 어떻게 생각할까? 시큐리티월드와 보안뉴스는 보안전문가들의 의견을 들어보기 위해 2025년 7월 18일부터 23일까지 6일간 약 10만명의 보안전문가들에게 설문조사를 진행했다. 이번 설문조사에는 공공(25.2%)과 민간(74.8%)의 보안전문가 1,533명이 답했다.
우선 설문 응답자에게 어떤 엔드포인트 기기를 사용하는지 물어봤다. ‘노트북’을 사용하는 사람(69.7%)이 ‘데스크톱 PC’를 사용하는 사람(65.2%)보다 많았으며, ‘태블릿’을 사용하는 사용자도 29.0%에 달했다. 또한 스마트 워치와 같은 ‘웨어러블 기기’를 사용하는 사람도 19.4%에 달했다.
이어 엔드포인트 기기를 사용하다 사이버 공격을 받은 적이 있는지 물어보자, 무려 38.1%의 응답자가 ‘공격받은 적이 있다’고 답했다.
그렇다면 어떤 엔드포인트 기기를 사용하다 공격을 받았을까? 이번에는 미세하게 ‘데스크톱 PC’를 선택한 사람(39.4%)이 ‘노트북(36.8%)’을 선택한 사람보다 많았다. 이어 ‘스마트폰’을 사용하다 공격받은 사람(27.1%)과 ‘태블릿’을 사용하다 공격받은 사람(7.7%) 순으로 조사됐다.
이처럼 엔드포인트를 노린 공격이 적은 편은 아니지만 아직도 엔드포인트를 제대로 관리하지 않는 사람과 기업들이 많은 것으로 조사됐다. 엔드포인트를 어떻게 관리하는지 묻자, 62.1%는 ‘안티바이러스 등 엔드포인트 보안 솔루션을 도입해 관리한다’라고 답했다. 이어 16.3%는 ‘EDR 또는 XDR을 도입해 관리한다’고 답했으며, 13.1%는 ‘인력 및 예산이 부족해 별도로 관리하지 않는다’고 답했다. 8.5%는 ‘보안관제 전문기업에 아웃소싱해 관리한다’고 답했다.
이어 EDR과 XDR에 대해 알고 있는지 물어봤다. 50.3%는 ‘대략적으로 알고 있다’고 답했으며, 30.3%는 ‘잘 모른다’라고 답해 생각보다 EDR과 XDR에 대해 자세하게 알고 있는 보안 담당자가 드문 것으로 조사됐다. 실제로 19.3%만이 ‘EDR과 XDR에 대해 잘 알고 있다’라고 답했다.
EDR과 XDR 중 어떤 제품을 사용하는지 물어보자 54.2%는 ‘둘 다 사용하지 않는다’라고 답했으며, 32.3%는 ‘EDR’을 7.7%는 ‘XDR’을 선택했다. 5.8%는 둘 다 선택한다고 답했다. 그럼 EDR과 XDR을 단기간에 도입할 계획이 있는지 묻자 68.4%는 ‘없다’라고 답했으며, 31.6%는 ‘있다’라고 답했다. 특히 EDR과 XDR 중 하나를 도입하면 어떤 것을 도입할 것인지를 묻자 51.6%는 ‘EDR’을, 48.4%는 ‘XDR’을 선택했다.
한편, EDR과 XDR을 도입하지 않는 이유를 물어보자 43.9%가 ‘비용이 너무 많이 들어감’을 꼽으며 비용 문제를 짚었다. 또한 ‘기존 엔드포인트 보안 솔루션으로도 충분하다고 생각한다’라는 응답이 14.2%, ‘EDR과 XDR은 전문 운영 인력이 필요해서’라고 답한 응답이 14.2%가 나왔다.
반대로 어떤 문제를 해결하면 도입할 것인지를 묻자, 역시나 25.2%가 ‘가격이 싸지면 도입’한다고 답했으며, 21.9%가 ‘대부분의 기능을 자동화함으로써 전문 인력 부족을 해결하면 도입한다’라고 답했다. 또한 21.3%는 ‘SaaS 등 초기 구축 비용을 절감할 방법을 찾으면 도입’하겠다고 답했으며, 10.3%는 ‘직관적이고도 편리한 사용성을 찾으면 도입’하겠다고 답했다.
EDR과 XDR, 인공지능과 자동화 장착해 조직 안정 꿈꾼다
현재 EDR과 XDR의 주요 고객은 공공기관과 대기업, 그리고 금융권으로 알려졌다. 공공기관의 경우 법적·제도적 의무 사항과 특정 위협 환경에 대한 필요성 때문이다. 여기에 너무나 많은 엔드포인트와 솔루션을 운용하는 대기업과 그 어떤 분야보다 보안에 민감한 금융권을 중심으로 수요가 발생하고 있다.
특히 지난해와 달리 XDR의 국내 구축 사례가 알려진 것도 큰 수확이다.
업계에서는 EDR과 XDR이 단순한 보안 솔루션을 넘어 비즈니스 연속성과 사이버 복원력을 결정짓는 핵심 기반으로 자리 잡고 있다고 보고 있다. 기업들은 이러한 변화 속에서 보안 운영의 전 영역을 아우르는 통합된 탐지 및 대응 체계를 구축하고 있다는 설명이다. 최근에는 MDR(Managed Detection and Response)도 힘을 얻으면서 스스로 대응하기 힘든 기업을 대상으로 서비스를 제공하고 있다.
갈수록 사이버 공격자들의 공격은 지능화되고 있으며, SaaS와 인공지능을 활용한 공격이 늘어나면서 공격하는 행위 자체도 쉬워지고 있다. 하지만 이에 대응하는 보안 담당자들은 심각한 인력 부족은 물론 갈수록 늘어나는 보안 솔루션으로 인해 일일이 살펴보고 대응하는 것도 힘들어지고 있다.
이러한 상황에 등장한 EDR과 XDR은 단순히 사이버 위협에 대응하는 것을 넘어 조직의 안전을 위한 대책으로 자리 잡고 있으며, 특히 인공지능과 자동화를 장착함으로써 궁극적으로 조직의 안정을 가져올 것으로 기대하고 있다.
▲안랩 XDR 플랫폼[자료: 안랩]
[EDR/XDR 집중분석-1] 안랩
골프존 사례로 본 안랩 EDR·XDR 통합 대응 전략
EDR로 초동 대응, XDR로 통합 보안 완성
2023년 11월, 국내 대표 스크린 골프 기업 골프존(Golfzon)은 블랙수트(BlackSuit) 랜섬웨어 조직의 사이버 공격을 받았다. 이로 인해 시스템 일시 중단 및 고객 정보 유출 사고가 발생했다. 이번 장애는 기술적인 장애를 넘어, 고객 신뢰와 비즈니스 연속성에 대한 위협으로 작용하며 보안 체계 전반을 다시 점검하는 계기가 됐다.
이후 골프존은 기존의 대응 방식에서 벗어나, 보안 체계를 근본부터 재정비하고 위협 탐지 및 대응 역량을 강화하는 데 초점을 맞췄다. 그 출발점에는 안랩의 EDR과 XDR이 있었다.
초동 대응의 핵심, AhnLab EDR로 위협 확산 차단
침해사고 직후, 골프존은 내부 자산망과 인터넷망, IDC, AWS, 전자금융망 등 주요 인프라에 AhnLab EDR과 EPP(Endpoint Protection Platform)를 구축했다. AhnLab EDR은 위협 행위 탐지와 차단을 통해 침해 확산을 최소화했다. 골프존은 AhnLab EDR과 함께, 안랩 위협 대응 전문가 서비스 ‘AhnLab MDR(Managed Detection and Response)’을 도입해 전문 인력의 위협 분석 및 대응 자문을 실시간으로 제공받았다.
특히 안랩 위협 정보 분석팀 ‘A-FIRST’는 침해 행위를 정밀하게 분석해 문제의 원인을 정확히 진단하고, 맞춤형 해결 전략을 제시했다.
단일 이벤트의 한계 극복, XDR로 확장된 대응 체계
한편, 골프존은 수십 종의 보안 솔루션을 운영하며, 매일 수백만건에 달하는 보안 이벤트를 처리해야 했다. 골프존은 이런 기존 보안 체계의 한계를 극복하고자, SaaS 형태의 AhnLab XDR을 추가 도입했다.
AhnLab XDR은 서버와 엔드포인트 가용성을 해치지 않으면서도 로그 간 상관관계 분석을 정교하게 수행할 수 있다. 이에 따라 골프존은 기존 보안 시스템 전반의 리스크 탐지 및 대응 역량을 획기적으로 향상시킬 수 있었다. 실제로 1,500여 대의 PC와 700대 이상의 서버 자산 정보를 연동하고 주요 보안 로그를 통합한 결과, 전체 리스크 대응 체계가 하나의 통합된 플랫폼 위에서 작동하게 됐다.
3개월 만의 반전, 수치로 증명한 보안 성과
안랩의 EDR과 XDR을 병행 운영한 결과, 골프존의 전체 보안 리스크는 2024년 5월부터 8월까지 3개월간 56% 감소했다. 중간 수준 이상의 위협 이벤트는 81%, 엔드포인트 위협은 86% 감소하며 괄목할 만한 성과를 보였다.
이러한 수치는 오탐 제거 및 대응 효율화뿐만 아니라, 기존 체계로는 식별하지 못했던 은밀한 위협까지 탐지해 낼 수 있는 정교한 대응 역량을 의미한다.
EDR과 XDR의 통합 운용은 골프존의 보안 체계를 방어 위주에서 선제적 탐지 및 정밀 대응 중심으로 전환한 계기가 됐다.
EDR·XDR을 잇는 전략적 진화, 다음은 MXDR
EDR과 XDR의 성과는 안랩 보안 전략의 진화를 촉진했다. 탐지와 방어뿐만 아니라 위협을 정밀하게 분석하고 능동적으로 제거하는 체계에 대한 수요가 확대되면서, 안랩은 이를 반영한 차세대 대응 체계 ‘AhnLab MXDR(Managed eXtended Detection and Response)’을 마련했다. AhnLab MXDR은 안랩 보안 전문가가 침해 이벤트 및 로그 연계 분석과 위협 제거까지 지원하는 XDR 전용 관리 서비스다. 이 체계는 조직 내부의 위협을 다면적으로 분석하고, 대응의 우선순위를 지정함으로써 선제 대응이 가능한 지능형 사이버보안 인프라의 역할을 수행한다.
EDR·XDR로 실현한 골프존의 전략적 보안 혁신
골프존은 안랩의 EDR과 XDR을 도입해 전사적 보안 전략을 고도화하는 데 성공했다. 실시간 위협 탐지, 오탐 최소화, 전사적 리스크 대응 체계는 고객 신뢰 회복의 기반이 됐으며, 골프존은 다시금 ‘신뢰할 수 있는 골프 서비스 기업’으로서의 위상을 다질 수 있었다.
▲쿼드마이너 TAPP 생태계 주요 전략 포인트[자료: 쿼드마이너]
[EDR/XDR 집중분석-2] 쿼드마이너
쿼드마이너 TAPP으로 여는 사이버보안 상생의 길, NDR 기반 글로벌 통합 프로젝트 조명
TAPP 통해 글로벌 보안 솔루션과 NDR 통합 경험·전략 공개
쿼드마이너는 Gartner가 5년 연속 선정한 국내 유일의 NDR(Network Detection and Response) 벤더다. 디지털 심화와 AI 중심의 디지털 환경 변화에 발맞춰, 사이버보안 분야에서 ‘상생’을 핵심 가치로 한 기술상생 파트너 프로그램(TAPP, Technology Alliance Partner Program)을 런칭해 보안 생태계의 패러다임 전환을 선도하고 있다.
상생 중심의 보안 협력 시대 초입
디지털 전환이 심화하고 AI 중심의 디지털 환경이 도래하면서, 사이버 위협은 더 이상 단일 기술이나 제품만으로 대응하기 어려운 과제로 진화했다.
이에 쿼드마이너는 전통적인 기술 제휴를 넘어 ‘상생’을 핵심 가치로 한 기술협력 파트너 프로그램(TAPP)을 도입했다.
TAPP를 통해 글로벌 보안 솔루션과 자사 NDR 솔루션을 통합한 실제 프로젝트 경험을 바탕으로, 다음과 같은 기술적 핵심 고려사항과 현장 인사이트를 공유한다.
- 통합 과정에서 직면한 상호 운용성 문제
- API 기반 설계 및 데이터 표준화 전략
- 파트너 솔루션과 연계된 실질적 보안 성능 향상 사례
이 같은 접근을 통해 단순 협력을 넘어 기업·조직·보안기업이 윈윈하는 보안 생태계가 구축되고 있음을 강조한다.
TAPP 출범과 플랫폼 협력의 성공적 사례
쿼드마이너는 디지털·AI 시대의 사이버보안 대응 패러다임 전환을 반영해, TAPP을 공식 선언했다. 이 프로그램은 보안 제품 중심이 아닌 플랫폼 기반 상호운용성 생태계를 지향한다.
대표 성공 사례로 소개된 APTRCENTER는 TAPP 협력을 기반으로 통합 파일 검역 및 분석 플랫폼으로 자리 잡았다.
이 시스템은 △파일 송수신 전 구간을 시각화해 모든 흐름을 투명하게 추적하고 △정적 동적 병렬 분석 엔진을 통해 APT 위협 탐지의 정밀도를 확보하며 △위협 인텔리전스를 통합해 사전 대응 능력을 강화하고 △자동화 오케스트레이션 워크플로우로 분석부터 대응까지 운영 효율을 극대화한다.
두 번째 성공 사례로 보안 운영 자동화(SOAR)를 통해 위협 대응 속도와 정확성을 획기적으로 높이고 있다. 다양한 보안 이벤트를 통합 분석하고 자동화된 워크플로우를 통해 대응 시간을 단축하며, 파트너 솔루션과의 연계로 확장가능한 대응 체계를 구축해 운영 효율성과 실효성을 동시에 확보하고 있다. 이를 통해 단순한 탐지를 넘어, 예측과 대응이 결합된 차세대 보안 운영 체계를 선도하고 있다.
[자료: 팔로알토 네트웍스]
[EDR/XDR 집중분석-3] 팔로알토 네트웍스
팔로알토 네트웍스, 실시간 엔드포인트 위협 대응의 ‘뉴 노멀’ 제시
통합 보안의 새로운 기준, Cortex XDR
디지털 업무 환경의 변화가 사이버보안 지형을 근본적으로 뒤바꿔 놓고 있다. 재택근무의 일상화, SaaS 기반 협업 도구의 확산, 퍼블릭 클라우드 도입과 모바일·IoT 기기의 급증은 보안팀의 관제 대상과 복잡도를 비약적으로 높이고 있다.
이제 위협은 단일 엔드포인트나 이메일로 시작해 네트워크를 따라 이동하며 서버, 클라우드, 계정 권한까지 확산된다.
공격자들은 정교하게 설계된 경로를 통해 정보를 탈취하거나 시스템을 교란하며, 보안 담당자는 더 이상 단일 이벤트만으로 전체 공격의 흐름을 파악하기 어려운 상황에 놓여 있다.
실제 침해 사례를 분석해 보면, 공격은 초기 진입 이후 ‘횡적 이동(lateral movement)’, ‘권한 상승(privilege escalation)’, ‘데이터 탈취(data exfiltration)’ 등 일련의 단계로 이어진다.
기존 보안 솔루션이 개별 이벤트를 단편적으로 탐지하는 데 그쳤다면, 오늘날에는 이들 이벤트의 연관성과 흐름을 이해하고 조기에 대응할 수 있는 체계가 절실하다.
위협의 흐름을 이해하는 엔드포인트 중심의 통합 보안 플랫폼, Cortex XDR
최근 보안 업계에서 주목받고 있는 XDR(Extended Detection and Response) 솔루션은 단순한 감시 체계를 넘어 위협의 흐름을 입체적으로 조망(맥락을 이해)하는 통합 보안 플랫폼이다. 특히 엔드포인트 보안 강화가 그 핵심이다. 팔로알토 네트웍스의 ‘Cortex XDR’은 이러한 XDR 개념을 업계 최초로 상용화한 플랫폼으로 평가받는다. 엔드포인트, 네트워크, 클라우드, 사용자 행위 등 조직 전방위에서 수집한 보안 데이터를 하나의 콘솔에서 상관 분석해, 위협의 ‘맥락(Context)’ 중심 대응을 가능케 한다.
AI 기반 정밀 탐지와 자동화된 대응
Cortex XDR의 탐지 엔진은 머신러닝 기반의 분석 기술과 MITRE ATT&CK 프레임워크를 결합해 알려지지 않은 위협이나 내부자 위험, 파일리스 공격 등 정교한 위협도 엔드포인트 단계에서 실시간으로 식별한다. 탐지된 이벤트는 ‘자동으로 그룹화’되고, 공격자의 행동 흐름이 ‘시각적으로 재구성’되어 보안팀의 판단 속도를 높인다.
특히 Cortex XDR은 불필요한 경보를 최대 98%까지 줄이는 경보 그룹화 기능과 엔드포인트 격리, 악성 파일 삭제, 네트워크 차단 등의 엔드포인트에서 직접 실행되는 자동화된 대응 기능을 제공해, 보안 인력의 피로도를 줄이는 데에도 효과적이다.
보안의 패러다임을 전환하는 현명한 선택: 엔드포인트에서 시작한다
사이버보안 사고가 급증하는 오늘날, 이에 대응하는 방식은 반드시 복잡하거나 고도화된 시스템만을 의미하지 않는다. 무엇보다 중요한 것은 위협의 흐름을 조기에 인지하고, 신속하고 정확하게 대응할 수 있는 체계를 갖추는 것이다. 그리고 그 출발점은 바로 사이버 공격의 최전선, ‘엔드포인트’에 대한 강력한 통제다.
보안 솔루션 ‘Cortex XDR’은 이러한 보안의 본질적인 과제에 정면으로 대응하고 있다. 반복적인 경보 관리에 소모되는 시간은 줄이고, 보안팀이 실제 위협 대응에 집중할 수 있도록 지원하는 데 초점을 맞췄다.
최근 기업들의 보안 운영 체계는 더 이상 단편적인 방어에 그치지 않는다. 연결된 데이터와 자동화된 인사이트를 기반으로 한 통합 운영으로 전환되는 추세다.
이러한 변화의 중심에는 Cortex XDR이 자리 잡고 있으며, 보안 운영의 효율성과 실효성을 동시에 끌어올리고 있다는 평가를 받고 있다.
팔로알토 네트웍스는 현재 Cortex XDR을 실제 운영 환경에서 직접 경험할 수 있는 ‘60일 무상 진단 프로그램’을 제공하고 있다. 이 기회를 통해 기업은 급증하는 사이버 위협 속에서도 자산을 효과적으로 보호할 수 있는 해답을 찾을 수 있을 것으로 기대된다.
지금이 바로, 강력한 엔드포인트 보안의 힘을 직접 체험해 볼 때다.
▲자율형 SoC 구축을 위한 스텔라사이버 다계층 AI 구조(Multi-Layer AI)[자료: 스텔라사이버]
[EDR/XDR 집중분석-4] 스텔라사이버
공급망 공격, 랜섬웨어, 정보 유출 등 다계층 보안 위협에 대응하는 AI 기반 통합 분석 플랫폼
스텔라사이버 Open XDR, AI 기반 통합 분석으로 정보 유출, 랜섬웨어와 같은 보안 위협에 맞서다
최근 공급망 공격, APT, 제로데이 기반 랜섬웨어 등 지능형 위협이 고도화되며 단일 보안 장비로는 한계에 직면했다. 수많은 보안 솔루션이 개별 알람을 쏟아내는 가운데, 보안팀은 데이터 사일로와 경보 피로로 인해 중요한 위협을 놓치기 쉽다. 이러한 근본적 문제를 해결하기 위해 주목받는 것이 스텔라사이버(Stellar Cyber)의 ‘Open XDR(개방형 탐지 및 대응)’ 플랫폼이다. Open XDR은 분산된 보안 데이터를 통합하고, AI 기반 위협 분석 및 자동 대응을 통해 보안 운영의 패러다임을 사후 대응에서 예측과 예방 중심으로 전환시킨다.
모든 데이터를 하나로, AI로 의미를 찾다: Open XDR의 핵심 철학
스텔라사이버의 Open XDR은 특정 벤더에 종속되지 않는 ‘개방형’ 아키텍처로, 이미 보유한 EDR, SIEM, NGFW, 클라우드(AWS, Azure, GCP), 이메일 보안 솔루션 등과 수십 개의 통합 커넥터와 범용 API를 통해 유연하게 연동된다. 플랫폼 중심에는 지도/비지도 학습과 딥러닝 기반의 고도화된 AI 엔진이 있어 사용자 정상 행위를 학습하고 미세한 이상 징후를 탐지한다. 예를 들어, ‘이례적인 시간대 로그인’, ‘평소와 다른 내부 서버 접근’, ‘대용량 외부 클라우드 업로드’와 같은 개별 이벤트를 MITRE ATT&CK 프레임워크 기반으로 자동 연관 분석해 수천 개의 저수준 경보를 단 하나의 고신뢰 인시던트로 통합, 분석가는 실제 위협에 즉시 집중할 수 있다.
Auto-Triage와 생성형 AI 연동, 지능형 위협 대응의 자동화를 실현하다
스텔라사이버는 최근 플랫폼에 AI 기능을 대폭 강화해 대응 속도와 정확성을 극대화했다. 새롭게 탑재된 ‘Auto-Triage(자동 분류)’ 기능은 관련 자산의 중요도, 사용자 역할, 최신 위협 인텔리전스를 실시간으로 분석해 생성된 케이스에 대한 상세 맥락을 자동 부여하며, 분석가는 즉시 상황을 파악하고 신속한 의사결정이 가능하다. 또한 생성형 AI 연동으로 복잡한 쿼리 없이 일상 언어로 “케이스 #789 공격 경로 요약하고 가장 효과적인 격리 방안 추천해 줘”, “어제 재무팀 서버에 접근한 외부 IP 알려줘”와 같은 요청만으로 분석이 가능해졌다.
이러한 지능형 기능은 다단계 랜섬웨어 공격 방어에 효과적이다. 피싱 메일을 통해 악성코드가 유입되는 초기 침투 단계부터, 내부망에서 다른 시스템으로 수평 이동(Lateral Movement) 하며 권한을 탈취하는 확산 단계, 그리고 최종적으로 데이터를 암호화하려는 실행 단계까지 모든 과정을 실시간으로 추적한다. 필요시 EDR 연동으로 감염 단말 격리, 방화벽 정책 변경, IT 서비스 관리 시스템의 티켓 발행까지 자동화해 ‘골든 타임’ 내로 위협을 신속하게 무력화한다.
▲SPiDER ExD[자료: 이글루코퍼레이션]
[EDR/XDR 집중분석-5] 이글루코퍼레이션
이글루코퍼레이션, AI 기반 Open XDR 통해 보안 운영 자동화 구현의 근본적인 혁신을 이끌다
XDR 기반 차세대 보안 관제 플랫폼 ‘SPiDER ExD’ 중심의 보안 위협 대응 일원화 체계 지원
디지털 전환 가속화의 영향으로 조직이 마주한 사이버 위협은 점점 더 정교해지고 있다. 보안 환경은 점점 더 복잡해지고 있으나, 기존의 보안 체계만으로 지능화된 위협을 완벽히 방어하기에는 한계가 있다. 이에 대응하기 위해 인공지능(AI) 기반 보안 운영·분석 플랫폼 기업 이글루코퍼레이션은 ‘AI 기반 오픈 XDR(AI-driven Open XDR)’ 전략을 제시하며 보안 운영 자동화 실현에 박차를 가하고 있다.
AI 기반 Open XDR 통해 보안 자동화 혁신 선도
이글루코퍼레이션의 AI-driven Open XDR은 XDR 기반 차세대 보안 플랫폼 중심의 ‘일원화된 탐지-분석-대응’ 체계를 통해 보안 운영 자동화를 구현한다. ‘보안 정보 및 이벤트 관리(SIEM)-보안 운영·위협 대응 자동화(SOAR)-AI’ 구성 기반으로 기능하며, 다각화된 데이터 수집, AI·머신러닝 기반 자동 위협 분석·탐지, 위협 스코어링·플레이북 기반 자동 대응을 지원한다.
이글루코퍼레이션은 AI-driven Open XDR를 통해 연동 가능한 보안 기능과 인텔리전스 확대를 위해 다각화된 포트폴리오 및 다양한 파트너사로 구성된 ‘이글루 얼라이언스’를 지속 확장하고 있다.
가시성, 확장성, 유연성 갖춘 XDR 기반 차세대 보안관제 플랫폼 ‘SPiDER ExD’
이글루코퍼레이션은 더 원활한 AI-driven Open XDR 지원을 위해 XDR 기반 차세대 보안관제 플랫폼 ‘스파이더 이엑스디(SPiDER ExD)’를 제공하고 있다. SPiDER ExD는 AI를 기반으로 이기종 솔루션·서비스와의 유기적 통합·확장을 통해 데이터 수집 다각화 및 탐지 고도화하며, 위협 데이터 간 연관 관계를 분석해 자동 대응한다. 각 조직의 보안 환경과 위협 변화에 맞춰 기능을 유연하게 확장할 수 있으며, 고위험군 이벤트를 신속하게 식별·대응해 보안 공백을 최소화할 수 있다.
또한, SPiDER ExD는 클라우드 네이티브 환경에 특화된 통합 보안 운영, 가상머신(VM)과 컨테이너, 쿠버네티스(Kubernetes) 환경 등을 포괄하는 일원화된 보안 체계 기능을 제공한다. 이를 통해 온프레미스와 클라우드 환경을 통합한 보안 운영이 가능하며, 클라우드 네이티브 플랫폼을 노린 보안 위협에 선제 대응할 수 있다.
[원병철 기자(boanone@boannews.com)]
EDR/XDR에 대한 사용자 설문조사
EDR/XDR 전문기업 집중분석: 안랩, 쿼드마이너, 팔로알토 네트웍스, 스텔라사이버, 이글루코퍼레이션
[보안뉴스 원병철 기자] 2013년 가트너의 안톤 추바킨(Anton Chuvakin)이 ‘ETDR; Endpoint Threat Detection and Response(현 EDR)’라는 용어를 처음 사용하면서 시작된 위협탐지에 대한 고민은 2018년 팔로알토 네트웍스의 공동창업자인 니어 주크(Nir Zuk)가 주장한 ‘XDR(eXtended Detection and Response)’로 심화됐다. 보안을 강화하기 위해 하나씩 늘어난 보안 솔루션이 뱉어내는 데이터가 어느새 사람이 일일이 대응하기 힘든 수준이 된 요즘, EDR과 XDR의 등장은 너무나도 당연한 순서였다. 하지만 새로운 신기술이 자리 잡기까지는 오랜 시간이 걸리기 마련. 현재 EDR과 XDR의 상황은 어떤지 알아보자.
[자료: gettyimagesbank]
보안위협 탐지부터 대응까지, 자동화를 꿈꾸는 EDR과 XDR
안톤 추바킨이 2013년 7월 자신의 블로그에서 ‘Named: Endpoint Threat Detection and Response’라는 제목의 글을 통해 EDR의 개념을 처음 제시했지만, 사실 엔드포인트에서 발생하는 위협을 탐지하고 분석하려는 시도는 이전부터 있었다. 특히 기존 안티바이러스의 시그니처(Signature) 기반 방식의 한계, 즉 잘 알려진 멀웨어가 아닌 신종이나 변종 멀웨어는 탐지하기 어렵다는 것을 해결하기 위해 데이터를 수집하거나 멀웨어의 악성 행위를 조사하는 등의 연구는 계속됐다.
예를 들면, EDR이란 용어가 처음 등장한 건 2013년이지만, 상용화된 EDR로 꼽히는 제품 중 하나인 맨디언트의 ‘Mandiant Intelligent Response’는 2010년 출시했다. 물론 그 이전에도 EDR의 핵심 기능을 다 갖춘 것은 아니었지만 비슷한 성격의 제품들이 있었고, 이들의 노력으로 EDR로 진화하는 기반 기술이 하나씩 만들어진 것이라 할 수 있다.
EDR, 엔드포인트 보안을 위한 진화의 결과물
그렇다면 EDR의 정확한 정의는 무엇일까? 일반적으로 알려진 EDR은 엔드포인트(PC, 서버, IoT 기기 등)에서 발생하는 보안위협을 실시간으로 탐지하고 분석하며 대응하는 기술을 말한다. 단순히 보안위협을 탐지하는 데 그치지 않고 위협을 차단하고 복구하며, 나아가 보안위협의 행위를 분석한다.
즉, 엔드포인트를 ①실시간으로 모니터링하고 ②데이터를 수집해 문제를 탐지하며 ③문제 발견시 이를 사용자에게 알려주어 ④대응하고 복구할 수 있도록 돕는 것이 바로 EDR이다.
안랩은 EDR을 “PC, 서버 등 엔드포인트에서 발생하는 위협을 탐지하고 대응하는 솔루션”이라고 정의했다. 아울러 “주로 사용자 PC, 서버 등 단말 단위 위협을 중심으로 정밀한 행위 기반 탐지와 차단이 이뤄지며, 단순한 탐지를 넘어 위협의 원인과 경로를 분석해 실시간 대응과 사후 조사까지 지원하는 것이 특징”이라고 강조했다.
또한, 스텔라사이버는 “EDR은 전통적인 백신을 넘어선 차세대 엔드포인트 보안 솔루션”이라고 설명했다. “백신이 주로 알려진 악성코드의 시그니처를 기반으로 차단하는 데 중점을 둔다면, EDR은 엔드포인트에서 발생하는 모든 행위(프로세스 실행, 레지스트리 변경, 네트워크 연결 등)를 지속적으로 모니터링하고 기록해 알려지지 않은 위협이나 비정상적인 활동을 탐지하고 대응하는 데 초점을 맞춥니다.”
지니언스는 “단말의 이상 행위를 실시간으로 탐지하고 대응하는 차세대 보안 솔루션”이라고 정의했다. 특히 단말에서 발생하는 모든 행위를 모니터링하고 기록하며, 보다 정밀한 위협 대응을 돕는다면서, 악성코드의 유입과 감염뿐 아니라, 취약점을 통한 내부 확산, 반복적이고 비정상적인 행위 등을 사전에 탐지하고 차단한다고 덧붙였다. 그리고 “보안사고 발생 시에는 행위 기반 로그 분석과 감사 증적 확보를 통해 신속한 원인 파악과 재발 방지까지 지원한다”라고 말했다.
이어 엔피코어는 “EDR은 컴퓨터, 노트북, 서버 등 네트워크에 연결된 개별 엔드포인트 기기들을 보호하는 솔루션”이라면서 “엔드포인트에서 발생하는 모든 행위, 예를 들면 의심 파일 실행, 레지스트리 위변조, 네트워크 행위, 프로세스, API 등을 지속적으로 감시하고 분석함으로써, 기존 백신으로는 탐지하기 어려운 알려지지 않은 위협이나 지능형 지속 위협까지 탐지한다”라고 설명했다. 또한 “위협을 탐지하면 해당 기기를 네트워크에서 격리하거나 악성 프로세스를 중단시키는 등 신속한 대응을 수행하며, 공격의 원인 분석 및 복구에 필요한 상세 정보를 MITRE ATT&CK 프레임워크를 기반으로 가시화해 제공한다”라고 덧붙였다.
이처럼 EDR은 복잡해진 사이버 보안 환경에 대응하기 위한 변화에서 시작됐다고 할 수 있다. 특히 2010년 전후로 지능형 지속 위협(APT) 공격이 진화해 기업은 물론 정부 기관을 대상으로 한 공격이 빈번해졌고, 기존 시그니처 중심의 안티바이러스로 대응하는 것의 한계가 드러났다. 게다가 늘어나는 보안 솔루션에서 나오는 로그 데이터를 분석해 실제 위협을 찾아내고 대응하는 것이 불가능에 가까워지고, 보안 담당자의 부족 현상까지 겹치면서 사람들은 공격받은 엔드포인트에서 어떤 일이 일어났는지 조사할 수 있는 EDR에 관한 관심이 높아졌다.
[자료: gettyimagesbank]
엔드포인트를 넘어 네트워크와 클라우드까지 통합하는 ‘XDR’
EDR의 등장 이후 사람들은 여러 엔드포인트에서 얻는 통합된 가시성에 관심을 갖기 시작했다. 특히 1개의 보안 솔루션에서 놓칠 수 있었던 보안위협의 징조를 여러 정보를 종합해 찾아내기 시작하면서, 엔드포인트는 물론 네트워크와 클라우드, 그리고 이메일과 아이덴티티까지 다양한 솔루션의 정보를 하나로 묶어 관리할 수 있기를 바랬다. 바로 XDR의 등장이다.
2018년 팔로알토 네트웍스의 니어 주크가 한 행사에서 ‘XDR’을 언급한 건 이러한 사람들의 니즈를 파악했기 때문이다. 니어 주크는 엔드포인트의 데이터만 파악하는 EDR의 한계를 지적하고, 보안팀이 더 넓은 데이터 소스를 통합해 위협을 탐지하고 대응해야 한다고 주장했다.
이후 가트너가 2020년 XDR에 대한 가이드를 제공하면서 본격화됐다. 가트너는 리포트에서 XDR을 ‘여러 보안 제품의 네이티브 또는 통합된 보안 데이터 소스를 자동으로 수집하고 상관 분석하는 통합 보안사고 탐지 및 대응 플랫폼’으로 정의했다.
이글루코퍼레이션은 XDR에 대해 매우 깊이 있는 분석을 내놓았다. 먼저 ‘X(eXtended)’는 모든 것과 확장을 의미한다. 조직은 보안과 관련된 모든 것을 수집하고, 그 수집 대상을 확장할 수 있어야 한다. 기존 네트워크 보안 장비는 물론 ‘제로트러스트’ 방법론의 핵심 요소인 식별자-신원, 기기-엔드포인트, 네트워크, 시스템, 애플리케이션-워크로드, 데이터가 이 수집·분석 대상에 해당된다. 외부에 노출된 조직의 공격 표면 정보와 최신 공격 전술, 기술, 절차(TTPs)를 포함한 위협 인텔리전스도 포함된다. 내부자 위협을 파악하기 위해서는 이와 관련된 정보 모두를 수집할 수 있어야 한다.
‘D(Detection)’는 수집한 모든 것을 탐지 및 분석하는 것을 말한다. 보안과 관련된 모든 것을 수집했다면, 다음은 이에 대한 탐지 및 분석을 수행할 차례다. 보안 조직은 정책 수립 및 경보 발생부터 통합 운영 관리, 가시성 확보를 아우르는 기능 확보를 위해, 차세대 XDR 기반 보안 플랫폼(SIEM), 인공지능·머신러닝(AI·ML), 사용자 및 계정 행위 분석(UEBA) 기반 분석과 탐지를 수행할 필요가 있다. 또한 내부자 위협 파악의 핵심 요소인 내부 정보 유출과 측면 이동(Lateral Movement)을 탐지·분석하기 위한 정책 수립에도 힘을 기울여야 한다.
‘R(Response)’은 자동 대응을 말한다. 분석 및 탐지가 이뤄졌다면, 다음은 플레이북(Playbook) 기반 보안 운영·위협 대응 자동화(SOAR) 솔루션을 활용해 자동 대응을 수행할 순서다. 조직 상황과 공격 유형에 부합하는 최적의 대응 요소들을 하나의 과정으로 묶은 플레이북을 토대로, 보안 위협 대응 프로세스를 자동화하는 형태다. 단순 반복적인 업무에 투입된 시간을 심화 분석에 활용함으로써, 보안 운영의 성숙도를 높일 수 있다.
이글루코퍼레이션은 “조직 전반에 걸친 보안 가시성을 확보하고 고도화된 위협에 적시 대응하기 위한 확장형 ‘탐지-분석-대응’ 체계가 바로 XDR”이라면서, “AI 기반 오픈 XDR(AI driven Open XDR) 전략을 전개하는 이글루코퍼레이션은 XDR 기반 차세대 보안관제 플랫폼(SIEM)을 중심으로 보안 운영·위협 대응 자동화(SOAR), 분류형·설명형·생성형 인공지능(AI), 위협 인텔리전스(TI) 등의 핵심 솔루션·서비스를 유기적으로 통합 및 확장하고 있다”라고 설명했다.
▲국내외 대표 EDR/XDR 솔루션[자료: 시큐리티월드/보안뉴스 정리]
따로, 또 같이 움직이는 XDR
EDR과 XDR의 등장 이후 보안업계는 데이터의 통합과 이를 자동으로 분석하고, 대응하는 것에 모든 초점을 맞추기 시작했다. 대표적인 것이 ‘NDR(Network Detection and Response)’이다. NDR은 기존 ‘NTA(Network Traffic Analysis)’에서 발전한 개념으로, NTA가 네트워크 데이터를 수집한 뒤 이를 분석해 이상징후를 탐지한다면, NDR은 이렇게 탐지된 이상징후에 대응까지 한다. 또한 NDR은 기존의 다른 솔루션과 통합하거나 오케스트레이션(Orchestration)하는 것도 가능하다.
즉, 비교해 보면 EDR은 엔드포인트의 데이터를 수집해 이상징후를 탐지하고 대응하며, NDR은 네트워크의 데이터를 수집해 이상징후를 탐지하고 대응한다. 또한 XDR은 엔드포인트와 네트워크는 물론 클라우드와 이메일, ID 등 다양한 데이터를 수집해 이상징후를 탐지하고 대응한다.
다만 XDR은 EDR과 XDR 외에도 CSPM과 같은 클라우드 보안 솔루션과 IAM과 같은 아이덴티티 보안 솔루션, 그리고 SIEM(보안 정보 및 이벤트 관리, Security Information and Event Management)과 SOAR(보안 오케스트레이션과 자동화 및 대응, Security Orchestration, Automation and Response)에 TI(위협 인텔리전스, Threat lntelligence)까지 다양한 솔루션에서 데이터를 받아 통합하고 대응한다.
물론 이 모든 기능을 XDR이 모두 제공하는 것은 아니다. XDR은 말 그대로 다양한 솔루션에서 데이터를 받아와 분석하고 그 결과에 따라 대응하는 솔루션이기 때문에, 연동하는 것에 초점이 맞춰져 있다.
때문에 XDR은 어떤 솔루션을 어떻게 연동하느냐에 방식이 구분된다. 먼저 ‘Native XDR’이다. Native XDR은 자체 솔루션 혹은 에이전트와 연동해 데이터를 수집한다. 자사의 솔루션을 사용하기 때문에 연동이 쉽고 통합하는 데 최적화됐다는 장점이 있다. 하지만 XDR이 필요로 하는 모든 솔루션과 에이전트를 직접 개발할 수 없기 때문에 아무나 시도할 수 있는 방법이 아니다. 게다가 구축 비용이 높다는 것도 걸린다.
다음은 ‘Open XDR’이다. 이 방법은 기존에 있던 다양한 솔루션을 API 등을 통해 연동함으로써 구축 비용을 줄일 수 있다. 다만 API를 통한다 해도 다른 솔루션을 통합한다는 것 자체가 쉽지 않으며, 우리나라의 경우 API 연동이 활발하지 않기 때문에 개발기간이 더 길어진다.
‘Anchored XDR’은 기업 간 파트너십을 통해 상호 연동을 꾀하는 방식이다. 즉, API가 아닌 XDR을 위해 몇몇 기업이나 솔루션이 ‘협업’ 방식으로 ‘연합’을 만드는 것이라 할 수 있다. 지난 2023년 한국정보보호산업협회(KISIA)를 중심으로 한 ‘K-시큐리티 얼라이언스’가 이러한 방식이라 할 수 있다.
▲기업별 EDR/XDR 구축사례[자료: 시큐리티월드/보안뉴스 정리]
쾌속 순항 중인 EDR, 이제 시장 구축 중인 XDR
현재 EDR과 XDR의 시장 상황은 매우 활발하다. 우선 EDR은 공공과 금융, 대기업을 중심으로 빠르게 도입됐으며, 가격경쟁이 심해 레드오션으로 분류하는 곳도 있을 정도다. 이는 APT 공격이나 파일리스 공격, 랜섬웨어 등 고도화된 사이버 공격으로 인해 안티바이러스나 시그니처 기반 방식으로는 대응하기가 쉽지 않기 때문이다. 특히 엔드포인트를 노리는 공격이 늘어나면서 EDR의 수요가 빠르게 증가했고, 그만큼 시장이 성장했다는 평가다. 일각에서는 EDR 운영을 어려워하는 고객과 과도한 가격 경쟁력으로 인해 EDR과 기본적인 XDR 플랫폼을 같이 제공하는 사례도 있다고 말한다.
글로벌 리서치 기업 Grand View Research는 보고서를 통해 전 세계 EDR 시장이 2022년 28억 7,000만달러를 기록했으며, 2030년까지 연평균 성장률 24.9%를 기록하며 총 168억 9,000만달러에 달할 것이라고 밝혔다. 보고서는 EDR이 엔드포인트 장치를 관리하고 보호해 직원이 보안에 대한 걱정 없이 언제 어디서나 작업할 수 있도록 해주었다고 성장 이유를 설명했다.
또한 Mordor Intelligence는 EDR 시장이 2025년 51억달러를 기록할 것이며, 연평균 성장률 24.8%를 기록하며 2030년 154억5000만달러에 달할 것이라고 밝혔다. 보고서는 산업 전반에 사이버보안 위협이 심화되면서 EDR 시장이 전례 없는 성장을 보여주고 있다면서, 특히 다양한 기기를 업무용으로 사용하면서 공격에 취약해진 엔드포인트의 급증이 원인이라고 강조했다.
Coherent Market Insights 역시 EDR 시장분석 보고서를 통해 2025년 54억5660만달러 규모로 추산했고, 2032년까지 연평균 성장률 26.12%를 기록해 총 276억9550만달러에 달할 것으로 예측했다.
이에 비해 XDR의 성장은 쉽지 않은 상황이다. 우선 XDR이 등장한 것은 꽤 지났지만 아직까지 시장이 형성되기 시작한 초기 단계로, 실제 XDR 구축 사례가 많지 않은 것이 사실이다. 특히 단일 솔루션인 EDR과 NDR 등과 달리 XDR은 구성되는 모든 솔루션을 설치하거나 기존 솔루션과의 연동 작업을 해야 하므로 시간과 비용 차이가 크다. 업계에서는 제대로 된 XDR 구축을 위해서는 1~2년의 세월이 필요하다고 이야기한다.
때문에 실제 국내에선 제대로 된 XDR 구축 사례가 알려진 것이 거의 없다. 가장 대중적으로 알려진 것은 지난 2023년 11월 랜섬웨어로 홍역을 치른 골프존이 안랩과 함께 XDR을 구축한 사례다.
다만 세계시장의 상황은 좋은 편이다. 글로벌 리서치 기업 Grand View Research는 보고서를 통해 2022년 전 세계 XDR 시장 규모를 7억5480만달러로 추산했으며, 2030년까지 연평균 성장률 20.7%를 기록하며 34억980만달러에 달할 것으로 예측했다. 보고서는 기존 시스템에 여러 솔루션이 통합되는 추세가 늘어나고, 증가하는 보안 위협에 대한 맥락이 제한적인 여러 경고를 관리하는 복잡성이 증가함에 따라 XDR에 대한 관심이 늘고 있다고 분석했다.
또한 Markets and Markets도 XDR 시장이 2023년 17억달러에 도달했으며, 연평균 성장률 38.4%를 기록하며 2028년 88억달러에 이를 것으로 예상했다. 이들은 진화하는 사이버 위협 환경과 증가하는 사이버 공격, IT 환경의 복잡성과 보안 기술을 통합 플랫폼으로 통합하는 움직임, 나아가 EDR에서 XDR로 전환하는 움직임 등이 시장 성장의 원인이라고 지목했다.
상호 보완관계인 EDR과 XDR, AI 만나 더 강력해져
앞서 Markets and Markets가 EDR에서 XDR로 옮겨가는 움직임이 있다고 한 것처럼, EDR과 XDR은 많은 연관성이 있다. 실제로 업계에서는 이 두 솔루션이 상호보완적인 관계라고 보고 있으며, XDR이 엔드포인트의 심층 방어를 책임지는 EDR에게 다양한 정보를 받은 뒤 또 다른 정보와 유기적으로 통합해 대응한다는 생각이다. 즉 엔드포인트 자체의 보안을 EDR이 책임지지만, 파편화된 정보를 통합해 EDR에서 놓칠 수 있는 문제를 발견함으로써 EDR의 역량을 확장하는 것이 XDR이라는 것이다.
쿼드마이너는 “EDR은 기본적으로 그 자체만으로 운영이 가능하지만, XDR은 EDR을 포함한 여러 보안 솔루션이 필요하다”라면서, “최근에는 현실적으로 EDR만으로는 모든 보안 상황에 대응하기 어렵고, EDR에서 탐지되는 보안위협의 분석과 대응이 빠르게 진행되지 못하기 때문에 운영 및 대응 효율성을 높이기 위해 EDR과 XDR을 통합적으로 제안하는 형태의 사업이 나오고 있다”고 설명했다.
특히 최근 인공지능(AI)이 더해지면서 EDR과 XDR 모두 큰 변화를 겪고 있다. AI가 EDR과 XDR의 정밀도와 효율성을 효과적으로 높이고 있다는 것. 안랩은 “수많은 이벤트 중 실제 위협으로 발전할 가능성이 높은 경보만을 선별해 주는 분석 기능은 탐지의 정확도를 높이고, 운영자의 판단 부담을 줄이는 데 기여하고 있다”라면서, “또한 AI는 탐지 이후 ‘플레이북 기반의 대응 자동화’나 ‘보안 어시스턴트’ 기능을 통해 위협 식별부터 대응 전략 제시까지 보안 운영 전반의 효율성을 높이고 있다”라고 밝혔다.
엔피코어는 AI로 인한 3가지 발전 방향을 설명했다. 첫째, 탐지 능력 고도화를 위해 AI는 정상 행위 학습을 통해 신·변종 악성코드나 지능형 공격(APT)의 비정상 행위를 정밀하게 탐지해 오탐을 줄이고 정탐률을 높일 수 있다. 둘째, 대응 효율성 증대를 위해 AI는 위협의 우선순위를 신속하게 식별하고 자동화된 조치를 제안하거나 실행해 대응 시간을 단축할 수 있다. 셋째, 위협 예측 및 인텔리전스를 강화해 과거 데이터를 기반으로 미래 공격 트렌드를 예측하고, 위협 인텔리전스를 풍부하게 할 수 있다는 점이다.
▲보안전문가들의 EDR/XDR에 대한 설문조사[자료: 시큐리티월드/보안뉴스]
보안전문가들의 EDR/XDR에 대한 설문조사
그렇다면 실제 보안전문가들은 EDR과 XDR에 대해 어떻게 생각할까? 시큐리티월드와 보안뉴스는 보안전문가들의 의견을 들어보기 위해 2025년 7월 18일부터 23일까지 6일간 약 10만명의 보안전문가들에게 설문조사를 진행했다. 이번 설문조사에는 공공(25.2%)과 민간(74.8%)의 보안전문가 1,533명이 답했다.
우선 설문 응답자에게 어떤 엔드포인트 기기를 사용하는지 물어봤다. ‘노트북’을 사용하는 사람(69.7%)이 ‘데스크톱 PC’를 사용하는 사람(65.2%)보다 많았으며, ‘태블릿’을 사용하는 사용자도 29.0%에 달했다. 또한 스마트 워치와 같은 ‘웨어러블 기기’를 사용하는 사람도 19.4%에 달했다.
이어 엔드포인트 기기를 사용하다 사이버 공격을 받은 적이 있는지 물어보자, 무려 38.1%의 응답자가 ‘공격받은 적이 있다’고 답했다.
그렇다면 어떤 엔드포인트 기기를 사용하다 공격을 받았을까? 이번에는 미세하게 ‘데스크톱 PC’를 선택한 사람(39.4%)이 ‘노트북(36.8%)’을 선택한 사람보다 많았다. 이어 ‘스마트폰’을 사용하다 공격받은 사람(27.1%)과 ‘태블릿’을 사용하다 공격받은 사람(7.7%) 순으로 조사됐다.
이처럼 엔드포인트를 노린 공격이 적은 편은 아니지만 아직도 엔드포인트를 제대로 관리하지 않는 사람과 기업들이 많은 것으로 조사됐다. 엔드포인트를 어떻게 관리하는지 묻자, 62.1%는 ‘안티바이러스 등 엔드포인트 보안 솔루션을 도입해 관리한다’라고 답했다. 이어 16.3%는 ‘EDR 또는 XDR을 도입해 관리한다’고 답했으며, 13.1%는 ‘인력 및 예산이 부족해 별도로 관리하지 않는다’고 답했다. 8.5%는 ‘보안관제 전문기업에 아웃소싱해 관리한다’고 답했다.
이어 EDR과 XDR에 대해 알고 있는지 물어봤다. 50.3%는 ‘대략적으로 알고 있다’고 답했으며, 30.3%는 ‘잘 모른다’라고 답해 생각보다 EDR과 XDR에 대해 자세하게 알고 있는 보안 담당자가 드문 것으로 조사됐다. 실제로 19.3%만이 ‘EDR과 XDR에 대해 잘 알고 있다’라고 답했다.
EDR과 XDR 중 어떤 제품을 사용하는지 물어보자 54.2%는 ‘둘 다 사용하지 않는다’라고 답했으며, 32.3%는 ‘EDR’을 7.7%는 ‘XDR’을 선택했다. 5.8%는 둘 다 선택한다고 답했다. 그럼 EDR과 XDR을 단기간에 도입할 계획이 있는지 묻자 68.4%는 ‘없다’라고 답했으며, 31.6%는 ‘있다’라고 답했다. 특히 EDR과 XDR 중 하나를 도입하면 어떤 것을 도입할 것인지를 묻자 51.6%는 ‘EDR’을, 48.4%는 ‘XDR’을 선택했다.
한편, EDR과 XDR을 도입하지 않는 이유를 물어보자 43.9%가 ‘비용이 너무 많이 들어감’을 꼽으며 비용 문제를 짚었다. 또한 ‘기존 엔드포인트 보안 솔루션으로도 충분하다고 생각한다’라는 응답이 14.2%, ‘EDR과 XDR은 전문 운영 인력이 필요해서’라고 답한 응답이 14.2%가 나왔다.
반대로 어떤 문제를 해결하면 도입할 것인지를 묻자, 역시나 25.2%가 ‘가격이 싸지면 도입’한다고 답했으며, 21.9%가 ‘대부분의 기능을 자동화함으로써 전문 인력 부족을 해결하면 도입한다’라고 답했다. 또한 21.3%는 ‘SaaS 등 초기 구축 비용을 절감할 방법을 찾으면 도입’하겠다고 답했으며, 10.3%는 ‘직관적이고도 편리한 사용성을 찾으면 도입’하겠다고 답했다.
EDR과 XDR, 인공지능과 자동화 장착해 조직 안정 꿈꾼다
현재 EDR과 XDR의 주요 고객은 공공기관과 대기업, 그리고 금융권으로 알려졌다. 공공기관의 경우 법적·제도적 의무 사항과 특정 위협 환경에 대한 필요성 때문이다. 여기에 너무나 많은 엔드포인트와 솔루션을 운용하는 대기업과 그 어떤 분야보다 보안에 민감한 금융권을 중심으로 수요가 발생하고 있다.
특히 지난해와 달리 XDR의 국내 구축 사례가 알려진 것도 큰 수확이다.
업계에서는 EDR과 XDR이 단순한 보안 솔루션을 넘어 비즈니스 연속성과 사이버 복원력을 결정짓는 핵심 기반으로 자리 잡고 있다고 보고 있다. 기업들은 이러한 변화 속에서 보안 운영의 전 영역을 아우르는 통합된 탐지 및 대응 체계를 구축하고 있다는 설명이다. 최근에는 MDR(Managed Detection and Response)도 힘을 얻으면서 스스로 대응하기 힘든 기업을 대상으로 서비스를 제공하고 있다.
갈수록 사이버 공격자들의 공격은 지능화되고 있으며, SaaS와 인공지능을 활용한 공격이 늘어나면서 공격하는 행위 자체도 쉬워지고 있다. 하지만 이에 대응하는 보안 담당자들은 심각한 인력 부족은 물론 갈수록 늘어나는 보안 솔루션으로 인해 일일이 살펴보고 대응하는 것도 힘들어지고 있다.
이러한 상황에 등장한 EDR과 XDR은 단순히 사이버 위협에 대응하는 것을 넘어 조직의 안전을 위한 대책으로 자리 잡고 있으며, 특히 인공지능과 자동화를 장착함으로써 궁극적으로 조직의 안정을 가져올 것으로 기대하고 있다.
▲안랩 XDR 플랫폼[자료: 안랩]
[EDR/XDR 집중분석-1] 안랩
골프존 사례로 본 안랩 EDR·XDR 통합 대응 전략
EDR로 초동 대응, XDR로 통합 보안 완성
2023년 11월, 국내 대표 스크린 골프 기업 골프존(Golfzon)은 블랙수트(BlackSuit) 랜섬웨어 조직의 사이버 공격을 받았다. 이로 인해 시스템 일시 중단 및 고객 정보 유출 사고가 발생했다. 이번 장애는 기술적인 장애를 넘어, 고객 신뢰와 비즈니스 연속성에 대한 위협으로 작용하며 보안 체계 전반을 다시 점검하는 계기가 됐다.
이후 골프존은 기존의 대응 방식에서 벗어나, 보안 체계를 근본부터 재정비하고 위협 탐지 및 대응 역량을 강화하는 데 초점을 맞췄다. 그 출발점에는 안랩의 EDR과 XDR이 있었다.
초동 대응의 핵심, AhnLab EDR로 위협 확산 차단
침해사고 직후, 골프존은 내부 자산망과 인터넷망, IDC, AWS, 전자금융망 등 주요 인프라에 AhnLab EDR과 EPP(Endpoint Protection Platform)를 구축했다. AhnLab EDR은 위협 행위 탐지와 차단을 통해 침해 확산을 최소화했다. 골프존은 AhnLab EDR과 함께, 안랩 위협 대응 전문가 서비스 ‘AhnLab MDR(Managed Detection and Response)’을 도입해 전문 인력의 위협 분석 및 대응 자문을 실시간으로 제공받았다.
특히 안랩 위협 정보 분석팀 ‘A-FIRST’는 침해 행위를 정밀하게 분석해 문제의 원인을 정확히 진단하고, 맞춤형 해결 전략을 제시했다.
단일 이벤트의 한계 극복, XDR로 확장된 대응 체계
한편, 골프존은 수십 종의 보안 솔루션을 운영하며, 매일 수백만건에 달하는 보안 이벤트를 처리해야 했다. 골프존은 이런 기존 보안 체계의 한계를 극복하고자, SaaS 형태의 AhnLab XDR을 추가 도입했다.
AhnLab XDR은 서버와 엔드포인트 가용성을 해치지 않으면서도 로그 간 상관관계 분석을 정교하게 수행할 수 있다. 이에 따라 골프존은 기존 보안 시스템 전반의 리스크 탐지 및 대응 역량을 획기적으로 향상시킬 수 있었다. 실제로 1,500여 대의 PC와 700대 이상의 서버 자산 정보를 연동하고 주요 보안 로그를 통합한 결과, 전체 리스크 대응 체계가 하나의 통합된 플랫폼 위에서 작동하게 됐다.
3개월 만의 반전, 수치로 증명한 보안 성과
안랩의 EDR과 XDR을 병행 운영한 결과, 골프존의 전체 보안 리스크는 2024년 5월부터 8월까지 3개월간 56% 감소했다. 중간 수준 이상의 위협 이벤트는 81%, 엔드포인트 위협은 86% 감소하며 괄목할 만한 성과를 보였다.
이러한 수치는 오탐 제거 및 대응 효율화뿐만 아니라, 기존 체계로는 식별하지 못했던 은밀한 위협까지 탐지해 낼 수 있는 정교한 대응 역량을 의미한다.
EDR과 XDR의 통합 운용은 골프존의 보안 체계를 방어 위주에서 선제적 탐지 및 정밀 대응 중심으로 전환한 계기가 됐다.
EDR·XDR을 잇는 전략적 진화, 다음은 MXDR
EDR과 XDR의 성과는 안랩 보안 전략의 진화를 촉진했다. 탐지와 방어뿐만 아니라 위협을 정밀하게 분석하고 능동적으로 제거하는 체계에 대한 수요가 확대되면서, 안랩은 이를 반영한 차세대 대응 체계 ‘AhnLab MXDR(Managed eXtended Detection and Response)’을 마련했다. AhnLab MXDR은 안랩 보안 전문가가 침해 이벤트 및 로그 연계 분석과 위협 제거까지 지원하는 XDR 전용 관리 서비스다. 이 체계는 조직 내부의 위협을 다면적으로 분석하고, 대응의 우선순위를 지정함으로써 선제 대응이 가능한 지능형 사이버보안 인프라의 역할을 수행한다.
EDR·XDR로 실현한 골프존의 전략적 보안 혁신
골프존은 안랩의 EDR과 XDR을 도입해 전사적 보안 전략을 고도화하는 데 성공했다. 실시간 위협 탐지, 오탐 최소화, 전사적 리스크 대응 체계는 고객 신뢰 회복의 기반이 됐으며, 골프존은 다시금 ‘신뢰할 수 있는 골프 서비스 기업’으로서의 위상을 다질 수 있었다.
▲쿼드마이너 TAPP 생태계 주요 전략 포인트[자료: 쿼드마이너]
[EDR/XDR 집중분석-2] 쿼드마이너
쿼드마이너 TAPP으로 여는 사이버보안 상생의 길, NDR 기반 글로벌 통합 프로젝트 조명
TAPP 통해 글로벌 보안 솔루션과 NDR 통합 경험·전략 공개
쿼드마이너는 Gartner가 5년 연속 선정한 국내 유일의 NDR(Network Detection and Response) 벤더다. 디지털 심화와 AI 중심의 디지털 환경 변화에 발맞춰, 사이버보안 분야에서 ‘상생’을 핵심 가치로 한 기술상생 파트너 프로그램(TAPP, Technology Alliance Partner Program)을 런칭해 보안 생태계의 패러다임 전환을 선도하고 있다.
상생 중심의 보안 협력 시대 초입
디지털 전환이 심화하고 AI 중심의 디지털 환경이 도래하면서, 사이버 위협은 더 이상 단일 기술이나 제품만으로 대응하기 어려운 과제로 진화했다.
이에 쿼드마이너는 전통적인 기술 제휴를 넘어 ‘상생’을 핵심 가치로 한 기술협력 파트너 프로그램(TAPP)을 도입했다.
TAPP를 통해 글로벌 보안 솔루션과 자사 NDR 솔루션을 통합한 실제 프로젝트 경험을 바탕으로, 다음과 같은 기술적 핵심 고려사항과 현장 인사이트를 공유한다.
- 통합 과정에서 직면한 상호 운용성 문제
- API 기반 설계 및 데이터 표준화 전략
- 파트너 솔루션과 연계된 실질적 보안 성능 향상 사례
이 같은 접근을 통해 단순 협력을 넘어 기업·조직·보안기업이 윈윈하는 보안 생태계가 구축되고 있음을 강조한다.
TAPP 출범과 플랫폼 협력의 성공적 사례
쿼드마이너는 디지털·AI 시대의 사이버보안 대응 패러다임 전환을 반영해, TAPP을 공식 선언했다. 이 프로그램은 보안 제품 중심이 아닌 플랫폼 기반 상호운용성 생태계를 지향한다.
대표 성공 사례로 소개된 APTRCENTER는 TAPP 협력을 기반으로 통합 파일 검역 및 분석 플랫폼으로 자리 잡았다.
이 시스템은 △파일 송수신 전 구간을 시각화해 모든 흐름을 투명하게 추적하고 △정적 동적 병렬 분석 엔진을 통해 APT 위협 탐지의 정밀도를 확보하며 △위협 인텔리전스를 통합해 사전 대응 능력을 강화하고 △자동화 오케스트레이션 워크플로우로 분석부터 대응까지 운영 효율을 극대화한다.
두 번째 성공 사례로 보안 운영 자동화(SOAR)를 통해 위협 대응 속도와 정확성을 획기적으로 높이고 있다. 다양한 보안 이벤트를 통합 분석하고 자동화된 워크플로우를 통해 대응 시간을 단축하며, 파트너 솔루션과의 연계로 확장가능한 대응 체계를 구축해 운영 효율성과 실효성을 동시에 확보하고 있다. 이를 통해 단순한 탐지를 넘어, 예측과 대응이 결합된 차세대 보안 운영 체계를 선도하고 있다.
[자료: 팔로알토 네트웍스]
[EDR/XDR 집중분석-3] 팔로알토 네트웍스
팔로알토 네트웍스, 실시간 엔드포인트 위협 대응의 ‘뉴 노멀’ 제시
통합 보안의 새로운 기준, Cortex XDR
디지털 업무 환경의 변화가 사이버보안 지형을 근본적으로 뒤바꿔 놓고 있다. 재택근무의 일상화, SaaS 기반 협업 도구의 확산, 퍼블릭 클라우드 도입과 모바일·IoT 기기의 급증은 보안팀의 관제 대상과 복잡도를 비약적으로 높이고 있다.
이제 위협은 단일 엔드포인트나 이메일로 시작해 네트워크를 따라 이동하며 서버, 클라우드, 계정 권한까지 확산된다.
공격자들은 정교하게 설계된 경로를 통해 정보를 탈취하거나 시스템을 교란하며, 보안 담당자는 더 이상 단일 이벤트만으로 전체 공격의 흐름을 파악하기 어려운 상황에 놓여 있다.
실제 침해 사례를 분석해 보면, 공격은 초기 진입 이후 ‘횡적 이동(lateral movement)’, ‘권한 상승(privilege escalation)’, ‘데이터 탈취(data exfiltration)’ 등 일련의 단계로 이어진다.
기존 보안 솔루션이 개별 이벤트를 단편적으로 탐지하는 데 그쳤다면, 오늘날에는 이들 이벤트의 연관성과 흐름을 이해하고 조기에 대응할 수 있는 체계가 절실하다.
위협의 흐름을 이해하는 엔드포인트 중심의 통합 보안 플랫폼, Cortex XDR
최근 보안 업계에서 주목받고 있는 XDR(Extended Detection and Response) 솔루션은 단순한 감시 체계를 넘어 위협의 흐름을 입체적으로 조망(맥락을 이해)하는 통합 보안 플랫폼이다. 특히 엔드포인트 보안 강화가 그 핵심이다. 팔로알토 네트웍스의 ‘Cortex XDR’은 이러한 XDR 개념을 업계 최초로 상용화한 플랫폼으로 평가받는다. 엔드포인트, 네트워크, 클라우드, 사용자 행위 등 조직 전방위에서 수집한 보안 데이터를 하나의 콘솔에서 상관 분석해, 위협의 ‘맥락(Context)’ 중심 대응을 가능케 한다.
AI 기반 정밀 탐지와 자동화된 대응
Cortex XDR의 탐지 엔진은 머신러닝 기반의 분석 기술과 MITRE ATT&CK 프레임워크를 결합해 알려지지 않은 위협이나 내부자 위험, 파일리스 공격 등 정교한 위협도 엔드포인트 단계에서 실시간으로 식별한다. 탐지된 이벤트는 ‘자동으로 그룹화’되고, 공격자의 행동 흐름이 ‘시각적으로 재구성’되어 보안팀의 판단 속도를 높인다.
특히 Cortex XDR은 불필요한 경보를 최대 98%까지 줄이는 경보 그룹화 기능과 엔드포인트 격리, 악성 파일 삭제, 네트워크 차단 등의 엔드포인트에서 직접 실행되는 자동화된 대응 기능을 제공해, 보안 인력의 피로도를 줄이는 데에도 효과적이다.
보안의 패러다임을 전환하는 현명한 선택: 엔드포인트에서 시작한다
사이버보안 사고가 급증하는 오늘날, 이에 대응하는 방식은 반드시 복잡하거나 고도화된 시스템만을 의미하지 않는다. 무엇보다 중요한 것은 위협의 흐름을 조기에 인지하고, 신속하고 정확하게 대응할 수 있는 체계를 갖추는 것이다. 그리고 그 출발점은 바로 사이버 공격의 최전선, ‘엔드포인트’에 대한 강력한 통제다.
보안 솔루션 ‘Cortex XDR’은 이러한 보안의 본질적인 과제에 정면으로 대응하고 있다. 반복적인 경보 관리에 소모되는 시간은 줄이고, 보안팀이 실제 위협 대응에 집중할 수 있도록 지원하는 데 초점을 맞췄다.
최근 기업들의 보안 운영 체계는 더 이상 단편적인 방어에 그치지 않는다. 연결된 데이터와 자동화된 인사이트를 기반으로 한 통합 운영으로 전환되는 추세다.
이러한 변화의 중심에는 Cortex XDR이 자리 잡고 있으며, 보안 운영의 효율성과 실효성을 동시에 끌어올리고 있다는 평가를 받고 있다.
팔로알토 네트웍스는 현재 Cortex XDR을 실제 운영 환경에서 직접 경험할 수 있는 ‘60일 무상 진단 프로그램’을 제공하고 있다. 이 기회를 통해 기업은 급증하는 사이버 위협 속에서도 자산을 효과적으로 보호할 수 있는 해답을 찾을 수 있을 것으로 기대된다.
지금이 바로, 강력한 엔드포인트 보안의 힘을 직접 체험해 볼 때다.
▲자율형 SoC 구축을 위한 스텔라사이버 다계층 AI 구조(Multi-Layer AI)[자료: 스텔라사이버]
[EDR/XDR 집중분석-4] 스텔라사이버
공급망 공격, 랜섬웨어, 정보 유출 등 다계층 보안 위협에 대응하는 AI 기반 통합 분석 플랫폼
스텔라사이버 Open XDR, AI 기반 통합 분석으로 정보 유출, 랜섬웨어와 같은 보안 위협에 맞서다
최근 공급망 공격, APT, 제로데이 기반 랜섬웨어 등 지능형 위협이 고도화되며 단일 보안 장비로는 한계에 직면했다. 수많은 보안 솔루션이 개별 알람을 쏟아내는 가운데, 보안팀은 데이터 사일로와 경보 피로로 인해 중요한 위협을 놓치기 쉽다. 이러한 근본적 문제를 해결하기 위해 주목받는 것이 스텔라사이버(Stellar Cyber)의 ‘Open XDR(개방형 탐지 및 대응)’ 플랫폼이다. Open XDR은 분산된 보안 데이터를 통합하고, AI 기반 위협 분석 및 자동 대응을 통해 보안 운영의 패러다임을 사후 대응에서 예측과 예방 중심으로 전환시킨다.
모든 데이터를 하나로, AI로 의미를 찾다: Open XDR의 핵심 철학
스텔라사이버의 Open XDR은 특정 벤더에 종속되지 않는 ‘개방형’ 아키텍처로, 이미 보유한 EDR, SIEM, NGFW, 클라우드(AWS, Azure, GCP), 이메일 보안 솔루션 등과 수십 개의 통합 커넥터와 범용 API를 통해 유연하게 연동된다. 플랫폼 중심에는 지도/비지도 학습과 딥러닝 기반의 고도화된 AI 엔진이 있어 사용자 정상 행위를 학습하고 미세한 이상 징후를 탐지한다. 예를 들어, ‘이례적인 시간대 로그인’, ‘평소와 다른 내부 서버 접근’, ‘대용량 외부 클라우드 업로드’와 같은 개별 이벤트를 MITRE ATT&CK 프레임워크 기반으로 자동 연관 분석해 수천 개의 저수준 경보를 단 하나의 고신뢰 인시던트로 통합, 분석가는 실제 위협에 즉시 집중할 수 있다.
Auto-Triage와 생성형 AI 연동, 지능형 위협 대응의 자동화를 실현하다
스텔라사이버는 최근 플랫폼에 AI 기능을 대폭 강화해 대응 속도와 정확성을 극대화했다. 새롭게 탑재된 ‘Auto-Triage(자동 분류)’ 기능은 관련 자산의 중요도, 사용자 역할, 최신 위협 인텔리전스를 실시간으로 분석해 생성된 케이스에 대한 상세 맥락을 자동 부여하며, 분석가는 즉시 상황을 파악하고 신속한 의사결정이 가능하다. 또한 생성형 AI 연동으로 복잡한 쿼리 없이 일상 언어로 “케이스 #789 공격 경로 요약하고 가장 효과적인 격리 방안 추천해 줘”, “어제 재무팀 서버에 접근한 외부 IP 알려줘”와 같은 요청만으로 분석이 가능해졌다.
이러한 지능형 기능은 다단계 랜섬웨어 공격 방어에 효과적이다. 피싱 메일을 통해 악성코드가 유입되는 초기 침투 단계부터, 내부망에서 다른 시스템으로 수평 이동(Lateral Movement) 하며 권한을 탈취하는 확산 단계, 그리고 최종적으로 데이터를 암호화하려는 실행 단계까지 모든 과정을 실시간으로 추적한다. 필요시 EDR 연동으로 감염 단말 격리, 방화벽 정책 변경, IT 서비스 관리 시스템의 티켓 발행까지 자동화해 ‘골든 타임’ 내로 위협을 신속하게 무력화한다.
▲SPiDER ExD[자료: 이글루코퍼레이션]
[EDR/XDR 집중분석-5] 이글루코퍼레이션
이글루코퍼레이션, AI 기반 Open XDR 통해 보안 운영 자동화 구현의 근본적인 혁신을 이끌다
XDR 기반 차세대 보안 관제 플랫폼 ‘SPiDER ExD’ 중심의 보안 위협 대응 일원화 체계 지원
디지털 전환 가속화의 영향으로 조직이 마주한 사이버 위협은 점점 더 정교해지고 있다. 보안 환경은 점점 더 복잡해지고 있으나, 기존의 보안 체계만으로 지능화된 위협을 완벽히 방어하기에는 한계가 있다. 이에 대응하기 위해 인공지능(AI) 기반 보안 운영·분석 플랫폼 기업 이글루코퍼레이션은 ‘AI 기반 오픈 XDR(AI-driven Open XDR)’ 전략을 제시하며 보안 운영 자동화 실현에 박차를 가하고 있다.
AI 기반 Open XDR 통해 보안 자동화 혁신 선도
이글루코퍼레이션의 AI-driven Open XDR은 XDR 기반 차세대 보안 플랫폼 중심의 ‘일원화된 탐지-분석-대응’ 체계를 통해 보안 운영 자동화를 구현한다. ‘보안 정보 및 이벤트 관리(SIEM)-보안 운영·위협 대응 자동화(SOAR)-AI’ 구성 기반으로 기능하며, 다각화된 데이터 수집, AI·머신러닝 기반 자동 위협 분석·탐지, 위협 스코어링·플레이북 기반 자동 대응을 지원한다.
이글루코퍼레이션은 AI-driven Open XDR를 통해 연동 가능한 보안 기능과 인텔리전스 확대를 위해 다각화된 포트폴리오 및 다양한 파트너사로 구성된 ‘이글루 얼라이언스’를 지속 확장하고 있다.
가시성, 확장성, 유연성 갖춘 XDR 기반 차세대 보안관제 플랫폼 ‘SPiDER ExD’
이글루코퍼레이션은 더 원활한 AI-driven Open XDR 지원을 위해 XDR 기반 차세대 보안관제 플랫폼 ‘스파이더 이엑스디(SPiDER ExD)’를 제공하고 있다. SPiDER ExD는 AI를 기반으로 이기종 솔루션·서비스와의 유기적 통합·확장을 통해 데이터 수집 다각화 및 탐지 고도화하며, 위협 데이터 간 연관 관계를 분석해 자동 대응한다. 각 조직의 보안 환경과 위협 변화에 맞춰 기능을 유연하게 확장할 수 있으며, 고위험군 이벤트를 신속하게 식별·대응해 보안 공백을 최소화할 수 있다.
또한, SPiDER ExD는 클라우드 네이티브 환경에 특화된 통합 보안 운영, 가상머신(VM)과 컨테이너, 쿠버네티스(Kubernetes) 환경 등을 포괄하는 일원화된 보안 체계 기능을 제공한다. 이를 통해 온프레미스와 클라우드 환경을 통합한 보안 운영이 가능하며, 클라우드 네이티브 플랫폼을 노린 보안 위협에 선제 대응할 수 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)