EDR(Endpoint Detection and Response)

— 백신으로는 더 이상 막을 수 없는 이유

🧨 지금의 위협은 “실행”되지 않는다

예전에는 악성코드가 실행파일 형태로 첨부파일에 숨어 있었고, 클릭하면 바이러스가 퍼졌습니다. 이런 방식은 백신(안티바이러스) 이 막을 수 있었습니다.

하지만 지금은? 악성코드는 형태를 감춥니다. 정상 파일처럼 보이지만 내부에서 명령어만 실행되거나, 시스템 명령어를 호출하여 사용자 몰래 데이터를 유출하거나 시스템을 변조합니다.

→ 이런 위협은 서명 기반 백신으로는 탐지되지 않습니다.

❗ 그래서 등장한 보안 접근: "행동을 감시하자"

단순히 악성 파일이 있는지를 보는 게 아니라, 컴퓨터(Endpoint)에서 일어나는 모든 행동 자체를 실시간으로 감시하는 방식이 필요해졌습니다. 이를 통해 명령어, 로그인 시도, 프로세스 생성 등을 통합적으로 감시하고 비정상 행위가 감지되면 즉시 차단하고 대응하는 기술이 등장하게 되었습니다.

🧠 EDR이란?

EDR은 다음의 약자입니다:

Endpoint: PC, 서버, 노트북 같은 단말 장치
Detection: 위협을 탐지
Response: 탐지된 위협에 즉시 대응

즉, 각 엔드포인트 단말기에서 일어나는 모든 활동을 감시·기록·분석하고, 위협을 자동 또는 수동으로 차단하는 보안 체계입니다.

🛠️ 기존 보안 시스템과의 차이점

구분	백신(AV)	EDR
탐지 방식	서명 기반	행위 기반, 이상징후 분석
대응 범위	악성코드 삭제	프로세스 차단, 행위 격리, 사용자 알림
기록 보존	없음 또는 단기	모든 행위 장기 기록 (포렌식 기반)
탐지 대상	파일 중심	프로세스, 명령어, 로그인, 통신 등 전체

🔍 EDR의 주요 기능

행위 모니터링: 실행된 명령어, 접근 파일, 네트워크 연결, 로그인 이력 등 기록
이상 행위 탐지: 미리 정한 룰, 머신러닝 기반 이상징후 탐지
자동 대응: 프로세스 종료, 파일 격리, 계정 차단, 알림 전송
로그 저장 및 포렌식: 사고 발생 시 사후 분석 기반 제공

🧪 예시 시나리오: 단순한 공격도 놓치지 않는다

어느 날, 한 직원이 메일로 온 링크를 클릭했다. 링크는 악성 스크립트를 포함한 웹사이트로 연결되어 있었지만, 실행파일은 없었다.

백신: 실행파일이 없기 때문에 탐지하지 못함 → 감염됨 ❌

EDR: 브라우저가 의심 명령어 호출 → powershell 동작 기록됨 → 비정상 IP 접속 탐지 → 즉시 차단, 관리자 알림 → 대응 완료 ✅

⚙️ 실제 기업에서의 배치 방식

에이전트: 각 PC, 서버에 설치된 감시 모듈
중앙 콘솔: 모든 로그를 통합 수집 및 분석하는 중앙 서버
대시보드: 관리자에게 실시간 알림 및 수동/자동 대응 설정 화면 제공

→ 모든 단말 장치가 중앙 서버와 연결되어 → 탐지부터 대응까지 **통합적인 관제**가 가능해집니다.

🧾 정리

항목	설명
정의	엔드포인트 장비의 모든 활동을 감시·기록·분석·대응하는 시스템
탐지 대상	명령어, 로그인, 통신, 실행파일, 레지스트리 등
대응 방식	비정상 행위 탐지 시 차단, 격리, 관리자 알림
기존 백신과 차이	정적 파일 탐지 vs 행동 기반 실시간 감시
도입 위치	기업의 PC, 서버, 노트북 등 모든 단말기