EDR(Endpoint Detection and Response)란?

🔐 EDR(Endpoint Detection and Response)란?

 

정의:

EDR은 “엔드포인트 탐지 및 대응(Endpoint Detection and Response)”의 약자로,**PC, 노트북, 서버 등의 단말기(엔드포인트)**에서 일어나는 의심스러운 활동을 실시간으로 감지, 분석, 대응하는 보안 솔루션입니다.

 

 

배경: 왜 EDR이 필요한가?

 

기존 **백신(AV)**은 다음과 같은 한계를 가지고 있었습니다:

기존 백신(AV)의 한계설명

서명 기반 탐지만 사용	신종, 변종 악성코드에 무력
행위 분석도 제한적	탐지 후 대응이 수동적
보안 사고 발생 후 분석 불가	감염 경로, 피해 범위를 확인하기 어려움
고급 공격(APT)에 취약	침투 후 은밀히 내부에서 활동하는 공격 탐지 어려움

그래서 나온 것이 EDR입니다.

 

 

EDR의 핵심 목적

목적설명

탐지(Detection)	이상 행위, 악성 동작을 실시간 감지
분석(Investigation)	위협의 출처, 경로, 확산 범위 분석
대응(Response)	감염된 엔드포인트 격리, 악성 프로세스 종료, 파일 삭제 등
가시성(Visibility)	조직 내 수천 대 단말의 보안 상태를 한눈에 파악

 

 

EDR은 어떻게 작동할까?

 

EDR은 다음과 같은 방식으로 시스템을 감시하고 방어합니다:

1. 데이터 수집

• 엔드포인트(PC, 서버 등)에서 다음 항목을 지속적으로 기록
  • 실행된 프로세스
  • 파일 생성/삭제
  • 네트워크 연결(IP, 도메인)
  • 레지스트리 변경
  • 사용자 활동 (로그인, USB 연결 등)
• 수집된 데이터를 중앙 서버 또는 클라우드로 전송

 

2. 분석 및 탐지

• 수집된 데이터를 실시간으로 분석하여 이상행위를 탐지
• 활용 기술:
  • 행위 기반 분석(Behavioral)
  • AI/머신러닝 모델
  • 위협 인텔리전스 연동
  • YARA 룰, MITRE ATT&CK 매핑 등

 

3. 경고 및 가시화

• 위협이 탐지되면 관리자에게 경고
• 감염 타임라인, 프로세스 트리, 통신 기록 등을 시각화하여 포렌식 수준의 분석 제공

 

4. 자동 또는 수동 대응

• 다음과 같은 즉각적인 대응 조치 가능:
  • 해당 PC 네트워크 격리
  • 악성 프로세스 강제 종료
  • 악성 파일 삭제
  • IOC(지표) 기반으로 다른 단말에서도 유사 행위 검색

 

 

💡 EDR이 백신(AV)과 다른 점

항목백신 (AV)EDR

탐지 방법	서명 기반 중심	행위 분석, AI, 실시간 로그
대상	단일 파일, 악성코드	전체 활동, 사용자의 행동
대응 방식	감염된 파일 삭제	감염 원인 분석 + 자동 격리/조치
가시성	없음	있음 (타임라인, 공격 흐름 등)
관리	개별 또는 소규모 중앙 관리	기업 전사적 통합 보안 관리
사고 분석	불가	가능 (포렌식 지원)

 

+추가 정보

안티바이러스(백신)는 엔드포인트 단에서 실행 파일이나 프로세스의 시그니처(signature), 해시(hash), 패턴을 기반으로 알려진 악성코드를 탐지한다. 그러나 이 방식은 이미 등록된 악성코드에 대해서만 효과적이고, 변종이나 신규 악성코드에는 취약하다.

따라서 단순히 엔드포인트 백신만으로는 보안이 완전하지 않다. 공격자가 내부까지 침투하기 전에 막기 위해서는 경계 보안(Network Perimeter Security) 이 필요하다. 방화벽, IDS/IPS, 게이트웨이 보안 등을 통해 네트워크 레벨에서 의심스러운 트래픽과 침입을 차단하는 것이다.

하지만 공격자는 끊임없이 새로운 샘플을 만들고, 기존 시그니처와 해시값을 우회하는 기법을 사용한다. 이런 이유로 등장한 것이 EDR(Endpoint Detection & Response) 이다.

EDR은 단순히 해시값이나 시그니처만 보는 것이 아니라, 프로세스 행위, 시스템 로그, 네트워크 활동 패턴을 종합적으로 분석한다. 즉, CCTV처럼 엔드포인트에서 발생하는 모든 행위를 기록하고, 특정 행위가 정상 범위를 벗어날 때(예: 무단 파일 암호화, 비정상 네트워크 접속) 이를 탐지하고 대응한다.

결과적으로,

• 안티바이러스(AV): 기존 악성코드 차단 (시그니처/해시 기반)
• 경계 보안: 외부 침입 자체를 방지 (네트워크 차원)
• EDR: 엔드포인트 행위 기반 탐지 및 대응 (CCTV + 추적/대응 역할)

이 세 가지가 함께 보완적으로 작동해야 효과적인 보안 체계가 완성된다.

 

🧩 주요 구성 요소

구성 요소설명

에이전트 (Agent)	각 엔드포인트에 설치되어 데이터 수집 및 명령 수행
EDR 서버/콘솔	탐지, 분석, 시각화, 정책 설정 등의 중앙 제어
위협 인텔리전스	외부의 공격 정보(IOC, 악성 IP, 도메인 등) 연동
대응 자동화 엔진 (SOAR)	특정 조건 충족 시 자동으로 조치 수행 (선택 사항)

 

 

🛠️ 예시 시나리오: EDR의 실제 동작

 

 

 공격 흐름:

1. 사용자가 이메일 첨부파일 실행
2. 내부적으로 powershell이 실행되고, 외부에서 .exe 파일 다운로드
3. 프로세스가 이상한 DLL을 메모리에 인젝션
4. 명령제어(C&C) 서버로 비정상 통신 시작

 

 

 EDR의 대응:

 

• 1단계 탐지: cmd.exe → powershell.exe → curl 흐름 감지
• 2단계 분석: 실행된 파일 해시 확인 → 과거 유사 공격 사례 존재
• 3단계 조치: 해당 PC 자동 네트워크 격리 + 관리자에게 알림
• 4단계 추적: 동일 프로세스 트리를 가진 다른 단말 검색 → 전파 차단

 

 

대표적인 EDR 솔루션

제품기업특징

Microsoft Defender for Endpoint	Microsoft	윈도우 환경 최적화, M365 연동
CrowdStrike Falcon	CrowdStrike	클라우드 기반, 가볍고 강력한 탐지
SentinelOne	SentinelOne	AI 기반 자동화 대응에 강점
Symantec EDR	Broadcom	기존 AV와 통합, 대기업 특화
AhnLab EDR	안랩	국내 기업용 환경 최적화
Trend Micro Vision One	Trend Micro	EDR + XDR 확장 가능

 

 

장점

• 정교한 공격 탐지 가능
• 위협 추적 및 대응 자동화
• 사고 발생 후에도 빠른 조사 가능
• 기업 전사적인 보안 가시성 확보

 

 

 단점 및 고려사항

항목설명

도입/운영 비용	AV보다 훨씬 비쌈 (EDR + 서버 + 운영 인력 필요)
초기 설정 복잡	탐지 룰, 정책 설계, SIEM 연동 등 필요
오탐 가능성	사용자 업무와 비슷한 행위를 악성으로 판단할 수 있음
운영 전문성 요구	단순 설치형 백신과 달리 보안 전문 인력이 필요

 

---

 

EDR → XDR로 확장

엔드포인트 중심 탐지/대응	엔드포인트 + 이메일 + 네트워크 + 서버 등 모든 보안 로그 통합
포렌식 + 위협 헌팅에 특화	전사적 위협 탐지/대응 플랫폼으로 발전

 

 

결론 요약

 

• EDR은 단순히 악성코드를 막는 것이 아니라,
• 공격을 탐지하고, 분석하고, 자동으로 대응할 수 있는 능동적 보안 플랫폼입니다.
• 기존 백신의 한계를 극복하기 위해 개발되었으며,
• APT, 랜섬웨어, 내부자 공격 등 고도화된 위협에 효과적입니다.
• 기업에서는 이제 백신 + EDR을 통합한 통합 보안 전략이 기본이 되고 있습니다.