엔드포인트 위협탐지 및 대응

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 역사
- 2.1. 용어의 등장
- 2.2. 시장 성장
3. 개념
4. 필요성
5. 기존 솔루션과의 차이점
6. 한국의 EDR 도입 현황 및 전망
참조

1. 개요

엔드포인트 위협 탐지 및 대응(Endpoint Threat Detection and Response, EDR)은 엔드포인트에서 발생하는 의심스러운 행위와 지능형 지속 위협을 탐지하고 대응하기 위한 기술이다. 2013년 안톤 추바킨에 의해 처음 명명되었으며, 현재는 EDR로 널리 알려져 있다. EDR은 각 엔드포인트 장치에서 데이터를 수집하고 분석하여 잠재적인 위협을 식별하며, 실시간 위협 대응, 사용자 데이터 가시성 확보, 악성코드 탐지, 다른 보안 기술과의 통합 등의 기능을 제공한다. EDR 시장은 지속적으로 성장하여, 2026년에는 상당한 규모에 이를 것으로 전망된다. EDR은 안티바이러스 등 기존 보안 솔루션의 한계를 보완하며, 매일 증가하는 보안 위협에 대응하기 위해 중요성이 커지고 있다.

더 읽어볼만한 페이지

네트워크 보안 - 스파이웨어
스파이웨어는 사용자의 동의 없이 설치되어 개인 정보를 수집하거나 시스템을 감시하며, 다양한 형태로 존재하여 광고 표시, 정보 탈취, 시스템 성능 저하 등의 피해를 유발하는 악성 프로그램이다.
네트워크 보안 - 가상 사설 서버
가상 사설 서버(VPS)는 공유 웹 호스팅과 전용 호스팅의 중간 단계 서비스로, 가상화 기술을 기반으로 슈퍼유저 수준의 접근 권한, 높은 운용 자유도와 향상된 보안성을 제공하지만, 환경 유지 관리 필요성, 상대적으로 높은 비용, 회선 공유 문제 등의 단점도 가진다.
컴퓨터 보안 - 얼굴 인식 시스템
얼굴 인식 시스템은 디지털 이미지나 비디오에서 사람 얼굴을 감지하고 식별하는 기술로, 다양한 알고리즘 발전을 거쳐 보안, 신원 확인 등에 활용되지만, 편향성, 개인 정보 침해, 기술적 한계와 같은 윤리적 문제도 야기한다.
컴퓨터 보안 - 워터마크
워터마크는 종이 제조 시 두께 차이를 이용해 만들어지는 표식으로, 위조 방지를 위해 지폐나 여권 등에 사용되며 댄디 롤 등의 제작 기법을 통해 만들어지고 컴퓨터 프린터 인쇄 기술로도 활용된다.

엔드포인트 위협탐지 및 대응
개요
유형	위협 모니터링 기술
설명	엔드포인트 위협 탐지 및 대응(EDR)은 엔드포인트 장치에서 발생하는 위협을 탐지하고 분석하는 기술입니다. EDR 솔루션은 엔드포인트에서 데이터를 수집하여 악성 코드, 랜섬웨어, 제로 데이 공격 등의 위협을 식별하고, 이에 대한 대응을 자동화하거나 보안 담당자에게 알립니다.
주요 기능	위협 탐지 위협 분석 대응 자동화 보안 로그 수집 및 분석
참고 자료	Techopedia 정의 Palo Alto Networks 정의 WhatIs.com 정의 eSecurity Planet 솔루션 Capsule8 제로 데이 공격 탐지 및 방지

2. 역사

2013년, 가트너의 안톤 추바킨은 "호스트/엔드포인트에서 의심스러운 활동(및 그 흔적)이나 기타 문제를 탐지하고 조사하는 데 주로 중점을 둔 도구"를 지칭하는 용어로 "엔드포인트 위협 탐지 및 대응"이라는 용어를 만들었다.^[3] 현재는 일반적으로 "엔드포인트 탐지 및 대응"(EDR)으로 알려져 있다.^[3]

''엔드포인트 탐지 및 대응 - 글로벌 시장 전망(2017-2026)'' 보고서에 따르면, 클라우드 기반 및 온-프레미스 EDR 솔루션의 채택이 연간 26% 성장하여 2026년에는 7억 2,327만 달러의 가치를 가지게 될 것이다.^[4] 자이온 마켓 리서치의 ''사이버 보안 시장의 인공 지능(AI)'' 보고서에 따르면, 머신 러닝과 인공 지능의 역할은 2025년까지 309억 달러 규모의 사이버 보안 시장을 창출할 것이다.^[5]^[6]

2. 1. 용어의 등장

2013년, 가트너의 안톤 추바킨은 "호스트/엔드포인트에서 의심스러운 활동(및 그 흔적)이나 기타 문제를 탐지하고 조사하는 데 주로 중점을 둔 도구"를 지칭하는 용어로 "엔드포인트 위협 탐지 및 대응(Endpoint Threat Detection and Response, ETDR)"이라는 용어를 만들었다.^[3] 현재는 일반적으로 "엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR)"으로 알려져 있다.^[3]

''엔드포인트 탐지 및 대응 - 글로벌 시장 전망(2017-2026)'' 보고서에 따르면, 클라우드 기반 및 온-프레미스 EDR 솔루션의 채택이 연간 26% 성장하여 2026년에는 7억 2,327만 달러의 가치를 가지게 될 것이다.^[4] 자이온 마켓 리서치의 ''사이버 보안 시장의 인공 지능(AI)'' 보고서에 따르면, 머신 러닝과 인공 지능의 역할은 2025년까지 309억 달러 규모의 사이버 보안 시장을 창출할 것이다.^[5]^[6]

2. 2. 시장 성장

가트너의 안톤 추바킨/Anton Chuvakin^영어은 2013년에 "엔드포인트 위협 탐지 및 대응"이라는 용어를 만들었다.^[3] 현재는 일반적으로 "엔드포인트 탐지 및 대응"(EDR)으로 알려져 있다.^[3]

''엔드포인트 탐지 및 대응 - 글로벌 시장 전망(2017-2026)'' 보고서에 따르면, 클라우드 기반 및 온프레미스 EDR 솔루션의 채택이 연간 26% 성장하여 2026년에는 7억 2,327만 달러 규모로 성장할 것으로 예상된다.^[4] 자이온 마켓 리서치의 ''사이버 보안 시장의 인공 지능(AI)'' 보고서는 머신 러닝과 인공 지능의 역할이 확대되면서 2025년까지 309억 달러 규모의 사이버 보안 시장이 창출될 것이라고 전망한다.^[5]^[6]

3. 개념

엔드포인트 탐지 및 대응(EDR) 기술은 환경 내 엔드포인트에서 의심스러운 행위 및 지능형 지속 위협을 식별하고 관리자에게 적절하게 경고하는 데 사용된다.^[7]^[8] 이는 엔드포인트 및 기타 소스에서 데이터를 수집하고 집계하여 수행하며, 해당 데이터는 추가 클라우드 분석을 통해 보강될 수도 있다. EDR 솔루션은 주로 경고 도구이지만, 공급업체에 따라 기능이 결합될 수 있다. 데이터는 중앙 집중식 데이터베이스에 저장되거나 사이버 모니터링을 위해 SIEM 도구로 전달될 수 있다.^[7]^[8]

EDR은 엔드포인트를 위협으로부터 보호하는 데 사용되는 기술로, 각 엔드포인트 장치에 데이터를 수집하는 도구를 배포하고, 수집한 데이터를 분석하여 잠재적인 위협과 문제를 밝혀낸다. 이는 해킹 시도나 사용자 데이터 도난에 대한 보호이며, 소프트웨어는 최종 사용자의 장치에 설치되어 지속적인 모니터링을 수행한다. 수집된 데이터는 일원화된 데이터베이스에 저장되며, 위협이 발견된 경우에는 해당 엔드포인트의 사용자에게 신속하게 예방책 목록이 표시된다.^[16]^[17]

모든 EDR 플랫폼은 고유한 기능 세트를 가지고 있지만, 온라인 및 오프라인 모드에서 엔드포인트 모니터링, 실시간 위협 대응, 사용자 데이터의 가시성 및 투명성 증가, 저장된 엔드포인트 이벤트 및 멀웨어 주입 탐지, 차단 목록 및 허용 목록 생성, 그리고 다른 기술과의 통합과 같은 몇 가지 일반적인 기능들이 존재한다.^[9]^[7]^[18]^[16] 일부 EDR 기술 공급업체는 위협에 대한 무료 MITRE ATT&CK 분류 및 프레임워크를 활용한다.^[10]

3. 1. EDR의 정의

엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR) 기술은 환경 내 엔드포인트에서 의심스러운 행위 및 지능형 지속 위협을 식별하고 관리자에게 적절하게 경고하는 데 사용된다.^[7]^[8] 이는 엔드포인트 및 기타 소스에서 데이터를 수집하고 집계하여 수행하며, 해당 데이터는 추가 클라우드 분석을 통해 보강될 수도 있다. EDR 솔루션은 주로 경고 도구이지만, 공급업체에 따라 기능이 결합될 수 있다. 데이터는 중앙 집중식 데이터베이스에 저장되거나 사이버 모니터링을 위해 SIEM 도구로 전달될 수 있다.^[7]^[8]

EDR은 엔드포인트를 위협으로부터 보호하는 데 사용되는 기술로, 각 엔드포인트 장치에 데이터를 수집하는 도구를 배포하고, 수집한 데이터를 분석하여 잠재적인 위협과 문제를 밝혀낸다. 이는 해킹 시도나 사용자 데이터 도난에 대한 보호이며, 소프트웨어는 최종 사용자의 장치에 설치되어 지속적인 모니터링을 수행한다. 수집된 데이터는 일원화된 데이터베이스에 저장되며, 위협이 발견된 경우에는 해당 엔드포인트의 사용자에게 신속하게 예방책 목록이 표시된다.^[16]^[17]

모든 EDR 플랫폼은 고유한 기능 세트를 가지고 있지만, 온라인 및 오프라인 모드에서 엔드포인트 모니터링, 실시간 위협 대응, 사용자 데이터의 가시성 및 투명성 증가, 저장된 엔드포인트 이벤트 및 멀웨어 주입 탐지, 차단 목록 및 허용 목록 생성, 그리고 다른 기술과의 통합과 같은 몇 가지 일반적인 기능들이 존재한다.^[9]^[7]^[18]^[16] 일부 EDR 기술 공급업체는 위협에 대한 무료 MITRE ATT&CK 분류 및 프레임워크를 활용한다.^[10]

3. 2. 작동 원리

엔드포인트 탐지 및 대응(EDR) 기술은 환경 내 엔드포인트에서 의심스러운 행위 및 지능형 지속 위협을 식별하고 관리자에게 적절하게 경고하는 데 사용된다.^[7]^[8] 이는 엔드포인트 및 기타 소스에서 데이터를 수집하고 집계하여 수행하며, 해당 데이터는 추가 클라우드 분석을 통해 보강될 수도 있다. EDR 솔루션은 주로 보호 계층보다는 경고 도구이지만, 공급업체에 따라 기능이 결합될 수 있다. 데이터는 중앙 집중식 데이터베이스에 저장되거나 사이버 모니터링을 위해 SIEM 도구로 전달될 수 있다.^[7]^[8]

EDR은 엔드포인트를 위협으로부터 보호하는 데 사용되는 기술이다. 각 엔드포인트 장치에 데이터를 수집하는 도구를 배포하고, 수집한 데이터를 분석하여 잠재적인 위협과 문제를 밝혀낸다. 이는 해킹 시도나 사용자 데이터 도난에 대한 보호이다. 소프트웨어는 최종 사용자의 장치에 설치되어 지속적인 모니터링을 수행한다. 수집된 데이터는 일원화된 데이터베이스에 저장된다. 위협이 발견된 경우에는 해당 엔드포인트의 사용자에게 신속하게 예방책 목록이 표시된다^[16]^[17]。

모든 EDR 플랫폼은 고유한 기능 세트를 가지고 있지만, 일반적인 기능은 다음과 같다:^[9]^[7]

온라인 및 오프라인 모드에서 엔드포인트 모니터링
실시간 위협 대응
사용자 데이터의 가시성 및 투명성 증가
저장된 엔드포인트 이벤트 및 멀웨어 주입 탐지
차단 목록 및 허용 목록 생성
다른 기술과의 통합^[9]^[7]

일부 EDR 기술 공급업체는 위협에 대한 무료 MITRE ATT&CK 분류 및 프레임워크를 활용한다.^[10]

3. 3. 주요 기능

EDR 플랫폼은 환경 내 엔드포인트에서 의심스러운 행위 및 지능형 지속 위협을 식별하고 관리자에게 경고하는 데 사용된다.^[7]^[8] 이는 엔드포인트 및 기타 소스에서 데이터를 수집, 집계하여 수행되며, 수집된 데이터는 중앙 집중식 데이터베이스에 저장되거나 SIEM 도구로 전달될 수 있다.^[7]^[8] 데이터는 추가 클라우드 분석을 통해 보강될 수도 있다. EDR 솔루션은 주로 경고 도구이지만, 공급업체에 따라 기능이 결합될 수 있다.

EDR은 각 엔드포인트 장치에 데이터를 수집하는 도구를 배포하고, 수집한 데이터를 분석하여 잠재적인 위협과 문제를 밝혀낸다.^[16]^[17] 위협이 발견된 경우에는 해당 엔드포인트의 사용자에게 신속하게 예방책 목록이 표시된다.^[16]^[17]

모든 EDR 플랫폼은 고유한 기능 세트를 가지고 있지만, 몇 가지 일반적인 기능은 다음과 같다:^[9]^[7]^[18]^[16]

온라인 및 오프라인 모드에서 엔드포인트 모니터링
실시간 위협 대응
사용자 데이터의 가시성 및 투명성 증가
저장된 엔드포인트 이벤트 및 멀웨어 주입 탐지
차단 목록 및 허용 목록 생성
다른 기술과의 통합

일부 EDR 기술 공급업체는 위협에 대한 무료 MITRE ATT&CK 분류 및 프레임워크를 활용한다.^[10]

4. 필요성

AV-TEST의 2016/2017 시큐리티 리포트에 따르면 매일 35만 개의 악성코드, 랜섬웨어 등 보안 위협이 새롭게 발견된다.^[22] 최초로 발생한 변종/신종 악성코드는 안티바이러스 엔진 안에 정보가 없기 때문에 감염될 수밖에 없다. 지능화된 악성코드 APT 대응 솔루션을 탐지하는 기능을 탑재하고 있어 APT 대응 솔루션 발견 시 활동을 중지하거나 어느 정도의 시간이 흐른 이후 활동을 시작하기도 한다. 엔드포인트에 무사히 안착한 악성코드는 악성 행위를 시작하고 상주하면서 대량의 정보를 유출하거나 랜섬웨어를 실행해 개인 정보를 변조, 파괴할 수 있다.^[22]

4. 1. 보안 위협 증가

매일 35만 개의 악성코드, 랜섬웨어 등 보안 위협이 새롭게 발견된다.^[22] 최초로 발생한 변종/신종 악성코드는 안티바이러스 엔진 안에 정보가 없기 때문에 감염될 수밖에 없다. 지능화된 악성코드 APT 대응 솔루션을 탐지하는 기능을 탑재하고 있어 APT 대응 솔루션 발견 시 활동을 중지하거나 어느 정도의 시간이 흐른 이후 활동을 시작하기도 한다. 엔드포인트에 무사히 안착한 악성코드는 악성 행위를 시작하고 상주하면서 대량의 정보를 유출하거나 랜섬웨어를 실행해 개인 정보를 변조, 파괴할 수 있다.

4. 2. 기존 솔루션의 한계

매일 35만 개의 악성코드, 랜섬웨어 등 보안 위협이 새롭게 발견된다.^[22] 최초로 발생한 변종/신종 악성코드는 안티바이러스 엔진 안에 정보가 없기 때문에 감염될 수밖에 없다. 지능화된 악성코드 APT 대응 솔루션을 탐지하는 기능을 탑재하고 있어 APT 대응 솔루션 발견시 활동을 중지하거나 어느 정도의 시간이 흐른 이후 활동을 시작하기도 한다. 엔드포인트에 무사히 안착한 악성코드는 악성 행위를 시작하고 상주하면서 대량의 정보를 유출하거나 랜섬웨어를 실행해 개인 정보를 변조, 파괴할 수 있다.

4. 3. 악성코드의 행위

매일 35만 개의 악성코드, 랜섬웨어 등 보안 위협이 새롭게 발견된다.^[22] 최초로 발생한 변종/신종 악성코드는 안티바이러스 엔진 안에 정보가 없어 감염될 수 있다. 지능화된 악성코드 APT 대응 솔루션을 탐지하는 기능을 탑재하고 있어 APT 대응 솔루션 발견 시 활동을 중지하거나 어느 정도 시간이 흐른 이후 활동을 시작하기도 한다. 엔드포인트에 무사히 안착한 악성코드는 악성 행위를 시작하고 상주하면서 대량의 정보를 유출하거나 랜섬웨어를 실행해 개인정보를 변조, 파괴할 수 있다.^[22]

5. 기존 솔루션과의 차이점

EDR은 실시간 차단이 아닌 '탐지 및 대응'을 위한 솔루션이다. 다양한 이벤트를 보고 분석하기 때문에 엔드포인트에서 모든 데이터를 수집해 연계, 분석한다.^[24] 엔드포인트에서 발생하는 모든 이벤트를 ‘탐지 및 대응’ 해야 하기 때문에 다른 솔루션과의 연계가 필요하다. 안티바이러스, 유해사이트차단, 평판정보, 위협, 인텔리전스, SIEM, 행위분석기술, DLP, 보안관제 등 여러 보안솔루션의 기술이 필요하므로 연계돼야 한다.^[25]

5. 1. 탐지 및 대응 중심

EDR은 실시간 차단보다는 '탐지 및 대응'에 초점을 맞춘 솔루션이다.^[24] 엔드포인트에서 발생하는 모든 이벤트를 ‘탐지 및 대응’ 해야 하기 때문에 다른 솔루션과의 연계가 필요하다. 안티바이러스, 유해사이트차단, 평판정보, 위협, 인텔리전스, SIEM, 행위분석기술, DLP, 보안관제 등 여러 보안솔루션의 기술이 필요하므로 연계돼야 한다.^[25] 엔드포인트에서 모든 데이터를 수집해 연계, 분석한다.^[24]

5. 2. 데이터 수집 및 분석

엔드포인트 위협탐지 및 대응(EDR)은 실시간 차단보다는 '탐지 및 대응'에 초점을 맞춘 솔루션이다. 엔드포인트에서 발생하는 다양한 이벤트를 보고 분석하기 위해 모든 데이터를 수집하여 연계, 분석한다.^[24] 이러한 이유로 EDR은 다른 보안 솔루션과의 연계가 필수적이다. 안티바이러스, 유해사이트차단, 평판정보, 위협 인텔리전스, SIEM, 행위 분석 기술, DLP, 보안 관제 등 다양한 보안 솔루션 기술이 필요하며, 이들과 연계되어야 한다.^[25]

5. 3. 다른 솔루션과의 연계

엔드포인트 위협탐지 및 대응(EDR)은 실시간 차단이 아닌 '탐지 및 대응'을 위한 솔루션으로, 엔드포인트에서 발생하는 모든 데이터를 수집해 연계, 분석한다.^[24] EDR은 엔드포인트에서 발생하는 모든 이벤트를 ‘탐지 및 대응’ 해야 하기 때문에 다른 솔루션과의 연계가 필요하다. 안티바이러스, 유해사이트 차단, 평판 정보, 위협 인텔리전스, SIEM, 행위 분석 기술, DLP, 보안 관제 등 여러 보안 솔루션의 기술이 필요하므로 연계돼야 한다.^[25]

6. 한국의 EDR 도입 현황 및 전망

참조

_[1] 웹사이트 What is Endpoint Detection and Response (EDR)? - Definition from Techopedia https://www.techoped[...] 2019-09-29
_[2] 웹사이트 Endpoint Detection and Response (EDR) - What is EDR and why is it important? - Definition from Cyberpedia https://www.paloalto[...] 2021-09-03
_[3] 웹사이트 Named: Endpoint Threat Detection & Response https://blogs.gartne[...] 2019-09-16
_[4] 웹사이트 Global $7.27 Bn Endpoint Detection and Response Market to 2026 https://finance.yaho[...] 2019-09-24
_[5] 웹사이트 Artificial Intelligence (AI) In Cyber Security Market Will Reach to USD 30.9 Billion By 2025: Zion Market Research http://www.globenews[...] 2019-10-10
_[6] 웹사이트 10 Ways AI And Machine Learning Are Improving Endpoint Security https://www.business[...] 2019-10-10
_[7] 웹사이트 What is endpoint detection and response (EDR)? A definition by WhatIs.com https://searchsecuri[...] 2019-09-29
_[8] 웹사이트 What Is EDR? {{!}} A Brief Definition of Endpoint Detection and Response https://www.xcitium.[...] 2019-09-29
_[9] 웹사이트 EDR Security and Protection for the Enterprise https://www.cynet.co[...] 2019-09-29
_[10] 웹사이트 Symantec Endpoint Detection & response Data Sheet https://docs.broadco[...]
_[11] 웹사이트 What is Endpoint Detection and Response (EDR)? - Definition from Techopedia https://www.techoped[...] 2019-09-29
_[12] 웹사이트 Named: Endpoint Threat Detection & Response https://blogs.gartne[...] 2019-09-16
_[13] 웹사이트 Global $7.27 Bn Endpoint Detection and Response Market to 2026 https://finance.yaho[...] 2019-09-24
_[14] 웹사이트 Artificial Intelligence (AI) In Cyber Security Market Will Reach to USD 30.9 Billion By 2025: Zion Market Research http://www.globenews[...] 2019-10-10
_[15] 웹사이트 10 Ways AI And Machine Learning Are Improving Endpoint Security https://www.business[...] 2019-10-10
_[16] 웹사이트 What is endpoint detection and response (EDR)? A definition by WhatIs.com https://searchsecuri[...] 2019-09-29
_[17] 웹사이트 What Is EDR? {{!}} A Brief Definition of Endpoint Detection and Response https://enterprise.c[...] 2019-09-29
_[18] 웹사이트 EDR Security and Protection for the Enterprise https://www.cynet.co[...] 2019-09-29
_[19] 웹인용 What is endpoint detection and response (EDR)? A definition by WhatIs.com https://searchsecuri[...] 2019-12-03
_[20] 웹인용 Top 10 Endpoint Detection and Response (EDR) Solutions https://www.esecurit[...] 2019-12-03
_[21] 웹인용 How to Detect and Prevent Zero Day Attacks https://info.capsule[...] 2019-12-03
_[22] 웹인용 AV-TEST: The number of malware decreases, but their complexity increases https://securityaffa[...] 2019-12-03
_[23] 웹인용 왜 엔드포인트 위협탐지대응(EDR) 솔루션인가 https://www.dailysec[...] 2019-12-03
_[24] 웹인용 침체된 엔드포인트 보안 시장 돌파구 http://www.datanet.c[...] 화산미디어 2019-12-03
_[25] 웹인용 다양한 EDR 공급 모델 ‘주목’ http://www.datanet.c[...] 화산미디어 2020-03-11

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com