1. 정의
| 구분 | 설명 |
| EDR (Endpoint Detection and Response) | PC, 서버, 단말 등 엔드포인트에서 발생하는 행위를 모니터링하여 위협을 탐지·차단·조사하는 보안 기술. 악성코드, 랜섬웨어, 내부자 위협 대응에 강점. |
| NDR (Network Detection and Response) | 네트워크 트래픽을 분석하여 이상 행위 및 침해 징후를 탐지·대응하는 보안 기술. 패킷, 플로우 데이터를 기반으로 내부·외부 공격 및 측면 이동(Lateral Movement)을 탐지. |
| SIEM (Security Information and Event Management) | 다양한 보안 장비 및 시스템 로그를 수집·상관분석하여 보안 이벤트를 탐지·관제하는 통합 보안 관리 시스템. 규칙 기반 탐지 + 로그 기반 가시성 제공 |
2. 주요 기능 및 특징 비교
| 구분 | EDR | NDR | SIEM |
| 주요 대상 | PC, 서버, 모바일, IoT 기기 | 가상/물리 네트워크 트래픽 | 보안 솔루션, 서버, 애플리케이션 로그 |
| 수집 데이터 | 프로세스, 파일, 레지스트리 등 | 패킷 데이터(PCAP), 흐름(Flow) | 로그 데이터(Syslog, Event Log) |
| 핵심 기능 | 파일리스 공격 탐지, 프로세스 추적 | 비정상 트래픽 탐지, 가시성 확보 | 상관관계 분석, 컴플라이언스 관리 |
| 장점 | 상세한 행위 추적 및 즉각 격리 | 에이전트 불필요, 우회 공격 탐지 | 전사적 통합 가시성 및 장기 이력 분석 |
| 한계 | 모든 기기에 에이전트 설치 필요 | 암호화 트래픽 분석의 어려움 | 로그 발생 시점 이후의 사후 분석 중심 |
3. 상호 보완적 관계
- 가시성(Visibility): NDR(네트워크 사이) + EDR(단말 내부) + SIEM(로그 기록) = 사각지대 제거
- 상관 분석: 개별 장비에서 보이지 않는 위협을 SIEM이 연계 분석하여 탐지 정확도 향상
4. 결론
NDR, SIEM, EDR은 각각 단독으로도 의미가 있으나, 통합 적용 시 탐지 정확도와 대응 속도를 극대화할 수 있다. 현대 보안 환경에서는 세 기술을 연계한 다계층 보안(Defense in Depth) 체계 구축이 필수적이다. 특히 최근에는 확장형 탐지 및 대응(XDR, eXtended Detection and Response)로 확장되고 있다. XDR이란 조직의 엔드포인트, 네트워크, 클라우드 환경, 이메일 등 다양한 보안 계층에서 데이터를 수집하고 상관관계를 분석하여 위협을 탐지하고 대응하는 통합 사이버 보안 솔루션을 말한다.
'IT Tech.' 카테고리의 다른 글
| (소프트웨어공학) AOP (Aspect Oriented Programming) (0) | 2026.01.07 |
|---|---|
| (AI) 설명 가능한 AI(XAI, Explainable AI) (0) | 2026.01.05 |
| (정보전략) 디지털 탄소중립과 디지털 탄소중립 인증 (0) | 2025.12.28 |
| (IT기술) 디지털 트윈(Digital Twin) (0) | 2025.12.14 |
| (보안) 포맷스트링 공격 (Format String Attack) (0) | 2025.12.10 |