EDR을 통해 본 현대 보안 솔루션의 흐름

최근, 보안 분야에 대한 깊은 관심을 갖게 되면서 EDR(Endpoint Detection & Response) 솔루션에 대해 처음 알게 되었다. 그 중에서도 사이버리즌(Cybereason)이라는 제품을 접하게 되었고, 이 솔루션이 단말 기반에서 실시간으로 공격을 탐지하고, 위협 행위를 분석해주는 구조에 큰 흥미를 느꼈다.

처음에는 'EDR이 뭔데 이렇게 많이 쓰이나?'는 단순한 궁금증에서 출발했지만, 자료를 조사하고 공식 문서를 찾아보면서 EDR의 동작 방식과 필요성, 그리고 관련된 다양한 보안 기술에 대해 조금씩 이해하게 되었다.

그 과정에서 다음과 같은 보안 관련 용어들을 익히게 되었다.

 

- 주요 보안 용어 및 개념들

• EDR (Endpoint Detection and Response)
  : 단말(엔드포인트)에서 발생하는 모든 행위를 모니터링하고, 이상 징후를 탐지 및 대응하는 보안 솔루션이다. 파일 실행, 프로세스 생성, 네트워크 연결 등 다양한 정보를 수집하여 위협을 실시간 분석하고 대응한다.
• NGAV (Next-Generation Antivirus)
  : 전통적인 시그니처 기반 백신에서 진화한 형태로, AI 및 머신러닝 기반 분석을 통해 알려지지 않은 공격까지 탐지하는 솔루션이다. 주로 행위 기반 분석과 클라우드 기반 인텔리전스를 활용한다.
• TI (Threat Intelligence, 위협 인텔리전스)
  : 전 세계적으로 발생하는 다양한 보안 위협에 대한 정보를 수집하고 분석하여 위협을 선제적으로 인지하는 체계이다. EDR이나 SIEM과 연동되며, IOC(Indicators of Compromise) 등으로 활용된다.
• SIEM (Security Information and Event Management)
  : 다양한 보안 로그와 이벤트 데이터를 통합해 수집하고 분석하는 보안 플랫폼으로, 이상 징후나 침해 사고에 대한 인사이트를 제공한다.
• SOAR (Security Orchestration, Automation and Response)
  : SIEM 등에서 수집한 정보에 기반하여 대응 프로세스를 자동화하고 효율적으로 처리하는 체계이다. 반복적인 보안 작업을 줄이고 대응 속도를 높인다.
• C&C 공격 (Command and Control)
  : 해커가 감염된 시스템과 비밀리에 통신하며 명령을 내리는 방식의 공격이다. BPFdoor와 같은 고급 백도어가 이 C&C 명령을 탐지하기 어렵게 숨기기도 한다.
• Reverse Shell (역쉘)
  : 공격자가 피해자의 시스템에 직접 접속하는 대신, 피해자의 시스템이 공격자의 시스템으로 쉘 연결을 열어주는 방식이다. 이는 방화벽 우회를 위한 전형적인 기술이다.
• AD 공격 (Active Directory Attack)
  : 조직 내 AD 환경을 공격하여 권한 상승, 인증 우회 등을 시도하는 공격이다. Kerberoasting, Pass-the-Hash, DCSync 등의 기법이 대표적이다.
• 클라우드 & 온프레미스 환경
  : 보안 솔루션이 작동하는 인프라 환경을 의미하며, 온프레미스는 자체 서버 기반, 클라우드는 AWS, Azure 같은 외부 인프라를 활용하는 환경이다. 클라우드 보안도 점점 더 중요해지는 분야다.

---

- 학습 과정의 동기와 앞으로의 방향

단순한 툴의 기능을 넘어서서, 공격자의 시각에서 방어를 이해하고, 보안 솔루션이 어떤 방식으로 위협을 탐지하고 대응하는지를 알게 되니, 점점 보안이라는 분야 자체가 더 흥미롭게 다가왔다. 특히 파일리스(fileless) 공격, 루트킷, BPFdoor 같은 고급 APT 기법들이 어떻게 보안 솔루션을 우회하는지를 학습하면서, 탐지 우회 기술과 방어 전략 양쪽 모두에 관심을 가지게 되었다.

앞으로는 EDR이나 SOAR 같은 솔루션을 직접 다뤄보며, 단순 이론이 아닌 실제 운영 환경에서의 보안 솔루션의 역할과 한계에 대해서도 경험하고 싶다. 또한 침해사고 대응(IR)이나 보안 로그 분석에도 관심을 확장해보고자 한다.

---

- 마무리

보안은 단순한 방어가 아닌 지속적인 탐지와 대응의 싸움이라는 것을 점점 더 느끼고 있다. 이번에 익힌 용어들과 개념들은 나에게 있어 단지 단어 이상의 의미를 지닌다. 공격자의 시도와 방어자의 대응이 복잡하게 얽힌 전장에서, 솔루션의 구조와 원리를 파악하는 것이야말로 실전 보안을 준비하는 첫걸음이라 생각한다.