skip navigation
  • 메뉴
  • 본문
  • 하단 정보(링크)
  • 제품
    • AhnLab PLUS Platform
    • AhnLab Endpoint PLUS
      • 안티멀웨어
      • 엔드포인트 보호 플랫폼 (EPP)
      • 지능형 위협 대응
      • 엔드포인트 탐지 & 대응 (EDR)
      • 중소기업 보안
      • 모바일 보안
    • AhnLab Network PLUS
      • 차세대 방화벽 (ZTNA)
      • 차세대 방화벽
      • 디도스 방어
      • 네트워크 침입 방지 (IPS)
      • 지능형 위협 대응
      • 네트워크 위협 관리 (TMS)
    • AhnLab Cloud PLUS
      • 클라우드 워크로드 보안 (CWPP)
      • 클라우드 방화벽
      • 클라우드 IPS
      • 클라우드 네트워크 위협 관리
    • AhnLab Connect PLUS
      • 확장형 탐지 & 대응 (XDR)
      • 위협 인텔리전스 (TIP)
      • SOAR
    • AhnLab CPS PLUS
      • CPS 보안 통합 관리
      • OT 엔드포인트 보안
      • OT 가시성 및 위협 탐지
      • OT 휴대용 안티멀웨어
      • OT 방화벽
      • OT 일방향 데이터 전송
      • OT 지능형 위협 대응
      • IT 엔드포인트 보안
      • IT 안티멀웨어
      • CPS 위협 인텔리전스
    • AhnLab AI PLUS
    • 전체 제품 및 서비스
  • 서비스
    • AhnLab Service PLUS
      • 매니지드 탐지 & 대응 (MDR)
      • 보안관제
      • Professional Service
      • 디지털 포렌식
      • 클라우드 MSP
      • 정보보호컨설팅
      • 글로벌 파트너
    • 전체 제품 및 서비스
  • 솔루션
    • 랜섬웨어 보안
    • 하이브리드 클라우드 보안
    • 제로 트러스트
    • CPS 보안
    • SOC 고도화
    • 위협 탐지 & 대응 (TDR)
    • 디도스 방어
  • 구매
    • 견적 및 도입 문의
    • 스마트 파인더
    • 구매방식
    • 제품 정책
      • 소프트웨어
      • 네트워크
    • 전략 물자
    • 랜섬웨어 탐지 대응 통합 서비스 페이지 배너
  • 고객지원
    • 온라인 고객지원
      • 원격지원
      • 1:1상담
      • 전화상담 안내
      • FAQ
    • 기업 기술 교육
    • 위협정보 신고센터
    • 다운로드
    • 공지사항
  • 콘텐츠 센터
    • 콘텐츠 센터
      • 시큐리티 레터
      • 월간 安
      • Cybersecurity 101
    • ASEC
      • 위협정보
      • 위협 행위자 분류 체계
      • ASEC 보안권고문
      • ASEC 블로그
    • 하이라이트
      • 랜섬웨어 탐지·대응 통합 서비스
      • MITRE ATT&CK 평가 라운드 7
      • 안랩 창립 30주년
      • Frost Radar CPS 보안 리더
  • 파트너
my page
로그인회원가입
언어 선택

최근 검색어가 없습니다.

AhnLab

  • 회사소개
  • 투자정보
  • 채용정보
  • 사용권 약관
  • 개인정보처리방침
  • 이용약관
  • Contact Us
  • 사이트맵

기업정보

  • 대표이사 : 강석균
  • 사업자등록번호 : 214-81-83536
  • (우) 13493 경기도 성남시 분당구 판교역로 220
  • 통신판매신고번호 : 2012-경기성남-1189
  • 대표전화 : 031-722-8000
  • Fax : 031-722-8901
  • © AhnLab, Inc. All rights reserved.

News Letter

시큐리티 레터는 매주 놓쳐서는 안 될 보안 정보를,
월간 '安'은 매월 위협 분석과 보안 동향에 대한 깊이 있는 정보를 이메일로 보내드립니다.

뉴스레터 선택
뉴스레터
이용 동의
V3 엔진 버전OES : 2026.07.15.01SES : 2026.07.12.00
엔진 업데이트 바로가기
  • 카카오톡 채널 바로가기
  • 페이스북 바로가기
  • 링크드인 바로가기
  • 유튜브 바로가기
    • 스마트 파인더
    • Security Map
    • 견적 및 도입 문의
    • My Company
    • V3 Lite 다운로드
웹콘텐츠
엔드포인트 보안2022-12-05

전문가가 주도하는 위협 탐지 & 대응, MDR 제대로 알고 시작하기

최근 위협에 대한 탐지 & 대응이 주요 화두로 떠오르면서 주목 받고 있는 것이 바로 MDR(Managed Detection & Response)이다. 월간’안’ 독자들도 MDR이라는 개념을 한 번 쯤은 들어봤을 것이다. 이번 글에서는 보안 업계 화두인 MDR의 본질과 필요성, 그리고 발전 방향성에 대해 살펴본다. 




월간안 11월호에서는 메이저 업그레이드를 거쳐 재탄생한 AhnLab EDR(Endpoint Detection & Response)을 소개한 바 있다: AhnLab EDR의 진화, 고객에겐 무엇이 중요한가?

 

AhnLab EDR 신규 버전을 도입하는 고객은 안랩 보안 전문가가 직접 모니터링과 분석 & 대응을 수행하는 MDR(Managed Detection & Response) 서비스를 함께 제공 받을 수 있다. 고객사 EDR에서 탐지된 이벤트 로그를 안랩으로 전송하면, 안랩 보안 전문가가 위험 가능성이 높은 이벤트를 기준으로 1/2차 분석 보고서와 월간 통계 보고서를 함께 제공해 고객의 EDR 활용성을 높인다.

 

이를 넘어, 맞춤형 MDR 서비스를 원하는 고객은 유상으로 제공되는 ‘EDR Premium’을 이용할 수 있다. ‘EDR Premium’을 사용하는 고객에게는 위험 가능성이 높은 이벤트 뿐만 아니라 EDR이 탐지하는 의심 행위에 대해서도 모니터링 및 분석, 대응 서비스를 제공하며 분기별로 전문가의 의견이 포함된 리뷰 보고서도 제공한다. 또한, 안랩의 보안 전문가가 보안 이슈를 반영해 생성한 맞춤형 탐지룰을 이용하여 조직에 최적화된 위협 헌팅(Threat Hunting)도 가능하다.

 

이처럼, MDR은 전문가 주도 하에 위협 탐지 & 대응의 전문성을 높이고 활용도를 극대화한다. 다만, 많은 사람들이 들어봤지만 아직은 생소한 개념이기도하다. MDR에 대해 좀 더 깊이 들어가보자.

 

국내에도 MDR이 필요할까? 

사실 MDR은 한국 시장에서 완전히 활성화된 개념은 아니다. 아직 업계에서는 MDR의 정의를 놓고 이견과 혼선이 존재한다. MDR을 그 자체로 정의하기도 하지만, 어떤 업체는 EDR에 중점을 두고 MDR을 제공한다는 의미에서 ‘Managed EDR’로 표현한다. MDR의 연동 모듈이 EDR을 넘어 클라우드, 네트워크 영역을 포함한다는 이유로 XDR(eXtended Detection & Response)과 혼용하는 경우도 있다. 이처럼 여러 기업들이 각자 원하는 방식에 따라 MDR을 서비스 또는 플랫폼, 연동 모듈에 기반해 각각 다르게 정의한다.

 

일각에서는 MDR 서비스가 과연 한국 시장에 적합한지에 대한 의문을 제기한다. 결론부터 말하면, 한국도 글로벌 트렌드에 맞게 전통적인 매니지드 보안 서비스(Managed Security Service, MSS) 개념에서 더 나아가 MDR을 본격적으로 도입, 활성화할 필요가 있다. 현재의 보안 위협은 고도화된 공격 기법을 활용해 넓어진 공격 표면을 적극적으로 노린다. 또, 국경이라는 경계도 점점 희미해지고 있다. 해외 공격자들도 국내 기업들을 향해 공격을 감행하고 있어, 보안 태세 확립이 필요한 상황이다. 이제, 공격으로부터 엔드포인트 영역을 세밀하게 막고 API를 사용해 위협에 대응해야 하며, 능동적인 위협 추적(Threat Hunting)까지 요구된다. 

 

MSS와 MDR

좀 더 나아가 MSS와 MDR을 간단히 비교해 보자.

 

먼저, MSS는 네트워크에 기반한 보안 서비스로, 엔드포인트 로그 수집 및 분석에 한계가 있어 정교한 위협에 적극적으로 대응하기 어렵다. MSS의 경우, 주로 방화벽이나 침입차단시스템(Intrusion Prevention System, IPS)과 같은 보안 솔루션을 사용하며, 이러한 장비들은 네트워크의 상단에 위치하는 경우가 대부분이다. 공격자는 최초 침투 후, 네트워크 하단에 위치한 엔드포인트 영역 간 이동을 수행하는데, 이러한 통신은 보안 솔루션의 위치 상 탐지가 어렵다. 그렇기 때문에, 엔드포인트에 대한 적극적인 대응이나 조치 가이드 제시에는 한계가 있다.

 

이 관점에서, 침입 대응 서비스는 ‘MSS + α’ 형태로 제공되어 왔다. 쉽게 말하면, 글로벌에서 말하는 MDR 서비스를 국내는 이미 MSS 서비스와 함께 제공해왔다고 볼 수 있다. 다만, 이와 같은 형태의 서비스를 정의할 단어가 그동안 존재하지 않았고, 엔드포인트 대응이라는 관점에서 방법론이 달랐던 것이다. 

 

MDR은 위에 설명한 MSS의 단점 및 한계를 보완한다. MDR은 네트워크 이벤트 뿐만 아니라, 엔드포인트 중심의 이벤트를 수집하고, 위협 조사 및 추적을 통해 네트워크 기반 정보와 결합하여 더 상세한 분석 내용을 제공할 수 있다. 엔드포인트 대상 의심 행위 차단, 시스템 격리 등 세밀한 대응이 가능하며, 개별 엔드포인트에 대한 최적화된 위협 완화 및 복구 조치 가이드도 제공할 수 있다. 아울러,  위협 대응에 SOAR(Security Orchestration, Automation and Response)를 활용하면 ‘Task 자동화’를 통해 보안 운영 효율성 제고하여, 고도화된 차세대 보안관제로 발전해 나갈 수 있다.

 

결국 MDR은 엔드포인트부터 네트워크, 클라우드 텔레메트리(Telemerty)에 걸쳐 정보를 수집하며, 알려지지 않은 위협 탐지를 위한 머신러닝과 마이터 어택(MITRE ATT&CK) 프레임워크 적용, 신속한 대응을 위한 자동화 툴까지, 이 모든 것들을 유기적으로 통합하기 위해 등장한 개념이라고 할 수 있다. 따라서 MDR 서비스가 조직에 안착하게 되면, 모든 영역에서 발생하는 이벤트에 대한 정확한 분석과 신속한 대응이 가능하다.

 

효과적인 MDR 적용을 위해 풀어야할 숙제 

MDR은 위협 탐지부터 대응, 통합 플랫폼과의 연동에 이르기까지 구축하는 과정이 쉽지만은 않다. 일단, 인력 측면에서 탐지 영역을 살펴보면, 기업의 일반 보안 담당자는 탐지 시 무엇을 봐야 하고, 어떤 조치를 취해야 하는지 판단하는 데 어려움을 겪는다. 많은 기업이 다양한 추가 정보를 덧붙이는 방식으로 이런 문제를 해결하고 있지만, 로그 분석 및 판단, 최종 의사결정은 결국 사람이 해야 한다. 결국 인력 문제로 귀결되는데, 적어도 3년 이상의 악성코드 및 네트워크 분석 경험이 있는 시니어 수준의 전문 대응 인력이 위 작업을 수행 가능할 것으로 보인다. 하지만, 이런 인력들을 채용하기가 쉽지 않은 것이 현실이다.

 

대응 영역은 플레이북(Playbook)을 통한 자동화 구현이 주요 골자이다. 자동화를 적용하려면 분석가가 프로세스를 정확히 이해하고, 이를 직접 코딩할 수 있어야 한다. 여기서 코딩은 일반적인 스크립트를 짜는 수준에서 더 나아가, 플레이북(Playbook) 상의 아키텍처를 완벽하게 구성하는 작업까지 포함한다. 이런 작업은 전문 개발자만 할 수 있다. 하지만, 보안팀에 자동화 구현 및 API 활용 능력, 보안 사고에 대한 전체적인 조사 활동과 보고서 작성, 대응 방법 제공 역량을 모두 갖춘 인력을 확보한 기업은 거의 없을 것이다.

 

연동의 경우, 많은 로그량과 제한된 모니터링이라는 문제가 있다. 일차적으로 엔드포인트에서 발생하는 수많은 로그를 선별한 후 통합 모니터링 시스템으로 전달해야 하는데, 이것을 정제하고, 정규화 하기 위한 과정이 결코 쉽지 않고, 오히려 탐지, 대응 단계보다 더 많은 리소스가 요구되는 경우가 대부분이다. 이런 복잡한 과정을 해결하기 위해 시장에 출시된 것이 MDR이다.

 

하지만 국내에서는 특정 업체의 한 가지 솔루션만 사용하는 기업이 드물며, 플랫폼 제공업체는 일반적으로 자사 제품에 한해서만 서비스를 지원한다. 최근 이기종을 쉽게 연동할 수 있는 컨셉을 적용한 개방형 XDR 개념도 등장했지만, 여러 솔루션이 완벽하게 통합될 지는 단정할 수 없다.

 

안랩 보안 전문가가 알려주는 성공적인 MDR 구현 방법 

안랩은 악성코드 탐지와 관련해 매우 우수한 기술력을 보유하고 있다. 시그니쳐(Signature) 기반 뿐만 아니라, 행위 기반으로 알려지지 않은 위협을 탐지하고, 놓치는 부분은 머신러닝(Machine Learning, ML) 기술로 보완한다.

 

대응 단계에서는 자동 대응 영역을 구분하고, 자사 SOAR 플랫폼인 AhnLab Sefinity AIR를 활용해 플레이북(playbook)과 API를 기반으로 프로세스를 자동화한다. 예를 들어, 기업 내부에서 위협 이벤트가 탐지되면 악성코드에 감염된 직원의 인사 정보를 파악한 후, 소명할 시간을 준다. 해당 직원이 기간 내 피드백을 제출하지 않을 경우, 네트워크를 강제로 차단함으로써 보안 위협에 대응한다.

 

연동 시에도 SOAR를 활용하며, 엔드포인트에 대한 로그 수집과 수집한 로그를 정제하는데 사용한다. 다만, 엔드포인트 솔루션은 특성상 기업에 따라 불필요한 로그가 상당히 많이 발생될 수 있기 때문에, 안정화 관점에서의 정제가 필요하다. 수많은 로그를 정제하기 위한 작업을 예외처리 즉, 최적화라 표현한다. 일반적으로 신규 고객의 로그 처리를 안정화 할 때까지 약 6개월 정도가 소요된다.

 

안랩의 이벤트 처리 로직은 총 32단계로 구성되어 있다. 예외처리, TI(Threat Intelligence) 정보 연동, 숙련된 전문가의 태깅(Tagging), 중복 발생 로그 처리 등 다양한 로직이 AhnLab Sefinity AIR를 통해 구현되어 있다. 이를 통해 필요한 데이터만 정제한 후, MDR 센터로 전송한다.

 

더 나아가, 안랩은 분석가 관점에서 모니터링 시스템을 설계했다. 여타 모니터링 시스템의 GUI(Graphic User Interface)는 여러 개의 이벤트가 발생할 때 일일이 클릭해서 확인해야 하는 번거로움이 있지만, 안랩의 UI는 오버뷰(Overview)를 제공한다. 이 기능은 개별적으로 발생한 이벤트의 연관 로그를 한 번에 묶어서 보여주는 것이다. 이를 통해, 분석가는 이벤트를 그룹 단위로 빠르게 확인하여 분석하고, 한 번에 처리할 수 있다.

 

정리하면, 안랩의 MDR은 AhnLab EDR을 기반으로 알려지지 않은 위협까지 정교하게 탐지하고, 대응 및 연동은 AhnLab Sefinity AIR를 활용해 전처리와 자동화를 적용한다. 

 

MDR 서비스를 성공적으로 구현하려면 사람과 툴, 프로세스의 결합이 필요하다. 동시에 이들은 서로 유기적으로 연결돼야 한다. 결국 탐지부터 대응, 조사, 연동에 이르는 모든 과정에서 툴의 도움을 받을 수밖에 없는데, 현재로서는 SIEM(Security Information & Event Management)과 SOAR를 결합하는 것도 한 가지 방법이다. SIEM이 로그를 정제하고, SOAR로 업무를 자동화하는 것이다. 물론 대응의 매커니즘을 처리하는 것도 SOAR의 몫이다.

 

MDR을 안착시키고, 위협 탐지 & 대응을 효과적으로 구현하는 것은 간단하지만은 않은 일이다. 따라서, 안랩과 같이 탁월한 기술력과 노하우를 가진 전문 업체의 도움을 받는 것을 권장한다. 안랩은 MSSP(Management Security Service Provider)로서 많은 경험 및 레퍼런스를 보유하고 있다. 또한 EDR 및 대응 플랫폼을 자체적으로 보유하고 있으며, 분석 역량 역시 국내 최고 수준이다. 

 

앞으로도 안랩은 자사가 보유한 기술력과 서비스를 지속적으로 고도화해 고객들을 위한 최적의 위협 탐지 & 대응 역량을 제공할 예정이다. 

  • AhnLab
    ACSC 김승관 부장
목록 보기

관련 콘텐츠

웹콘텐츠

하얀 자물쇠에 갇힌 파일들, WhiteLock 랜섬웨어의 경고

하얀 자물쇠에 갇힌 파일들, WhiteLock 랜섬웨어의 경고

웹콘텐츠

정보보호의 날을 앞두고 돌아보는 생활 속 보안 습관

정보보호의 날을 앞두고 돌아보는 생활 속 보안 습관

웹콘텐츠

나도 모르는 휴대전화 개통을 막는 명의도용 예방 수칙

나도 모르는 휴대전화 개통을 막는 명의도용 예방 수칙

웹콘텐츠

생성형 AI 악용 의심 사례: LNK 파일에서 시작된 키로거 공격

생성형 AI 악용 의심 사례: LNK 파일에서 시작된 키로거 공격