EDR(엔드포인트 탐지 및 대응)은 단말 장치(엔드포인트)에서 발생하는 보안 위협을 실시간으로 탐지, 분석하고 대응하는 보안 솔루션입니다. 전통적인 안티바이러스(AV)와 달리, 행위 기반 분석 및 위협 헌팅 기능을 제공하여 알려지지 않은 위협(제로데이 공격, APT 공격 등)도 탐지할 수 있습니다.
| 보안 솔루션 | 주요 기능 | 한계점 |
|---|---|---|
| 안티바이러스(AV) | 시그니처 기반 악성코드 탐지 및 차단 | 알려지지 않은 공격(제로데이, APT)에 취약 |
| SIEM(Security Information and Event Management) | 로그 분석 및 위협 정보 제공 | 실시간 탐지 및 자동 대응 기능 부족 |
| EDR | 엔드포인트 단에서 실시간 탐지, 분석, 대응 | 네트워크 레벨의 공격 탐지는 어려움 |
| 솔루션 | 설명 |
|---|---|
| EDR | 엔드포인트(PC, 서버 등) 보안 위협 탐지 및 대응 |
| XDR (Extended Detection and Response) | EDR + 네트워크, 이메일, 클라우드 등 다양한 보안 솔루션을 통합하여 위협 대응 |
| MDR (Managed Detection and Response) | 보안 전문가가 운영하는 매니지드 서비스 기반 위협 대응 |
| 비교 항목 | NAC (Network Access Control) | EDR (Endpoint Detection and Response) |
|---|---|---|
| 보호 대상 | 네트워크 전체 (유무선 장치, IoT 포함) | 엔드포인트 (PC, 서버, 모바일 등) |
| 주요 목적 | 네트워크 접근 제어 및 정책 적용 | 엔드포인트의 위협 탐지 및 대응 |
| 보안 방식 | 사전 예방 – 네트워크에 접속하려는 장치의 신원 및 보안 상태 확인 후 접근 허용/차단 | 사후 대응 – 엔드포인트에서 발생하는 이상 행위를 탐지하고 대응 |
| 탐지 방법 | 사용자 및 장치 인증, 보안 정책 적용, 비인가 장치 격리 | 행위 기반 분석, 위협 헌팅, 실시간 모니터링 |
| 차단/격리 방식 | 네트워크 레벨에서 장치 접속 차단 또는 VLAN 격리 | 엔드포인트에서 악성 프로세스 종료, 파일 격리, 네트워크 차단 |
| 위협 탐지 | 네트워크 접근 시 보안 상태 점검 | 엔드포인트에서 실행되는 악성 행위 탐지 |
| 주요 기술 | 802.1X 인증, RADIUS, DHCP 스누핑, MAC 주소 필터링 등 | AI 기반 탐지, 머신러닝, 포렌식 분석, 자동화된 대응 |
| 대표 솔루션 | Cisco ISE, Aruba ClearPass, Fortinet FortiNAC | CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne |
즉, NAC은 사전 접근 통제(Prevention), EDR은 실시간 탐지 및 대응(Response) 역할을 수행하며, 보안 수준을 강화하려면 두 가지를 함께 도입하는 것이 이상적입니다.
윈도우 운영체제의 노트북에서는 iPhone 유선 테더링이 잘 안되는 경우가 많습니다. 보통 iPhone의 드라이버가 설치가 안되있어서인…
안녕하세요, 혹시 이런 생각해 본 적 없으신가요? "내가 투자한 회사는 누가 감시하고, 어떻게 운영될까?" 오늘은…
1. Gemini CLI란 무엇인가요? Gemini CLI는 터미널 환경에서 직접 Gemini 모델과 상호작용할 수 있도록 만들어진…
과적합은 머신러닝에서 학습용데이터를 과하게 학습하여, 실제데이터를 예측하지 못하는 현상을 말합니다. 인공지능(AI)의 학습 방법은 우리가 시험공부를…