EDR·NDR·XDR로 보는 차세대 위협 탐지·대응 체계의 진화
EDR·NDR·XDR은 차단 중심의 보안을 넘어, 탐지와 대응을 통합한 지능형 위협 대응 체계로 진화하며 보안의 패러다임을 새롭게 정의한다.

목차
ㄴ 서론 : 보안의 중심이 ‘차단’에서 ‘탐지와 대응’으로 이동하다
ㄴ EDR – 단말에서 시작된 보안의 재정의
ㄴ NDR – 네트워크 단위의 가시성 확장
ㄴ XDR – 통합 탐지·대응으로의 진화
ㄴ EDR·NDR·XDR의 투자 필요성과 역할 구분 (경영진 관점 핵심 파트)
ㄴ SIEM·XDR·SOAR의 관계 정립
ㄴ SIEM vs XDR 구조 및 실무 시나리오 비교 (확장판)
ㄴ SIEM과 XDR 로그 연동 및 역할 구분
ㄴ SIEM과 XDR의 역할 차이 – ‘분석의 두뇌 vs 대응의 팔’
ㄴ EDR·NDR·XDR 대표 제품군 비교
ㄴ 결론 : 통합 보안 인텔리전스 시대로
□ 서론 : 보안의 중심이 ‘차단’에서 ‘탐지와 대응’으로 이동하다
과거 보안은 "막는 것"에 집중했다. 방화벽과 백신은 여전히 기본이지만, 공격은 더 교묘하고 지속적으로 진화하고 있다.
이제는 "공격은 이미 내부에 있다"는 전제를 바탕으로, 얼마나 빨리 탐지하고 대응할 수 있는가가 보안의 핵심 경쟁력이 되었다.
이 변화 속에서 등장한 것이 EDR, NDR, XDR이다.
이 세 기술은 탐지(Detection)와 대응(Response)을 지능화·자동화하며 기존의 룰 기반 보안체계를 넘어선 차세대 위협 대응 체계를 의미한다.
□ EDR – 단말에서 시작된 보안의 재정의
EDR(Endpoint Detection & Response)은 모든 공격의 시작점인 엔드포인트(PC·서버)를 지킨다.
백신이 알려진 악성코드를 탐지한다면, EDR은 정상처럼 보이는 비정상 행위를 탐지한다.
즉, “무엇이 실행되었는가”가 아니라 “어떻게 실행되었는가”를 본다.
○ EDR 실제 탐지 시나리오 예시
| 시나리오 | 탐지내용 | 기존 백신의 한계 |
| 파일리스 랜섬웨어 | Excel 매크로 → PowerShell 호출 → 외부 C2 연결 → 암호화 실행 | 악성 파일이 없어 탐지 불가 |
| 내부자 권한 남용 | 일반 사용자가 관리자 명령어 실행 및 DB 접근 시도 | 정상 명령으로 인식 |
| C2 통신 시도 | Word 실행 후 rundll32.exe가 외부 주소로 접속 | 정상 프로세스로 위장 |
| USB 감염 확산 | USB 실행파일이 네트워크 공유폴더를 통해 코드 전파 | 내부망 감염은 백신 사각지대 |
※ 요약 :
백신은 ‘패턴’을 본다.
EDR은 ‘행위’를 본다. 즉, "무기고의 공격"이 아니라 "새로 만들어진 공격"을 탐지한다.
□ NDR – 네트워크 단위의 가시성 확장
NDR(Network Detection & Response)은 네트워크 트래픽을 통해 이상행위를 탐지한다.
EDR이 개별 단말의 내부 동작을 본다면, NDR은 내부와 외부, 단말과 서버 간의 전체 흐름을 관제한다.
○ NDR 실제 탐지 시나리오 예시
| 시나리오 | 탐지 내용 | 기존 IPS의 한계 |
| 암호화 데이터 유출 | HTTPS 트래픽 내 대용량 업로드 탐지 | 암호화되어 내용 파악 불가 |
| 내부 확산(Lateral Movement) | 한 단말에서 여러 서버로 SMB 접근 시도 | 내부망 트래픽은 비관제 |
| DNS 터널링 통신 | 정상 DNS 요청으로 위장한 데이터 전송 | 룰 기반 탐지 불가 |
| C2 Beaconing 행위 | 일정 주기로 외부 IP와 짧은 통신 반복 | 시그니처 없으면 탐지 불가 |
| IoT 장비 이상행위 | CCTV·프린터 등 비관리 자산의 비정상 통신 | IPS 정책 부재 구간 |
※ 요약 :
IPS는 규칙으로 본다.
NDR은 규칙을 벗어난 통신을 본다. 암호화, 내부 이동, 비정상 트래픽을 ‘보이게’ 하는 기술이다.
□ XDR – 통합 탐지·대응으로의 진화
XDR(Extended Detection & Response)은
EDR·NDR·메일·클라우드·WAF 등에서 발생하는 위협 데이터를 통합 상관분석하고 탐지–분석–대응을 하나의 자동화된 프로세스로 연결한다.
○ XDR 실제 탐지 시나리오 예시
| 시나리오 | 탐지 흐름 | 자동대응 방식 |
| 스피어피싱 → 내부 확산 → 외부 유출 | 메일 첨부 실행 → EDR 프로세스 탐지 → NDR 외부 통신 포착 | XDR이 자동 상관분석 후 단말 격리 |
| 클라우드 계정 탈취 | 해외 IP 로그인 성공 → 비정상 API 호출 급증 | XDR이 세션 종료 및 계정 잠금 |
| Red Team 모의훈련 탐지 | 내부 공격 시나리오 실행 → 각 솔루션 이벤트 상관분석 | XDR이 공격 체인 자동 시각화 |
| 랜섬웨어 조기 탐지 | EDR 암호화 행위 + NDR SMB 폭증 | XDR이 즉시 서버 연결 차단, 확산 방지 |
※ 요약 :
XDR은 EDR과 NDR의 눈과 귀를 연결해
공격의 ‘스토리라인’을 자동으로 인식하고 대응한다.
□ EDR·NDR·XDR의 투자 필요성과 역할 구분 (경영진 관점 핵심 파트)
- “백신이 있는데 왜 EDR이 필요한가?”
백신은 서명 기반으로 알려진 악성코드만 탐지하지만,
EDR은 행위 기반으로 비정상 행위를 탐지한다.
파일리스 공격, 내부자 위협 등 백신이 놓치는 공격을 커버한다. - “IPS가 있는데 왜 NDR이 필요한가?”
IPS는 룰 기반 패턴 차단,
NDR은 머신러닝 기반 이상행위 탐지로 IPS가 탐지하지 못하는 영역을 보완한다. - “XDR은 꼭 필요한가?”
XDR은 EDR·NDR 데이터를 상관분석해 공격 전체 경로를 인식한다.
단순 탐지가 아닌 자동 대응·격리·차단까지 수행하며,
전사적 보안운영 자동화를 위한 핵심 기술이다.
○ 투자 우선순위 및 상호보완성
| 구분 | 주요 대상 | 탐지 방식 | 기존 기술 대비 | 도입 목적 |
| EDR | PC·서버 | 행위 기반 | 백신 보완 | 내부 확산 차단 |
| NDR | 네트워크 구간 | 트래픽 이상탐지 | IPS 보완 | 암호화 통신 탐지 |
| XDR | 전사 통합 | 상관분석 + 자동대응 | SIEM 고도화 | 자동 대응 체계 |
※ 비유 :
EDR은 사무실 내부 CCTV,
NDR은 건물 외곽 감시장비,
XDR은 모든 화면을 통합 분석하며 지시를 내리는 상황실.
□ SIEM·XDR·SOAR의 관계 정립
| 구분 | SIEM | XDR | SOAR |
| 역할 | 로그 통합·상관분석 | 탐지·분석·자동대응 | 대응 절차 자동화 |
| 중심 데이터 | 모든 보안장비 로그 | 위협 이벤트 중심 | XDR 탐지 결과 기반 |
| 자동화 수준 | 낮음(수동 분석) | 중간(자동 분석) | 높음(자동 실행) |
| 예시 시나리오 | SIEM: IPS 로그로 경보 → 분석가 차단 요청 | XDR: EDR·NDR 연계, 자동 차단 | SOAR: 감염 단말 격리, 티켓 발행, 보고서 자동 작성 |
※ 요약 :
XDR은 “탐지·판단”,
SOAR는 “자동 실행”으로 탐지–대응의 연속 체계를 완성한다.
□ SIEM vs XDR 구조 및 실무 시나리오 비교 (확장판)
| 항목 | SIEM | XDR |
| 핵심 역할 | 전사 로그 통합·정규화 | 위협 탐지·상관분석·자동대응 |
| 분석 방식 | 룰 기반 | 행위 기반 + 인텔리전스 |
| 대응 방식 | 수동(운영자 판단 후 조치) | 자동 또는 반자동(API, 정책 수정) |
| 탐지 정확도 | 경보 많고 오탐 다수 | 정탐률 향상 |
| 주요 사용자 | SOC·감사팀 | 침해대응팀·헌팅팀 |
○ 업무 시나리오 비교
| 구분 | SIEM 처리 체계 | XDR 처리 체계 |
| 랜섬웨어 감염 | 여러 장비 로그 수집 후 수동 분석·차단 | EDR+NDR 자동 연계, 단말 즉시 격리 |
| 내부자 개인정보 조회 | 이상 로그 수집, 수동 확인 | UEBA·XDR 연계, 세션 자동 종료 |
| 피싱 메일 공격 | 메일 로그 확인 후 수동 경고 | XDR 자동 탐지 → 수신자 전체 검사·격리 |
| 클라우드 계정 탈취 | 수동 IP 차단 | 비정상 API 탐지 후 자동 계정 잠금 |
| C2 통신 시도 | IP 평판 수동 조회 | XDR이 NDR+EDR 상관분석, 통신 차단 |
※ 요약 :
SIEM은 "이상을 찾는 두뇌",
XDR은 "행동하는 두뇌와 팔".
□ SIEM과 XDR 로그 연동 및 역할 구분
| 구분 | SIEM 연동 로그(전사 통합형) | XDR 연동 로그(위협 중심형) |
| 보안장비 | 방화벽, IPS, WAF, DLP, DRM, NAC, VPN, DNS | EDR 이벤트, NDR 이벤트, 메일·클라우드 위협 |
| 시스템 | 서버 OS, AD, DB 감사, 접속 이력 | 단말 행위로그, 트래픽 플로우 |
| 응용서비스 | ERP, HR, 웹 접근, API 로그 | SaaS, O365, 협업툴 공격 이벤트 |
| 운영로그 | 정책변경, 계정관리, 장애상태 | 수집하지 않음(탐지 중심) |
로그 전송 구조
[EDR / NDR]
├──> SIEM : 통합 저장·분석 (감사/관제)
└──> XDR : 실시간 상관분석·자동대응
※ 요약 :
SIEM은 "모든 로그의 저장소",
XDR은 "실시간 위협분석 엔진"이다.
□ SIEM과 XDR의 역할 차이 – ‘분석의 두뇌 vs 대응의 팔’
| 구분 | SIEM | XDR |
| 핵심 역할 | 통합분석·경보 생성 | 위협 탐지·자동대응 |
| 조치 방식 | 운영자 수동 판단·차단 | 장비 직접 제어(API 연동) |
| 대표 액션 예시 | “경보 발생 → 방화벽 정책 수정 요청” | “EDR 탐지 → 감염 단말 자동 격리, IP 차단, 예외 등록” |
※ 요약 :
SIEM은 분석의 두뇌, XDR은 대응의 팔. SIEM은 관제·분석 중심, XDR은 실시간 대응 중심이다.
□ EDR·NDR·XDR 대표 제품군 비교
| 구분 | 주요 제품 특징 | 비고 |
| EDR | Microsoft Defender for Endpoint / SentinelOne / CrowdStrike Falcon / Trellix / AhnLab EPP | 행위 기반 탐지 및 포렌식, 단말 격리, 정책 배포 기능 |
| NDR | Darktrace / Vectra AI / ExtraHop / Cisco Secure Network Analytics / Corelight | 암호화 트래픽 이상탐지, 내부 확산(Lateral Movement) 탐지 |
| XDR | Palo Alto Cortex XDR / Trend Micro Vision One / CrowdStrike Falcon Insight XDR / Microsoft Sentinel / Trellix XDR / Fortinet FortiXDR | EDR·NDR·메일·클라우드 연계 통합분석 및 자동대응, SOAR 내장형 구조 |
| 국내 주요 도입 경향 | AhnLab, SGA, SK쉴더스, Igloo Security 등 국산 XDR 솔루션도 확산 중 | 금융권은 글로벌 제품 + 국산 SIEM 연계 혼합구조 선호 |
※ 요약 :
EDR은 단말 보호 중심, NDR은 네트워크 중심,
XDR은 전사적 통합 대응 중심의 플랫폼이며,
최근 금융·공공기관은 “기존 SIEM + XDR 연동형” 구조로 확장 중이다.
□ 결론 : 통합 보안 인텔리전스 시대로
EDR·NDR·XDR은 단순한 기술이 아니라 탐지–분석–대응이 진화해 온 과정이다.
이 체계는 SIEM, SOAR, UEBA, Threat Intel과 결합하여 AI 기반 자율보안(Self-Defending Security)로 발전하고 있다.
EDR은 눈,
NDR은 귀,
SIEM은 뇌,
XDR은 두뇌와 팔,
SOAR는 자동화된 손이다.
2026년 이후의 보안 투자는 ‘방어’가 아닌 ‘탐지–분석–대응–복구–학습’을 하나로 통합한 지능형 자율보안 체계로 발전해야 한다.
감사합니다.