Endpoint Detection & Response

AhnLab EDR

행위 기반 탐지 · MITRE ATT&CK 검증 · 머신러닝 분석
엔드포인트 위협의 탐지부터 분석, 대응까지

90%+
MITRE ATT&CK 탐지율
83/90
Round 4 Step 탐지
$8B
2027 글로벌 EDR 시장
28.8%
시장 연평균 성장률
01 — Background

왜 EDR이 필요한가

엔드포인트는 사이버 공격의 핵심 타깃입니다. 기존 보안 솔루션만으로는 고도화된 위협에 대응하기 어렵습니다.

랜섬웨어 공격

스피어 피싱으로 침투, 내부 전파 후 데이터 암호화까지 자동화된 공격 체인

Living-off-the-Land

PowerShell, WMI 등 정상 도구를 악용하는 파일리스 공격으로 기존 탐지 우회

내부 이동

RDP, PsExec 등으로 시스템 간 이동하며 거점을 확대하는 지능형 공격

기존 보안의 한계

  • 시그니처 기반 탐지로는 신·변종 악성코드 대응 불가
  • 단말 행위에 대한 가시성 부재로 위협 원인 분석 불가능
  • 탐지 이후 대응·복구 프로세스 부재로 피해 확산
  • 보안 솔루션 간 연계 부족으로 통합 관제 어려움
02 — Understanding EDR

EDR 이해하기

EDR은 엔드포인트 행위를 지속 모니터링하고 위협을 탐지·분석·대응하는 통합 보안 솔루션입니다. 보안 현장의 CCTV와 같은 역할을 합니다.

01

위협 잠복 기간 최소화

탐지되지 않은 채 잠복하는 시간(Dwell Time)을 단축하여 피해를 최소화합니다.

02

기존 솔루션 연계

EPP(V3), MDS, SIEM/SOAR 등 기존 보안 인프라와 유기적으로 연동합니다.

03

지속적인 모니터링

파일, 프로세스, 레지스트리, 네트워크 활동을 24/7 실시간으로 기록합니다.

04

엔드포인트 가시성

단말의 모든 행위를 가시화하여 위협의 전체 맥락을 파악합니다.

도입 전·후 비교

구분도입 전도입 후 (AhnLab EDR)
위협 탐지시그니처 기반, 알려진 위협만행위 기반 + 머신러닝으로 미지의 위협까지
가시성탐지 이벤트 로그만 확인프로세스, 파일, 레지스트리, 네트워크 전체 추적
분석수동 로그 분석, 전문 인력 필요MITRE ATT&CK 매핑, 다이어그램·타임라인 자동 분석
대응개별 솔루션별 수동 대응네트워크 격리, 프로세스 종료, 롤백까지 자동
복구백업 기반 수동 복구Windows VSS 기반 파일 자동 복원
03 — AhnLab EDR

솔루션 소개

엔드포인트 행위 정보를 수집·탐지·분석·대응하는 차세대 위협 대응 솔루션. 국내 보안 환경에 최적화된 탐지 역량과 직관적인 분석 도구를 제공합니다.

최적화된 정보 수집

엔드포인트 성능에 영향을 최소화하면서 위협 탐지에 필요한 행위 정보를 효율적으로 수집합니다.

중앙 집중 관리

AhnLab EPP 플랫폼 기반으로 EDR과 V3를 하나의 콘솔에서 통합 운영합니다.

전문 EDR Analyzer

위협 분석 전문 콘솔에서 다이어그램, 타임라인, 주요 행위를 직관적으로 분석합니다.

EPP 통합 에이전트

AhnLab Security Agent 하나로 V3 + EDR을 동시 운영, 설치·관리 부담을 최소화합니다.

MITRE ATT&CK Evaluation · Round 4
83/90
Wizard Spider & Sandworm 시뮬레이션에서
90개 Step 중 83개를 탐지, 90% 이상의 탐지율 기록
04 — Key Features

주요 기능

위협 분류부터 다이어그램 분석, 머신러닝 탐지, 자동 대응, 롤백까지 — EDR 운영에 필요한 모든 기능을 제공합니다.

탐지 타입별 위협 분류

  • Malware, Suspicious, Custom 타입별 분류
  • 알려지지 않은 의심 행위/패턴 기반 위협 탐지
  • IOC/Yara/정적 규칙 기반 사용자 정의 분류

다이어그램 분석

  • MITRE ATT&CK 기준 16가지 위협 행위 유형 매핑
  • 프로세스 실행 순서 및 시간 행위 흐름 순서도
  • Host/관리자 대상 뷰 및 상세 정보 제공

타임라인 분석

  • 행위별(Alerting) 타임라인 정보 제공
  • 주요 행위, 일반 행위, Artifacts 기준 분류
  • 필터/조건 조합으로 정밀 분석

주요 행위 분석

  • MITRE ATT&CK Technique/Sub-Technique 분류
  • 외부 참조 링크(ATF, VT, Google) 연계
  • 프로세스 트리 On-Demand 분석

사용자 정의 규칙

  • IOC, Yara, 400개+ 동적/정적 조건 조합
  • 위협도·진단명·알림 메시지 설정
  • 그룹/사용자별 규칙 탐지 시 자동 대응

머신러닝 탐지

  • ASD 클라우드 5억+ 데이터 기반 학습
  • 이상탐지 대비 낮은 오탐률
  • 10개+ 모델 평가 후 최적화 모델 자동 선정

능동적 대응

  • 수동: 네트워크 격리, 파일 격리/수집, 프로세스 종료
  • 자동: 해시/IOC/행위탐지 규칙 기반 자동 차단
  • EP 연계: V3 업데이트, 격리/치료, EMS 패치 관리

롤백 기능

  • Windows VSS 기반 파일 복원
  • 랜섬웨어 암호화 이전 시점 자동 복구
  • 그룹/개인별 복원 상태 및 이력 관리
Integration

솔루션 연동

V3, MDS, SIEM/SOAR과의 유기적 연동으로 보안 운영 효율을 극대화합니다.

V3 연동

On-Demand 분석으로 Kimsuky, TA505, Tonto, OceanLotus 등 APT 그룹 탐지

AhnLab MDS

의심 파일 동적/정적 분석 요청, Hash 기반 + 파일 수집 분석 결과 확인

SIEM & SOAR

Syslog(CEF, UDP/TCP/SSL) 및 API 연동으로 위협 인텔리전스 통합 관제

EP 솔루션 연계 — One Agent

  • V3 — 악성코드 탐지/치료 차단
  • EDR — 알림, 네트워크 격리, 악성코드 차단, 파일/프로세스 제어
  • EPM — Privacy 및 매체 제어 정책
  • ESA — 보안 취약점 점검 및 개선
05 — EDR Premium

전문가 관제 서비스 (MDR)

다년간 축적된 분석 경험을 가진 전문가가 원격으로 위협을 판단하고, 직접 대응까지 진행하는 Managed Detection & Response 서비스입니다.

위협 탐지

  • 위협도(경고, High) 기준 실시간 탐지
  • Working Hours 보안 관제
  • 알려지지 않은 의심 행위 자동 탐지

전문가 분석 & 대응

  • 위협별 행위 분석
  • 엔드포인트·네트워크 연계 분석
  • 네트워크 차단, 프로세스 종료, 파일 삭제

보고서

  • 1차 초기 대응 보고서
  • 2차 상세 분석 보고서
  • 월간 통계 보고서
  • 최신 보안 동향 정보

MDR 아키텍처

  • 고객사 EDR 로그 → 전용회선 / API(HTTPS) → 안랩 MDR 관제센터
  • Sefinity AIR — 중복 로그 예외 처리, 수신 로그 전처리
  • Sefinity SIEM — 통합 로그 분석, 상관관계 분석
  • PlayBook 자동화 — 분석 대상 자동 정의, 프로세스 자동화
06 — Use Case

실전 활용 사례

MITRE ATT&CK 매트릭스를 대입한 실제 공격 시나리오에서 AhnLab EDR이 각 단계에서 어떻게 대응하는지 보여줍니다.

Step 1 · 초기 침투

스피어피싱을 통한 악성코드 배포 및 실행

인력 관리에 대한 스피어피싱 이메일 발송, 악성코드 다운로드 후 실행

EDR: 프로세스 실행 탐지, 이벤트 발생 및 로그 확인
Step 2 · C&C 연결

시스템 정보 수집 및 C&C 서버 접속

DLL 기반 악성 에이전트 설치, C&C 서버 통신 수립

EDR: C&C 서버 접속 탐지, 네트워크 연결 로그 기록
Step 3 · 내부 이동

RDP Brute Force를 통한 Lateral Movement

내부 시스템 자격 탈취, Base64 인코딩 스크립트로 C&C 서버 재접속

EDR: RDP Brute Force 감지, 해당 PC ARS 차단
Step 4 · 백도어 등록

레지스트리 키 값 변경으로 지속성 확보

작업 스케줄러, 레지스트리 경로에 백도어 등록

EDR: 비정상 레지스트리 등록 탐지, 스케줄러 차단
Step 5 · 데이터 유출

수집된 파일·자격 증명 외부 전송

민감 데이터를 외부로 전송하여 유출 시도

EDR: 비정상 데이터 전송 탐지, 네트워크 격리 대응
Step 6 · 흔적 삭제

자가삭제 스크립트 실행

파일, 로그, 프로세스, 이벤트로그 삭제 시도

EDR: 삭제와 무관하게 수집된 행위 로그로 포렌식 가능

보안운영 활용 사례

위협 인텔리전스 기반 탐지

기존: IoC 정보가 있어도 활용할 방법 없음
외부 위협 IoC를 활용한 선제 대응 기반 마련

악성코드 분석/대응/리포트

기존: 단일 탐지만 가능, 보안 관리자 부담 가중
EDR 분석 내용 기반 보고서 즉시 작성 가능

침해 패턴 분석 & 보안 정책

기존: 보안 정책이 강화되지 않는 반복적 구조
실시간 데이터로 EPP/EDR 자동탐지 정책 적용

침해 사고 조사 및 분석

기존: AV 기반 단순 IOC 진단만 가능
악의적 행위 가시성 확보, 사고 분석 자동화

랜섬웨어 피해 대응

기존: 감염 후 복구 솔루션 부재
VSS 기반 롤백으로 랜섬웨어 피해 자동 복구

SOC 운영 효과 극대화

기존: SIEM/SOAR 연동 불가
SIEM API 연동, MTTD/MTTR 지표 개선
Appendix

EDR 연계 서비스

악성코드 전문가 분석

국내 최고 전문 분석가들이 유입된 악성코드의 기능과 특성을 직접 상세 분석하여 최적의 대응 방안을 제공합니다.

  • 분석 결과 보고서 (기능·특성별 상세)
  • 긴급별 우선 안건 투수 가능

A-FIRST 포렌식 서비스

차별적인 기술력과 전문성을 기반으로 침해사고를 분석하고 최적의 대응 방안을 제시하는 전문 디지털 포렌식 서비스입니다.

  • 침해 경로 분석 및 대응
  • 디지털 포렌식 분석 서비스

안랩 통합 에이전트 아키텍처

  • Network (AIPS) — 시그니처 기반 탐지 + MDS 샌드박스 분석
  • Endpoint (V3) — 시그니처 기반 실시간 차단 + MDS Agent 의심 행위 추적
  • Endpoint (EDR) — 행위 기반 위협 탐지 + 종합 분석 및 대응
  • V3 + MDS Agent + EDR = 엔드포인트 통합 에이전트

엔드포인트 보안,
AhnLab EDR로 시작하세요

행위 기반 탐지 · MITRE ATT&CK 검증 · 머신러닝 분석 · 전문가 MDR 서비스

더 많은 인사이트 보기