EDR(엔드포인트 탐지 및 대응)은 단말 장치(엔드포인트)에서 발생하는 보안 위협을 실시간으로 탐지, 분석하고 대응하는 보안 솔루션입니다. 전통적인 안티바이러스(AV)와 달리, 행위 기반 분석 및 위협 헌팅 기능을 제공하여 알려지지 않은 위협(제로데이 공격, APT 공격 등)도 탐지할 수 있습니다.
| 보안 솔루션 | 주요 기능 | 한계점 |
|---|---|---|
| 안티바이러스(AV) | 시그니처 기반 악성코드 탐지 및 차단 | 알려지지 않은 공격(제로데이, APT)에 취약 |
| SIEM(Security Information and Event Management) | 로그 분석 및 위협 정보 제공 | 실시간 탐지 및 자동 대응 기능 부족 |
| EDR | 엔드포인트 단에서 실시간 탐지, 분석, 대응 | 네트워크 레벨의 공격 탐지는 어려움 |
| 솔루션 | 설명 |
|---|---|
| EDR | 엔드포인트(PC, 서버 등) 보안 위협 탐지 및 대응 |
| XDR (Extended Detection and Response) | EDR + 네트워크, 이메일, 클라우드 등 다양한 보안 솔루션을 통합하여 위협 대응 |
| MDR (Managed Detection and Response) | 보안 전문가가 운영하는 매니지드 서비스 기반 위협 대응 |
| 비교 항목 | NAC (Network Access Control) | EDR (Endpoint Detection and Response) |
|---|---|---|
| 보호 대상 | 네트워크 전체 (유무선 장치, IoT 포함) | 엔드포인트 (PC, 서버, 모바일 등) |
| 주요 목적 | 네트워크 접근 제어 및 정책 적용 | 엔드포인트의 위협 탐지 및 대응 |
| 보안 방식 | 사전 예방 – 네트워크에 접속하려는 장치의 신원 및 보안 상태 확인 후 접근 허용/차단 | 사후 대응 – 엔드포인트에서 발생하는 이상 행위를 탐지하고 대응 |
| 탐지 방법 | 사용자 및 장치 인증, 보안 정책 적용, 비인가 장치 격리 | 행위 기반 분석, 위협 헌팅, 실시간 모니터링 |
| 차단/격리 방식 | 네트워크 레벨에서 장치 접속 차단 또는 VLAN 격리 | 엔드포인트에서 악성 프로세스 종료, 파일 격리, 네트워크 차단 |
| 위협 탐지 | 네트워크 접근 시 보안 상태 점검 | 엔드포인트에서 실행되는 악성 행위 탐지 |
| 주요 기술 | 802.1X 인증, RADIUS, DHCP 스누핑, MAC 주소 필터링 등 | AI 기반 탐지, 머신러닝, 포렌식 분석, 자동화된 대응 |
| 대표 솔루션 | Cisco ISE, Aruba ClearPass, Fortinet FortiNAC | CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne |
즉, NAC은 사전 접근 통제(Prevention), EDR은 실시간 탐지 및 대응(Response) 역할을 수행하며, 보안 수준을 강화하려면 두 가지를 함께 도입하는 것이 이상적입니다.
오늘은 AI 생태계에 혁신적인 변화를 가져올 것으로 예상되는 MCP(Model Context Protocol)에 대해 상세히 알아보겠습니다. 2024년…
1. TPM이란? TPM(Trusted Platform Module)은 국제 표준 기반의 보안 하드웨어 칩으로, 컴퓨터나 디지털 장비 내에서…
시즌2, 기대했는데... 실망도 두 배!두뇌싸움을 기대했는데, 전략도 없는 자기들만의 감정에 따른 편가르기, 정치싸움이 되어 버린…
BPF(Berkeley Packet Filter) 도어는 해커가 관리자 몰래 뒷문을 새로 만든 것입니다.해커가 명령을 내려 특정 데이터들을 뒷문을…
1. IPC의 개념과 목적 1.1 IPC란 무엇인가? IPC (Inter-Process Communication)는 운영체제 내의 서로 독립적인 프로세스…