EDR에서 XDR로 — 행위 기반 탐지·조사·대응의 진짜 가치

1. EDR이란 무엇인가 — 실행된 위협을 잡는 두 번째 그물

EDR(Endpoint Detection and Response)은 단말과 서버 내부에서 벌어지는 행위를 실시간으로 기록·분석해 위협을 탐지하고 대응하는 기술입니다. 한마디로 정의하면, 막는 것이 아니라 보이게 만드는 것이 EDR의 본질입니다.

이 차이가 중요합니다. 가상패치(Host IPS)가 알려진 취약점을 노린 공격을 입구에서 차단하는 '사전 차단'이라면, EDR은 그 차단을 넘어 이미 시스템 안에서 실행되고 있는 위협을 포착하는 '사후 가시화'입니다. 어떤 방어선도 100%는 아닙니다. 제로데이, 정상 도구를 악용하는 공격(Living-off-the-Land), 탈취된 정상 계정을 통한 침투는 차단망을 통과합니다. 그렇게 안으로 들어온 위협을 잡는 것이 EDR이 놓인 자리, 즉 두 번째 그물입니다.

2. 어떻게 동작하는가 — 행위를 기록하고 공격 기법과 대조한다

EDR의 탐지력은 단말의 모든 활동을 끊임없이 기록(텔레메트리 수집)하는 데서 출발합니다. 무엇을 보는가가 곧 무엇을 잡는가를 결정합니다.

1. 행위 기록 — 프로세스 생성·종료, 명령행 인자, 레지스트리 변경, 파일 생성·수정, 네트워크 연결, 사용자 인증 같은 단말 내부의 모든 사건을 시간 순으로 수집합니다.
2. 공격 기법 대조 — 수집된 행위를 MITRE ATT&CK 프레임워크 기반의 공격 기법(OAT, Observed Attack Techniques)과 비교합니다. "워드가 파워셸을 호출해 외부에서 스크립트를 내려받았다" 같은 행위 패턴은 단일 사건으로는 무해해 보여도 공격 기법의 조각으로 인식됩니다.
3. 위협 인텔리전스 대조 — 알려진 악성 지표(IoC: 악성 IP·도메인·파일 해시 등) 및 글로벌 위협 인텔리전스와 대조해, 이미 식별된 위협과의 연관성을 확인합니다.
4. 이상행위 탐지 — 위 신호를 종합해 정상 기준선에서 벗어난 활동을 이상행위로 판정하고, 위험도에 따라 경보를 발생시킵니다.

이 구조 덕분에 EDR은 "이 파일이 악성인가"라는 단편적 질문을 넘어, "이 단말에서 지금 공격이 진행 중인가"라는 맥락적 질문에 답할 수 있습니다.

3. 단순 알림을 넘어서 — 인과관계 시각화와 능동적 대응

EDR의 진짜 가치는 탐지가 아니라 탐지 이후에 있습니다. 경보만 쏟아내는 도구는 보안팀을 알림 더미에 파묻을 뿐입니다. 잘 만든 EDR은 분석가가 사건을 이해하고 즉시 행동할 수 있게 돕습니다.

• 공격 경로의 인과관계 시각화 — 최초 침투 지점부터 실행된 프로세스, 생성된 파일, 외부 통신, 영향받은 계정까지의 연결고리를 하나의 트리로 보여줍니다. "무엇이 어떤 순서로 일어났는가"가 한눈에 들어옵니다.
• 능동적 대응(Response) — 탐지에서 멈추지 않고, 감염 의심 단말을 네트워크에서 즉시 격리하거나 악성 프로세스를 원격으로 강제 종료하고, 악성 파일을 수집·삭제하는 조치를 콘솔에서 바로 실행합니다.
• 위협 헌팅(Threat Hunting) — 축적된 행위 데이터를 질의해, 경보가 울리지 않은 잠복 위협을 분석가가 능동적으로 추적할 수 있습니다.

탐지(Detection)와 대응(Response)이 한 단어로 묶여 있는 이유가 여기 있습니다. 봤으면 막을 수 있어야 합니다.

4. EDR의 한계와 XDR로의 확장 — '점'에서 '공격 스토리'로

EDR은 강력하지만, 그 시야는 이름 그대로 엔드포인트에 갇혀 있습니다. 현대의 공격은 단말 한 곳에서 끝나지 않습니다.

피싱 이메일로 시작해 → 단말을 감염시키고 → 네트워크를 통해 측면 이동하며 → 클라우드 콘솔의 권한을 탈취하고 → 서버 데이터를 빼냅니다. 이 흐름에서 EDR은 '단말' 구간만 봅니다. 이메일 게이트웨이는 이메일만, 네트워크 센서는 트래픽만, 클라우드 보안은 설정만 따로 봅니다. 각 도구가 자기 영역의 '점'만 보고 따로 경보를 울리면, 보안팀은 그것들이 하나의 공격이라는 사실조차 알아채기 어렵습니다.

XDR(eXtended Detection and Response)은 이 한계를 정면으로 푸는 확장입니다. 엔드포인트·네트워크·이메일·클라우드·서버·계정의 신호를 한 곳에 모아 교차 상관분석(cross-layer correlation)하고, 연관된 사건들을 하나의 인시던트로 묶습니다. 흩어진 점들이 비로소 하나의 '공격 스토리'로 보이는 것입니다.

정리하면, XDR은 EDR을 대체하는 것이 아니라 EDR을 핵심으로 삼아 시야를 넓힌 것입니다. 강한 단말 가시성(EDR) 위에 전 계층 상관분석(XDR)이 얹히는 구조입니다.

5. 왜 SaaS 시대에 필수인가 — 경계가 사라진 곳의 유일한 방어선

행위 기반 탐지(EDR/XDR)는 경계가 무너진 환경에서 사실상 유일하게 작동하는 방어선입니다. 망분리가 풀리고 업무가 SaaS·클라우드로 흩어지면, "안과 밖을 가르는 벽"이라는 전제 자체가 사라지기 때문입니다.

• 지킬 벽이 없는 영역 — SaaS 환경에서는 '내부망'이라는 안전지대가 없습니다. 차단할 경계가 없으니, "지금 일어나고 있는 행위가 정상인가"를 판별하는 행위 기반 탐지가 마지막 보루가 됩니다.
• 잠복형 위협(APT) 대응 — APT는 정상 트래픽으로 위장하고 정상 도구를 악용하며 수개월씩 잠복합니다. 시그니처로는 잡히지 않습니다. 오직 "비정상적인 행위의 연쇄"를 추적하는 EDR/XDR만이 이런 장기 침투를 드러낼 수 있습니다.
• 탈취된 정상 계정 — 경계가 없는 세상에서 가장 흔한 침투 방식은 해킹이 아니라 로그인입니다. 권한을 가진 계정이 평소와 다르게 행동하는 패턴은, 행위를 보는 도구만이 잡아낼 수 있습니다.

다시 시리즈의 한 문장으로 돌아가면 — 가상패치로 차단하고, EDR/XDR로 탐지·대응합니다. 사전 차단이 막지 못한 위협을, 행위 기반 탐지가 받아냅니다. 두 방어선은 경쟁하지 않고 서로의 사각지대를 메웁니다.

6. 도입 관점 — 도구가 아니라 운영이 좌우한다

EDR/XDR은 도입하는 순간이 아니라 운영하는 동안 가치를 만듭니다. 풍부한 가시성은 그것을 읽고 판단하고 대응하는 사람과 프로세스가 있을 때만 의미가 있습니다.

1. 운영 인력·역량 — EDR은 경보와 행위 데이터를 쏟아냅니다. 이를 분류(triage)하고 오탐을 걸러내며 진짜 위협에 대응할 인력과 절차가 함께 설계되어야 합니다.
2. 관제(SOC) 연계 — 내부 인력이 24시간 대응하기 어렵다면, 관제 서비스와 연계해 탐지부터 대응까지의 공백을 메우는 것이 현실적입니다.
3. 기존 보안과의 통합 — 서버의 가상패치(Deep Security), APT 탐지(Deep Discovery) 등 이미 가진 자산을 어떻게 한 화면으로 묶어 상관분석할지가 XDR의 실효를 좌우합니다.
4. 사전 검증(PoC) — 실제 환경에서 탐지 정확도·성능·오탐 수준을 검증한 뒤 확대하는 것이 안전합니다.

가디언넷은 트렌드마이크로 Vision One(EDR/XDR)으로 이 방어선을 구현하며, 도입 타당성 검토부터 정책 설계, 관제 운영 연계까지 함께합니다. 기존에 운영 중인 Deep Security·Deep Discovery 환경과 묶어 단일 플랫폼에서 상관분석하는 통합 가시성을 설계하는 것이 가디언넷이 강조하는 지점입니다.

마치며

EDR에서 XDR로의 확장은 단순한 제품 업그레이드가 아니라 관점의 전환입니다. "이 파일이 악성인가"에서 "지금 우리 조직에서 어떤 공격이 진행되고 있는가"로 질문이 바뀌는 것입니다. 경계가 사라진 SaaS 시대에, 답해야 할 질문은 후자입니다.

각 방어선이 어떻게 한 겹 한 겹 맞물리는지에 대한 전체 그림은 기둥글: 망분리는 끝났다에서, 이 글의 짝이 되는 1선(사전 차단)은 가상패치 글에서 이어집니다.