🛡️ EDR / XDR란? — 침투 이후를 막는 보안의 핵심

랜섬웨어, 피싱, 계정 탈취 같은 공격을 공부하다 보면 공통점이 하나 있습니다.
👉 “완벽한 예방은 불가능하다”는 점입니다.

그래서 현대 보안에서는
침투 이후를 얼마나 빨리 탐지하고 대응하느냐가 매우 중요해졌고,
그 중심에 있는 기술이 바로 EDR / XDR입니다.

---

1️⃣ EDR이란?

EDR (Endpoint Detection & Response)는
PC, 서버 같은 엔드포인트 단위에서 위협을 탐지하고 대응하는 보안 솔루션입니다.

단순 백신처럼 “차단”만 하는 게 아니라,
👉 행위 기반 분석 + 사고 대응까지 포함합니다.

EDR의 핵심 기능

• 프로세스 실행, 파일 접근, 네트워크 통신 행위 모니터링
• 이상 행위 탐지 (비정상 프로세스, 권한 상승 시도 등)
• 공격 타임라인 시각화
• 감염 단말 격리, 프로세스 종료, 파일 삭제

---

2️⃣ 왜 기존 백신으로는 부족할까?

구분	기존 백신	EDR
탐지 방식	시그니처 기반	행위 기반
신규 공격	탐지 어려움	탐지 가능
사고 분석	거의 불가	타임라인 분석
대응	차단 위주	탐지 + 대응

👉 즉, EDR은 “이미 들어온 공격”을 전제로 설계된 보안입니다.

---

3️⃣ XDR이란?

XDR (Extended Detection & Response)는
EDR을 확장해 여러 보안 영역의 데이터를 통합 분석하는 개념입니다.

XDR이 보는 영역

• 엔드포인트 (EDR)
• 네트워크 트래픽
• 이메일 / 피싱
• 클라우드 워크로드
• 사용자 계정 행위

👉 각각 따로 보면 놓칠 수 있는 공격을
하나의 공격 시나리오로 묶어 탐지합니다.

---

4️⃣ EDR vs XDR 차이

구분	EDR	XDR
범위	엔드포인트 중심	다중 보안 영역
분석	단말 단위	공격 시나리오 단위
가시성	제한적	전체 환경 가시성
활용	단말 대응	조직 전체 위협 대응

---

5️⃣ 실제 공격에서의 활용 예시

예시 시나리오

1. 피싱 메일 수신
2. 첨부파일 실행 → 악성 프로세스 생성
3. 내부 서버로 비정상 통신 시도

• EDR: 악성 프로세스 탐지 → 단말 격리
• XDR:
  • 피싱 메일 + 단말 행위 + 네트워크 통신을 하나의 공격으로 연결
  • 동일 메일을 받은 다른 사용자까지 선제 대응

---

6️⃣ EDR / XDR의 장점

✅ 랜섬웨어 초기 단계 탐지 가능
✅ 내부 확산(Lateral Movement) 차단
✅ 사고 원인 분석 및 재발 방지
✅ Zero Trust 환경과 높은 궁합

---

7️⃣ 도입 시 고려사항

• 로그·이벤트 양이 많아 운영 역량 필요
• 오탐(False Positive) 관리 중요
• SIEM, SOC 연계 시 효과 극대화
• 사용자 프라이버시 고려 필요

---

🧠 정리

• EDR: “엔드포인트에서 무슨 일이 일어났는지”를 본다
• XDR: “이 공격이 전체 환경에서 어떻게 진행됐는지”를 본다

👉 완벽한 예방이 불가능한 환경에서,
EDR/XDR은 사실상 필수적인 보안 대응 기술이다.