[ICT시사용어] EDR(엔드포인트탐지·대응)

ⓒ게티이미지뱅크

'Endpoint Detection and Response'의 줄임말로 네트워크가 연결되는 장치에서 발생하는 모든 활동을 감지·분석하는 보안 솔루션이다.

엔드포인트 장치에서 발생하는 모든 활동을 실시간으로 모니터링해 잠재적 위협을 식별하고 격리·제거하는데 사용된다.

EDR는 데스크톱·노트북, 서버, 모바일 디바이스, 사물인터넷(IoT) 등 네트워크의 모든 엔드포인트에서 발생하는 데이터를 지속적으로 수집한다. 이 데이터를 실시간으로 분석해 의심되는 사이버 위협 증거를 찾고 식별된 위협으로 인한 피해를 예방하거나 최소화하기 위해 자동으로 대응한다.

기존 안티바이러스 솔루션이 악성코드를 차단하는데 초점이 맞춰져 있다면, EDR는 그보다 한층 진화된 형태로 지속적인 모니터링, 위협 탐지, 침해사고 분석, 대응 조치까지 포괄한다.

기업들이 EDR를 도입하는 이유는 재택근무가 늘고 내부 위협 등 사이버 침해 공격이 정교해짐에 따라 네트워크 경계 중심 방어 체계로는 한계가 있기 때문이다. 기업 내부의 수많은 엔드포인트가 보안 취약 지점이 됐다.

EDR는 엔드포인트에서 발생하는 파일 실행, 프로세스 생성, 네트워크 통신, 레지스트리 변경 등의 행위를 실시간으로 수집·분석하고, 이상 징후가 발생하면 관리자에게 경고하거나 자동으로 대응 조치를 취한다.

SK텔레콤은 최근 발생한 유심정보 유출 침해사고 재발 방지 대책으로 전체 시스템에 악성코드를 탐지할 수 있는 EDR 솔루션을 설치한다는 방침이다. 정보기술(IT) 장비에 우선 적용하고 네트워크 코어 장비에는 안정성 확보 후 내년까지 적용을 완료할 예정이다.

박준호 기자 junho@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]