경계가 사라진 시대,
최후의 전장은 엔드포인트입니다.
오늘날 사이버 공격은 전통적인 네트워크 기반의 방어 체계를 무력화하고 있습니다. 실제 공격의 90%가 피싱이나 보안정책 위반 등 '사람'에서 시작되며 이제 엔드포인트는 공격과 방어를 위한 최후의 보루가 되었습니다. 따라서 IoC 등 단순 침해지표를 넘어 공격자의 전술(TTPs)를 추적하는 행동 중심의 탐지 및 대응이 필수가 되었습니다.
사고를 인지하는 시간(MTTI)이 277일에 달하는 현실에서, 이제 EDR은 엔드포인트의 모든 활동을 분석하고 탐지하여 위협 대응을 위한 골든타임을 확보할 수 있는 필수 요소가 되고 있습니다.
EDR, 단일 도구에서 통합 플랫폼으로
위협 환경의 변화에 따라 EDR 역시 발전하고 있습니다. 초기의 EDR은 AV(Anti-Virus) 나 IoC(Indicator of Compromise)를 이용해 악성코드를 탐지하고 행위 정보를 수집하는 데 집중했습니다. 더 나아가 사이버 보안 메시 아키텍처(CSMA)를 통해 분산된 도구 간의 데이터를 통합하고 조율하기 시작했습니다.
현재의 EDR은 생성형 AI와 LLM을 활용하여 수천 개의 경보를 소수의 실제 사건으로 압축하고 맥락(Context)을 기반으로 자동화된 상관관계를 분석하여 실제 대응이 필요한 사고를 선별할 수 있습니다.
역설, 데이터의 홍수와 경보 피로(Alert Fatigue)
데이터는 통합되고 있으나 정작 분석가는 중요한 위협을 놓치고 있습니다. 조사*에 따르면 하루에 3천 건이 넘는 경보(Alert)를 접하고 있으며 이 중 절반가량(40%)은 조사되지 못한 채 방치되고 있습니다.
또한 발생하는 경보의 90%는 실제 위협이 아닌 오탐 등 소음(Noise)이며 분석가들은 업무 시간의 대부분을 소음을 분석하는 데 사용하고 있습니다. 비효율적 업무는 분석가들을 지치게 하고 번아웃으로 내몰고 있으며 지식의 공동화 현상을 초래하고 있습니다.
하이퍼오토메이션(Hyperautomation)
이제 경보 중심에서 위험 중심으로 패러다임을 전환하고 기술적 한계를 극복해야 합니다.
첫째, 단편적 알람을 연결하여 전체 공격 스토리(Incident)를 구성하고 컨텍스트 기반으로 실제 위험을 예측해야 합니다.
둘째, 기존의 정적인 플레이북 기반의 SOAR를 넘어 예외 상황에서도 스스로 판단하고 대응 경로를 탐색하는 자율형 보안 운영이 요구됩니다.
마지막으로 과거 대응 이력을 학습하여 유사 패턴에 자동으로 대응하고 위치, 애플리케이션, 역할 등 컨텍스트를 기반으로 하는 적응형 임계치 기술이 필요합니다.
