사이버보안에서 가장 흔한 혼동의 원인 중 하나. 네 용어는 함께 쓰이거나 때로 혼용되지만, 서로 다른 기술/서비스 모델이며 각자 현대 보안 운영에서 고유한 역할을 한다.
이 강의의 목표:
- 각 솔루션이 무엇인지
- 어떤 문제를 해결하는지
- 서로 어떻게 보완하는지
- 언제 무엇을 써야 하는지
1. SIEM (Security Information and Event Management)
정의
조직 전반의 여러 출처로부터 로그와 보안 이벤트를 수집·중앙화·상관분석·분석하는 것이 주 목적.
데이터 출처(Sources)
- 방화벽 (Firewalls)
- 서버 (Servers)
- 네트워크 장비 (Network devices)
- 애플리케이션 (Applications)
- 운영체제 (Operating Systems)
- 클라우드 서비스 (Cloud services)
제공 기능
- 로그 집계 및 정규화 (Log aggregation & normalization)
- 상관분석 룰 및 알림 (Correlation rules & alerts)
- 대시보드 및 보고서 (Dashboards & reports)
- 컴플라이언스 및 감사 지원 (Compliance & audit support)
한계
- SIEM은 탐지(detection)와 가시성(visibility) 도구가 본질
- 다른 시스템과 통합되지 않으면, 위협에 자동으로 대응하지 않음
핵심 질문
“내 환경 전체에서 무슨 일이 일어나고 있는가?” (What is happening across my entire environment?)
2. EDR (Endpoint Detection and Response)
정의
이름 그대로 엔드포인트(endpoint) 에 특화된 솔루션:
- 워크스테이션 (Workstations)
- 노트북 (Laptops)
- 서버 (Servers)
탐지 대상
엔드포인트 활동을 지속적으로 모니터링하여 다음을 탐지:
- 멀웨어 (Malware)
- 랜섬웨어 (Ransomware)
- 의심스러운 프로세스 (Suspicious processes)
- 권한 상승 (Privilege escalation)
- 측면 이동 (Lateral movement)
- 그 외 다양한 공격 유형
핵심 기능
- 행위 분석 (Behavioral analysis)
- 실시간 위협 탐지 (Real-time threat detection)
- 엔드포인트 텔레메트리 (Endpoint telemetry)
- 사고 조사 (Incident investigation)
- 자동/수동 대응 조치 (예: 장치 격리(isolating a device))
SIEM과의 차이
- SIEM은 로그를 받아서 보는 도구
- EDR은 엔드포인트 레벨의 깊은 가시성 + 능동 대응(active response) 까지 제공
핵심 질문
“내 엔드포인트에서 무슨 일이 일어나고 있고, 어떻게 막을 것인가?” (What is happening on my endpoints and how do I stop it?)
3. XDR (Extended Detection and Response)
정의
보안 사일로(silo)를 허물기 위해 만들어짐 — 여러 보안 계층의 데이터를 상관분석.
통합 데이터 계층
- 엔드포인트 (Endpoints)
- 네트워크 트래픽 (Network traffic)
- 이메일 보안 (Email security)
- 클라우드 워크로드 (Cloud workloads)
- 아이덴티티 시스템 (Identity systems)
작동 방식
- 각 계층을 개별적으로 분석하지 않음
- 여러 도메인에 걸친 이벤트를 상관분석
- 결과:
- 통합된 사고 뷰(Unified incident view) 제공
- 탐지 정확도 향상
- 오탐(False Positive) 감소
- 자동화된 도메인 간 대응(cross-domain response) 가능
한 줄 정리
XDR은 EDR의 진화형 — 엔드포인트를 넘어서 확장된 형태로 보면 됨.
핵심 질문
“내 환경 전체에서 공격 체인(attack chain) 전체는 어떻게 되는가?” (What is the full attack chain across my environment?)
4. MDR (Managed Detection and Response)
정의 — 여기서 결정적인 차이
- SIEM, EDR, XDR은 기술/플랫폼
- MDR은 서비스(service)
제공 내용
제3자 보안 제공자(third-party security provider) 가 다음을 대신 수행:
- 환경을 24/7로 모니터링
- 알림 조사 (Investigates alerts)
- 위협 탐지 (Detects threats)
- 사고 대응 (Responds to incidents)
MDR이 활용하는 자원
- EDR 또는 XDR 도구
- 위협 인텔리전스 (Threat intelligence)
- 사람 분석가 (Human analysts)
- SOC 전문성 (SOC expertise)
적합한 조직
- 내부 SOC가 없는 조직
- 보안 인력이 부족한 조직
- 지속적인 모니터링과 대응이 필요한 조직
핵심 질문
“누가 나를 위해 능동적으로 보호하고 위협에 대응하고 있는가?”
(Who is actively protecting and responding to threats for me?)
5. 핵심 차이 한눈에 보기
| 솔루션 | 종류 | 초점(Focus) | 핵심 질문 |
|---|---|---|---|
| SIEM | 기술 | 환경 전반의 로그 수집·상관분석·가시성 | 내 환경에서 무슨 일이 일어나고 있는가? |
| EDR | 기술 | 엔드포인트 레벨 탐지 및 대응 | 내 엔드포인트에서 무슨 일이 일어나고 있고, 어떻게 막을 것인가? |
| XDR | 기술 | 여러 보안 계층의 데이터 상관분석 | 공격 체인 전체는 어떻게 되는가? |
| MDR | 서비스 | 보안 도구를 활용해 전문가가 대신 탐지·대응 | 누가 나를 위해 능동 대응하는가? |
6. 결론
함께 쓰는 솔루션, 대체하는 솔루션이 아니다
- 각 솔루션은 서로 다른 역할을 함
- 많은 조직에서 이들을 함께(together) 사용 — 서로의 대체재(replacement) 가 아님
“최선의 단일 솔루션”은 없다
올바른 선택은 다음에 따라 달라짐:
- 조직의 규모(size)
- 보안 성숙도(maturity)
- 가용 자원(resources)
- 위험 프로파일(risk profile)
셀프 체크 (Self-Check Questions)
- SIEM, EDR, XDR, MDR 중 서비스에 해당하는 것은 무엇이며, 나머지 셋과 어떤 점에서 본질적으로 다른가?
- SIEM의 한계 한 가지를 EDR이 어떻게 보완하는가?
- XDR이 “EDR의 진화형”이라고 불리는 이유는?
- 각 솔루션이 답하는 핵심 질문 4개를 빈 종이에 적어볼 수 있는가?
- 50명 규모이고 내부 보안팀이 없는 조직에는 어떤 조합이 가장 현실적일까? (힌트: 도구 + 서비스)
- SIEM이 자동 대응을 못한다면, 어떤 형태로 보완할 수 있을까? (힌트: SOAR, EDR/XDR 통합)