eXtended Detection and Response
XDR은 확대(eXtended)된 영역에서 자동화된 탐지(Detection)와 대응(Response)이라는 의미로, SIEM에서 한단계 진보된 일종의 통합보안관제 솔루션이다.
- 기존 EDR(Endpoint Detection and Response)의 개념을 확장한 형태로, 보안 운영의 효율성과 탐지 정확도를 향상시키는 것이 목적이다.
개념
- XDR은 서로 다른 보안 도구(엔드포인트, 네트워크, 클라우드, 이메일 등)의 데이터를 중앙에서 통합
- 머신러닝, 행동 기반 분석 등을 통해 위협을 자동 탐지하고 연관 분석
- 탐지된 위협에 대해 자동화된 대응 및 조사 기능 제공
구성 요소
- 데이터 수집
- 다양한 보안 도구 및 로그 소스에서 이벤트 정보 수집
- EDR, NDR, 이메일 보안, 클라우드 보안 등 포함
- 데이터 통합 및 분석
- 위협 정보를 상관 분석(correlation)하여 복합 공격 탐지
- 행동 기반 분석, 시그니처 기반 탐지, AI 기반 분석 활용
- 대응 및 조치
- 자동 격리, 파일 삭제, 사용자 차단 등
- 대응 결과를 시각화하여 인시던트 분석 지원
- 보안 운영 자동화
- SOAR(Security Orchestration, Automation, and Response)와 통합 가능
- 반복 작업 자동화 및 대응 속도 향상
XDR vs EDR
| 구분 | EDR | XDR |
|---|---|---|
| 범위 | 엔드포인트 중심 | 엔드포인트 + 네트워크 + 이메일 + 클라우드 등 |
| 데이터 통합 | 제한적 | 다양한 소스 통합 |
| 탐지 능력 | 단일 장치 기반 탐지 | 상관 분석 기반 정밀 탐지 |
| 대응 자동화 | 상대적으로 제한 | 자동화 수준 높음 |
장점
- 여러 보안 솔루션의 이벤트를 하나의 플랫폼에서 통합 분석
- 복합적이고 지능적인 위협(APT, 랜섬웨어 등) 대응 가능
- 보안 운영센터(SOC)의 업무 부담 경감 및 대응 시간 단축
단점
- 초기 도입 비용과 구성 복잡성 존재
- 조직 내 기존 보안 체계와의 연동 필요
- 지나친 자동화는 오탐 가능성도 증가시킬 수 있음
활용 사례
- 내부 사용자 이상 행위 탐지 및 대응
- 다중 벡터 공격(APT, 공급망 공격 등) 탐지
- 클라우드/온프레미스 환경 통합 보안 관제
같이 보기
참고 문헌
- Gartner (2020). Market Guide for Extended Detection and Response
- Palo Alto Networks, Microsoft, Trend Micro 등 XDR 솔루션 제공사 기술 백서
- 한국인터넷진흥원(KISA). 확장 탐지 및 대응(XDR) 기술 개요