EDR 엔드포인트 보호란 무엇인가요?

EDR은 Endpoint Detection and Response(엔드포인트 탐지 및 대응)의 약자입니다. 엔드포인트는 데스크톱, 노트북, 서버, 회사 휴대전화처럼 사람들이 업무에 사용하는 모든 비즈니스 기기를 뜻합니다. EDR은 이런 기기들의 비정상적인 행동을 지켜보고, 무슨 일이 일어났는지 기록하며, IT 팀이 조사하고 대응하는 데 도움을 줍니다.

기본 백신은 주로 알려진 악성 파일을 찾는 데 집중합니다. EDR은 그보다 한 단계 더 나아갑니다. 예를 들어, 어떤 프로그램이 많은 파일을 빠르게 변경하려는 패턴, 평소와 다른 비정상 로그인, 또는 평소 같지 않은 곳에 소프트웨어가 연결을 시도하는 행위 같은 의심스러운 정황을 포착할 수 있습니다.

EDR은 대개 소프트웨어와 사람의 절차(프로세스)로 함께 구성됩니다. 소프트웨어가 알림(경고)을 생성합니다. 그다음 사내 IT 팀이나 MSP(관리형 IT 서비스 제공업체)가 그 알림을 검토하고 다음에 무엇을 할지 결정합니다.

만약 관리형 IT에 처음이라면, 이것은 MSP가 권할 수 있는 보안 도구 중 하나일 뿐입니다. 더 쉬운 표현으로 된 답변은 저희 답변 허브에서 확인하실 수 있습니다.

소규모 비즈니스는 이메일, 파일, 급여, 고객 기록, 그리고 일상 업무를 수행하는 데 기기에 의존합니다. 노트북 한 대가 감염되거나 직원 계정이 잘못 사용되면, 문제가 더 퍼지고 업무를 중단시키며 정리(복구) 비용을 만들 수 있습니다.

EDR은 기업이 문제를 더 일찍 알아차리고 더 체계적인 방식으로 대응하도록 돕습니다. 예를 들어, 한 대의 기기를 격리하고, 의심스러운 프로세스를 중지하고, 증거를 수집한 뒤, 그 이슈가 다른 시스템까지 번졌는지 확인하는 등의 조치가 포함될 수 있습니다. 더 빠른 탐지는 혼란을 줄이고 피해를 제한하는 데 도움이 될 수 있지만, 어떤 정직한 제공업체도 ‘무중단’ 또는 ‘해킹 불가능한 네트워크’를 약속할 수는 없습니다.

또한 많은 공격이 더 이상 예전의 ‘바이러스’라는 이미지처럼 보이지 않는다는 점도 중요합니다. 공격은 탈취된 비밀번호, 안전하지 않은 다운로드, 악성 이메일 링크, 또는 정상 도구가 해로운 방식으로 사용되는 형태일 수 있습니다. EDR은 알려진 악성코드 시그니처만 보는 것이 아니라 ‘행동(행태)’을 기반으로 살펴보도록 설계되어 있습니다.

여러 기업에서 EDR은 다른 기본 보안과 함께할 때 가장 유용합니다. 예를 들어 MFA(다중 인증), 정기적인 패치(소프트웨어 및 보안 업데이트를 적용하는 것), 강력한 백업, 그리고 명확한 직원 규칙이 그 예입니다.

좋은 EDR 도구는 엔드포인트에서 활동을 수집합니다. 프로세스, 로그인, 파일 변경, 네트워크 연결, 그리고 보안 설정이 꺼졌다는 징후 등을 추적할 수 있습니다. 이를 통해 해당 기기에서 어떤 일이 벌어졌는지 ‘타임라인’을 만드는 데 도움이 됩니다.

무언가가 의심스럽다고 판단되면, 도구가 알림을 생성합니다. 제품과 구성에 따라 제한적인 대응 조치도 수행할 수 있습니다. 예를 들어 프로세스를 중지하거나 파일을 차단하거나, 누군가 조사를 하는 동안 문제가 퍼지지 않도록 기기를 네트워크에서 격리하는 방식이 해당됩니다.

일부 기업은 RMM도 함께 듣게 됩니다. RMM은 Remote Monitoring and Management(원격 모니터링 및 관리)의 약자입니다. 이는 다른 범주의 기술입니다. RMM은 IT 팀과 MSP가 흔히 기기의 상태를 모니터링하고 업데이트를 배포하며, 정기적인 지원 작업을 처리하는 데 사용합니다. EDR은 의심스러운 보안 활동을 탐지하고 대응하는 데 초점을 둡니다.

또한 엔드포인트 보호 플랫폼(endpoint protection platform)이라는 용어를 들을 수도 있습니다. 쉬운 말로 하면, 보통 기기에서의 더 넓은 범위의 보안 소프트웨어를 뜻하며, EDR은 ‘무슨 일이 일어나는지 조사’하는 데 도움을 주는 탐지 및 대응 레이어입니다.

좋은 EDR은 그저 라이선스를 구매하고 “잘 되겠지”를 기대하는 것으로 끝나지 않습니다. 귀하의 비즈니스에 맞게 구성되어야 하고, 알림을 검토할 줄 아는 누군가가 지켜봐야 하며, 명확한 대응 계획과 연결되어 있어야 합니다. 그렇지 않으면 알림만 많이 받고 실제 보호는 거의 없을 수 있습니다.

탄탄한 구성은 몇 대의 노트북만이 아니라, 모든 핵심 비즈니스 엔드포인트를 커버하는 경우가 보통입니다. 이는 대개 직원 컴퓨터, 서버, 그리고 비즈니스 운영 방식에 따라 때로는 모바일 기기를 포함합니다. 또한 MFA, 이메일 보안, 백업, 사용자 접근 규칙처럼 다른 도구들과도 잘 맞아야 합니다.

좋은 제공업체는 무엇을 할 것인지, 하지 않을 것인지도 설명해줍니다. 알림은 어떻게 검토하는지, 어떤 내용이 에스컬레이션(상위 단계로 전달)되는지, 어떤 대응 단계가 포함되는지, 그리고 사고(인시던트)는 어떻게 보고하는지 등을 알려줘야 합니다. SLA(서비스 수준 계약)라는 문서를 제공한다면, 그 문서가 응답 목표와 지원 조건을 쉬운 말로 설명해야 합니다.

이러한 선택을 명확히 설명해줄 독립적인 제공업체를 찾는 데 도움이 필요하다면, NodeBridge IT가 귀하가 매칭되도록 도와드릴 수 있습니다. 저희는 무료 매칭 서비스입니다. 저희는 귀하의 시스템을 관리, 모니터링, 보안 처리, 수리 또는 접근하지 않습니다.

EDR은 보통 더 넓은 관리형 IT 서비스의 한 요소입니다. MSP는 이를 기기 지원, 패치 적용, 백업 점검, 계정 보안, 그리고 계획 수립 도움과 함께 묶어 제공할 수 있습니다. 일부는 해당 역할을 풀타임으로 고용하지 않고도 소규모 비즈니스가 기술 및 보안 우선순위를 계획하도록 돕기 위한 vCIO(가상 CIO, 가상 최고정보책임자) 가이던스도 제공합니다.

이 점이 중요한 이유는 보안이 ‘시스템’으로 작동할 때 더 잘되기 때문입니다. 예를 들어 EDR은 노트북에서 의심스러운 행동을 탐지하는 데 도움을 줄 수 있지만, 백업, 직원 교육, 접근 통제, 그리고 사고 발생 시 누가 결정을 내리는지에 대한 계획을 대신할 수는 없습니다.

백업은 별도의 주제지만, 여기서도 언급할 가치가 있습니다. 흔히 3-2-1 백업 전략을 듣게 될 수 있습니다. 이는 데이터를 3개의 사본으로 보관하고, 2가지 서로 다른 유형의 저장장치에 나누어 보관하며, 그중 1개 사본은 오프사이트에 보관한다는 의미입니다. EDR과 백업은 서로 다른 문제를 해결하고, 많은 기업은 둘 다 필요로 합니다.

제공업체를 비교 중이라면, 저희 서비스 개요를 통해 관리형 IT에 보통 무엇이 포함되는지와 어떤 질문을 해야 하는지 이해하는 데 도움이 될 수 있습니다.

소규모 비즈니스의 경우 EDR은 흔히 기기당 월 과금 형태이거나, 더 넓은 관리형 IT 패키지에 포함되어 있습니다. 대략적인 범위로는 EDR 구성 요소 자체가 기기당 월 8달러에서 25달러 정도일 수 있지만, 보안 도구가 포함된 전체 관리형 IT 패키지는 훨씬 더 높을 수 있습니다. 실제 금액은 인원 규모, 기기 수, 보안 요구, 지원 시간, 그리고 귀하의 지역에 따라 달라집니다. 아래 범위는 견적(quote)이 아닙니다.

가장 저렴한 옵션이 항상 가장 좋은 가치는 아닙니다. 낮은 가격은 알림 검토가 제한적이거나, 구성이 약하거나, 대응 책임이 불명확할 수 있음을 의미할 수 있습니다. 반대로 가격이 높다고 해서 제공업체가 포함 내용을 쉬운 말로 설명하지 못한다면 자동으로 더 나은 것은 아닙니다.

실용적인 질문을 해보세요. 알림을 누가 검토하나요, 그리고 언제 검토하나요. 어떤 조치가 자동화되나요. 업무 시간 이후에는 어떻게 처리되나요. 어떤 기기가 커버되나요. 오탐(거짓 경보)은 어떻게 다루나요. 어떤 보고서를 받게 되나요. EDR이 백업, 패치, 계정 보안과 어떻게 함께 작동하나요.

더 쉽게 시작하는 방법이 필요하다면, NodeBridge IT가 귀하의 업종과 위치를 서비스하는 독립적인 MSP와 연결해드릴 수 있습니다. 저희 서비스는 비즈니스 소유자에게 무료입니다. 저희는 귀하가 적합한 업체를 찾도록 돕기 위해 기본적인 비즈니스 및 연락처 정보를 수집할 뿐입니다.