"이미 안티바이러스를 돌리는데 — 왜 EDR이 필요하지?" 둘은 역할이 다릅니다. EDR이 무엇을, 어떻게 보호하는지 살펴봅니다(공격 절차는 다루지 않습니다).
기존 안티바이러스와의 차이
| 측면 | 기존 안티바이러스 | EDR |
|---|---|---|
| 탐지 근거 | 알려진 시그니처 / IOC(해시) | 행위 / IOA(활동의 사슬) |
| 빠져나감 저항 | 파일리스 / 도구 악용에 취약 | 행위로 잡아내기 쉬움 |
| 사후 조사 | 제한적 | 무슨 일이 있었는지 추적할 타임라인 |
| 대응 | 대개 제거 | 격리, 조사, 복구 지원 |
어떻게 보호하는가(메커니즘)
시그니처 대조(알려진 악성 차단)와 행위 탐지(IOA로 알아채기)는 대립하지 않습니다. 둘 다 갖추는 것이 현실적이며, EDR은 후자를 깊게 합니다.
현실적인 소규모 팀의 관점
먼저 토대를 굳히기
OS 내장 보호 사용
로그를 보존하고 IOA의 눈으로 보기
성장하면서 EDR을 검토
본 사이트의 견해: 제품 이름이 아니라 '기록/탐지/대응' 상태
EDR은 강력하지만, 본 사이트는 "EDR이 있다"를 "안전하다"로 취급하지 않습니다. 탐지는 사고가 시작된 이후의 이야기이고, 진짜 목표는 시작·확산을 허용하지 않는 설계(최소 권한, 패치, MFA, 평문 시크릿 금지)입니다. 그 위에, 일부 공격은 늘 빠져나가므로 규모에 맞게 행위를 기록·탐지·대응할 수 있는 상태를 유지하세요. 개인에게는 "Defender + 로그 + IOA 사고방식"이 흔히 충분하고, 조직에는 관리형 EDR이 선택지입니다. 중요한 것은 제품 이름이 아니라 — 예방(일어나지 않게)과 탐지(알아채기)가 둘 다 돌아가고 있는가 입니다.
다음으로 읽기
- 용어집: IOA(Indicator of Attack)란 · IOC란 · 랜섬웨어란
FAQ
QEDR은 기존 안티바이러스와 어떻게 다른가요?
기존 안티바이러스는 주로 '알려진 악성 파일'(시그니처/해시)을 대조해 차단합니다. EDR은 여기에 기기 내 행위(프로세스 실행, 네트워크, 파일 작업)를 지속적으로 기록하고, 의심스러운 활동의 사슬을 탐지하며, 대응 — 격리, 조사, 복구 — 을 돕습니다. 정리하면: AV는 알려진 악성을 차단하고, EDR은 행위로 알아채고 대응을 돕습니다.
Q왜 행위 기반 탐지가 필요한가요?
공격자는 파일 해시를 바꾸고 정상 OS 도구를 악용(파일리스)해 시그니처 대조를 빠져나갑니다. 이런 공격은 '악성 파일'처럼 보이지 않고 — '이상한 행위의 사슬'로만 드러납니다. 그래서 행위(IOA)를 지켜보는 EDR이 빠져나간 것을 잡아내는 역할을 합니다.
Q개인이나 소규모 팀에 EDR이 필요한가요?
풀 EDR은 주로 조직용이며 개인/소규모 팀에는 과한 경우가 많습니다. 하지만 그 발상은 유용합니다. Windows의 Microsoft Defender는 가벼운 행위 탐지를 포함하고, 탄탄한 토대(자동 업데이트, 최소 권한, 보존된 로그)에 IOA 사고방식(행위로 알아채기)을 더하면 상당한 가치를 얻습니다. 제품 이름보다 — 행위를 기록·탐지·대응할 수 있는 상태인가 — 가 더 중요합니다.