EDR (엔드포인트 탐지 및 대응)
포스팅 뷰6
EDR이란 무엇인가
EDR(엔드포인트 탐지 및 대응)은 PC, 노트북, 서버와 같은 엔드포인트에서 발생하는 모든 행위를 지속적으로 수집·분석하여 침해 징후를 탐지하고, 사고에 대응하기 위한 보안 기술이다. 기존 백신(AV)이 알려진 악성코드의 사전 차단(prevention)에 초점을 맞췄다면, EDR은 이미 침입했거나 정상 행위로 위장한 공격을 사후 탐지(detection)와 대응(response) 하는 데 목적이 있다.
왜 EDR이 필요한가
현대의 공격은 다음과 같은 특징을 가진다.
- 파일 없이 메모리에서 실행되는 공격
- 정상 프로세스를 악용한 공격
- 초기 침해 후 장기간 잠복
- 랜섬웨어 실행 전 내부 정찰 활동
이러한 공격은 시그니처 기반 AV, 단순 행위 차단 솔루션만으로는 탐지가 어렵다. EDR은 엔드포인트의 “행위(Behavior)” 자체를 분석함으로써 이러한 고도화된 공격을 탐지하기 위해 등장했다.
EDR의 핵심 기능
1. 엔드포인트 행위 수집
- 프로세스 생성/종료
- 파일 생성·수정·삭제
- 레지스트리 변경
- 네트워크 연결 정보
- 사용자 행위 로그
공격 전·중·후 전체 흐름을 재구성할 수 있는 근거 데이터 제공
2. 위협 탐지(Detection)
- 알려진 악성 행위
- 비정상 행위(Anomaly)
- 공격 체인 기반 탐지 (Kill Chain)
- MITRE ATT&CK 기법 매핑
단일 이벤트가 아닌 연속된 의심 행위를 기반으로 판단
3. 사고 대응 기능
침해 징후가 확인될 경우 EDR은 다음과 같은 대응을 지원한다.
- 감염된 엔드포인트의 네트워크 격리
- 악성 프로세스 강제 종료
- 파일 차단 또는 삭제
- 관리자의 수동 대응을 위한 제어 기능 제공
이를 통해 침해 사고의 확산을 조기에 차단하는 것이 목적이다.
4. 포렌식 및 사고 분석
EDR은 사고 발생 이후 다음과 같은 분석에 활용된다.
- 공격 타임라인 재구성
- 최초 침입 경로 식별
- 내부 확산 여부 확인
- 재발 방지를 위한 보안 정책 개선
이 기능은 SOC 운영 및 침해 사고 대응 체계의 핵심 요소로 활용된다.
EDR과 전통적 백신(AV)의 차이
|
구분 |
안티바이러스(AV) |
EDR |
|---|---|---|
|
탐지 방식 |
시그니처 기반 |
행위 기반 |
|
탐지 시점 |
실행 전 또는 초기 |
실행 이후 포함 |
|
사고 분석 |
제한적 |
상세 포렌식 가능 |
|
대응 범위 |
차단 중심 |
격리, 조치, 분석 |
|
운영 관점 |
개별 단말 |
조직 전체 엔드포인트 |
EDR은 AV를 완전히 대체하는 개념이라기 보다, 기존 보안 체계를 보완하는 상위 대응 기술로 이해하는 것이 적절하다.
EDR이 대응하는 대표적인 위협
- 랜섬웨어
- 파일리스 멀웨어
- 트로이 목마
- 스파이웨어
- 권한 상승 공격
- 내부 확산
- 브라우저 기반 공격
EDR와 연관된 보안 개념
- SIEM: EDR 로그를 수집하여 상관 분석 수행
- SOC: EDR 경보를 기반으로 사고 대응 수행
- XDR: EDR을 포함한 통합 탐지 및 대응 개념
- 제로트러스트: 단말 신뢰 검증의 핵심 요소
- ZTNA: 단말 상태 평가 시 EDR 정보 활용
EDR은 단독 솔루션이라기보다 다른 보안 체계와 연결되는 중심축의 역할을 한다.
EDR 도입 시 고려 사항
- 조직 내 모든 엔드포인트 커버 가능 여부
- 로그 보관 기간 및 분석 가시성
- SOC 및 SIEM 연계 여부
- 운영 인력의 분석 및 대응 역량
- 오탐에 대한 관리 체계
EDR은 설치 자체보다 운영 성숙도가 효과를 좌우하는 보안 대책이다. EDR은 엔드포인트에서 발생하는 위협을 탐지하고, 침해 사고에 대응하며, 사고 원인을 분석하기 위한 현대 기업 보안의 핵심 대응 수단이다.
분산 근무 환경과 고도화된 공격 기법이 일반화된 현재, EDR은 랜섬웨어 대응과 침해 사고 대응 체계의 출발점으로 자리 잡고 있다.