11 EDR/XDR

1. 개요

• EDR (Endpoint Detection and Response): 엔드포인트에서의 탐지 및 대응
• XDR (eXtended Detection and Response): 여러 보안 솔루션 데이터를 통합하여 상관분석·대응하는 확장형 플랫폼

---

2. EDR (Endpoint Detection and Response)

2.1 엔드포인트 정의

• 방화벽 외부에서 조직 네트워크에 연결되는 모든 기기
  • 노트북, 데스크탑, 태블릿, 모바일, IoT(웨어러블, 프린터, POS, 의료기기 등)

2.2 역할 및 중요성

• 성공적 침해의 상당 부분이 엔드포인트에서 발생
  • 해킹의 약 90%, 데이터 침해의 약 70%가 엔드포인트 관련 사례에서 발생한다는 통계 언급
• 각 디바이스의 행위를 수집해 중앙 서버로 전송 → 모니터링 및 보호

2.3 탐지 기법

• 머신러닝, 패턴 분석, 로그 분석, 위협 인텔리전스(TI) 활용
• IOC (Indicator of Compromise), IOA (Indicator of Attack) 기반 탐지
  • IOC: 침해 지표(예: 악성 해시, C2 IP 등)
  • IOA: 공격 활동의 행위 기반 지표(예: 의심스러운 권한 상승 시퀀스)

2.4 포렌식 및 대응

• 상세 이벤트 데이터 수집(포렌식)
• 자동화된 대응
  • 경고·우선순위 분류
  • 감염 엔드포인트 네트워크 연결 차단, 사용자 로그오프
  • 악성 프로세스/파일 중지
  • 동일 위협 유무를 다른 엔드포인트에서 검사

---

3. XDR (eXtended Detection and Response)

3.1 개념

• 엔드포인트 뿐만 아니라 네트워크, 이메일, 애플리케이션 등 전체 인프라의 데이터를 수집·상관분석
• 다양한 보안 솔루션을 중앙에 통합, 자동 분석·조사·대응 수행
• 가트너 용어로 정립된 개념이나, 공급사별 정의가 다소 상이함

3.2 특징

• SaaS 기반의 중앙집중형 보안 플랫폼으로 클라우드·이메일·ID·애플리케이션 로그 등을 수집
• 머신러닝·AI를 활용하여 실시간 상관분석 및 자동 대응 제공

---

4. EDR vs XDR 비교

항목	EDR	XDR
범위	엔드포인트 중심	엔드포인트 + 네트워크 + 이메일 + 애플리케이션 등 전영역
목적	엔드포인트 위협 탐지·대응	여러 소스 데이터 통합·상관분석을 통한 종합 대응
도구 통합성	단일 에이전트/솔루션 위주	기존 보안 도구 통합 및 확장성 강조
자동화 수준	높음(엔드포인트 대응 자동화)	더 높음(다영역 상관분석 → 자동 조사·격리)

---

5. 도입 시 고려사항

• 기존 보안 툴과의 통합성(호환성)
• 로그·이벤트 수집량과 저장소 설계
• TI(Threat Intelligence) 연동 여부
• 탐지 룰/모델의 업데이트 주기 및 벤더 지원
• 오탐·경보 피로도(탐지 정확도, 우선순위 체계)

---

6. 실무 활용 예시 (요약)

• EDR: 특정 엔드포인트에서 의심 프로세스 탐지 → 자동으로 프로세스 종료 및 네트워크 연결 차단 → 포렌식 로그 전송
• XDR: 이메일에서 악성 첨부 탐지 → 관련 엔드포인트·네트워크 트래픽·클라우드 저장소 연관성 분석 → 전체 침해 범위 자동 조사 및 대응 조치 전개