핵심 POINT
해킹 피해를 줄이기 위해서는 보안 장비를 늘리는 것보다 탐지·분석·대응 시간을 줄이는 운영 체계 구축이 중요합니다.
중소·중견기업 침해사고 분석 결과 평균 106.1일의 탐지 지연이 확인됐으며, 최초 침투의 53.2%는 야간 시간대에 발생했습니다.
MDR과 EDR, 보안관제를 함께 활용하면 사이버공격 탐지부터 대응까지 보다 빠른 보안 운영 체계를 구축할 수 있습니다.
AI와 클라우드 전환이 빠르게 확산되면서 기업의 IT 환경은 더욱 복잡해지고 있습니다. 데이터와 시스템이 온프레미스, 클라우드, 외부 SaaS 환경으로 분산되고 AI 활용 범위까지 확대되면서 공격자가 노릴 수 있는 공격 표면(Attack Surface) 역시 빠르게 증가하고 있습니다.
문제는 이러한 변화가 대기업뿐 아니라 중소·중견기업에도 동일하게 영향을 미친다는 점입니다. 상대적으로 보안 인력과 예산이 부족한 중소기업은 해킹 위협을 발견하고 대응하는 과정에서 한계를 겪기 쉽습니다. 최근 사이버공격 트렌드 역시 이러한 보안 공백을 집중적으로 노리고 있습니다.
SK쉴더스 탑서트(Top-CERT)가 최근 5년간 중소·중견기업 침해사고를 분석한 결과, 최초 침투부터 침해 사실을 인지하고 조사에 착수하기까지 평균 106.1일이 소요된 것으로 나타났습니다. 최장 사례는 700일에 달했으며, 전체 사고의 32.6%는 90일 이상 탐지되지 않은 상태로 유지됐습니다.
이는 단순히 탐지가 늦었다는 의미가 아닙니다. 공격자는 이 기간 동안 추가 계정을 확보하고 내부 시스템 구조를 파악하며 중요 데이터와 백업 환경을 분석할 수 있습니다. 랜섬웨어 공격의 경우 암호화 이전 단계에서 이미 내부 확산과 정보 유출이 진행됐을 가능성도 있습니다.
결국 해킹 대응의 핵심은 침입을 완벽하게 차단하는 것이 아니라 침해 징후를 얼마나 빠르게 발견하고 대응할 수 있는지에 달려 있습니다. 특히 최초 침투의 53.2%가 오후 6시부터 오전 5시 사이 야간, 심야 시간대에 발생했다는 점은 근무시간 중심의 보안 운영만으로는 한계가 있음을 보여줍니다.
■ 탐지 속도에서 갈리는 해킹 피해, MDR이 필요한 이유
이미지 출처 : Magnific
MDR(Managed Detection & Response)은 EDR 등 보안 솔루션에서 탐지된 이벤트를 24x365 분석하고, 실제 위협 여부를 판단한 뒤 위협 헌팅과 대응까지 수행하는 구독형 보안 전문가 서비스입니다. 많은 기업이 보안 솔루션을 도입하고 있지만 실제 사고로 이어질 수 있는 위협을 선별하고 대응하는 과정에는 여전히 어려움을 겪고 있습니다. 바로 이 지점을 MDR이 보완합니다.
예를 들어 야간 시간대 특정 단말에서 PowerShell 실행, 대량 파일 접근, 외부 C2(Command & Control) 서버 통신이 동시에 발생했다면 단순 경고 알림만으로는 충분하지 않습니다. 해당 행위가 랜섬웨어 전조인지, 계정 탈취 이후 내부 확산 단계인지, 정상적인 운영 작업인지 빠르게 판단해야 합니다.
MDR은 수집된 이벤트를 분석해 우선순위를 정하고 단말 격리, 악성 행위 차단, 침해사고지표(IoC) 확인, 피해 범위 분석 등 실제 대응 단계까지 연결합니다. 따라서 MDR은 보안 장비를 추가하는 개념이 아니라 탐지와 대응 시간을 단축하기 위한 운영 모델이라고 볼 수 있습니다. 특히 자체 보안 인력 확보가 어려운 중소기업에게 MDR은 현실적인 보안 운영 방안이 될 수 있습니다.
■ EDR만으로 충분하지 않나요? EDR과 MDR의 차이
이미지 출처 : magnific
EDR(Endpoint Detection & Response)은 PC와 서버 같은 엔드포인트에서 발생하는 이상 행위를 수집하고 분석하는 보안 기술입니다. 예를 들어 비정상적인 프로세스 실행이나 의심스러운 파일 생성, 권한 상승 시도 등을 탐지하는 역할을 수행합니다.
하지만 EDR이 모든 문제를 해결해 주는 것은 아닙니다. 수많은 경보 가운데 어떤 이벤트가 실제 침해와 연결되는지 판단하고, 어떤 대응이 필요한지 결정하는 과정은 별도의 분석 역량이 필요합니다. 이 때문에 많은 기업들이 EDR과 MDR을 함께 운영합니다.
EDR이 위협을 발견하는 역할을 수행한다면 MDR은 해당 경보를 분석하고 실제 사고 여부를 판단해 대응 방향을 제시하는 역할을 담당합니다. 최근 해킹 기법이 고도화될수록 탐지 이후 대응 속도의 중요성은 더욱 커지고 있습니다.
실제 SK쉴더스는 사이버보안 관제센터 시큐디움(Secudium)을 기반으로 EDR 기술을 활용한 포렌식 분석을 수행하고 있습니다. 이를 통해 악성코드 유입 경로와 피해 범위를 파악하고 추가 확산을 차단할 수 있도록 지원합니다.
■ 사이버공격은 어디서 시작되는 걸까?
중소·중견기업 침해사고 분석 결과 주요 사고 유형은 랜섬웨어(44.9%)와 정보유출(42.9%)로 나타났습니다. 초기 침투 경로는 애플리케이션 취약점(20.8%), 파일 업로드 취약점(18.9%), VPN 취약점(15.4%) 순으로 확인됐습니다.
실제 사례를 살펴보면 악성메일과 워터링홀 공격을 통해 내부 데이터가 유출되거나, 무차별 대입 공격으로 탈취된 계정이 랜섬웨어 감염으로 이어진 사례도 확인됩니다. 또한 협력사 보안 취약점을 경유한 공급망 공격으로 서버에 악성코드가 설치된 사례도 발생했습니다. 이처럼 최근 사이버공격은 특정 산업이나 기업 규모를 가리지 않고 발생하고 있습니다.
따라서 기업은 모든 자산을 동일한 수준으로 관리하기보다 업무 중단과 데이터 유출 가능성이 높은 자산부터 우선 관리해야 합니다. VPN 계정과 원격접속 계정, 관리자 계정, 외부 공개 웹 서비스, 파일 업로드 기능은 대표적인 점검 대상입니다.
공격자는 기업 규모보다 노출된 취약점과 침투 가능한 계정을 먼저 찾습니다. AI 기술 발전과 함께 자동화된 해킹 시도가 늘어나는 환경에서는 이러한 기본 보안 관리의 중요성이 더욱 커지고 있습니다.
■ 공격 표면부터 줄이기 위한 ASM
이미지 출처 : magnific
AI 활용 확대와 클라우드 환경 전환으로 기업이 관리해야 하는 외부 노출 자산은 계속 증가하고 있습니다. 웹 서비스, 서버, 클라우드 자산, 계정 등은 모두 공격자의 진입 지점이 될 수 있습니다.
ASM(Attack Surface Management)은 이러한 외부 노출 자산을 식별하고 취약점을 점검하는 공격 표면 관리 체계입니다. 공격자가 볼 수 있는 서버, 포트, URL, 클라우드 자산을 사전에 파악하고 관리함으로써 잠재적인 보안 위험을 줄일 수 있습니다.
MDR이 침투 이후 이상 행위를 탐지하고 대응하는 체계라면 ASM은 침투 가능성을 낮추는 예방 중심의 보안 체계라고 볼 수 있습니다. 특히 AI보안이 중요해지는 환경에서는 탐지와 대응뿐 아니라 공격 표면을 줄이는 사전 관리 역시 함께 이뤄져야 합니다.
■ 보안관제의 역할, 공격은 근무시간만 노리지 않는다
이미지 출처 : magnific
효과적인 해킹 대응 체계를 구축하기 위해서는 보안관제 운영이 필수적입니다. 실제로 침해사고 상당수가 야간 시간대에 발생하고 있으며, 경보를 확인하고 분석하는 과정이 지연될수록 피해 규모도 커질 수 있습니다.
보안관제는 다양한 보안 이벤트를 실시간으로 모니터링하고 이상 징후를 식별하는 역할을 수행합니다. 여기에 MDR이 결합되면 탐지된 이벤트에 대한 분석, 위협 판단과 대응 지원까지 연결할 수 있습니다. 또한 보안관제 효과를 높이기 위해서는 핵심 자산과 로그 수집 범위를 명확히 정의해야 합니다. 업무 서버, 임직원 단말, VPN, 방화벽, 관리자 계정, 중요 SaaS 계정 등 사고 영향도가 높은 자산을 우선 관리 대상으로 지정하는 것이 좋습니다. 이와 함께 대응 승인 체계, 백업 및 복구 절차, 외부 노출 자산 관리 체계까지 함께 점검해야 보다 효과적인 보안관제 운영이 가능합니다.
■ SK쉴더스가 제안하는 해킹 대응 전략
이미지 출처 : magnific
중소·중견기업에 가장 시급한 과제는 모든 보안 영역을 단기간에 고도화하는 것이 아닙니다. 실제 해킹 공격이 발생했을 때 신속하게 탐지하고 대응할 수 있는 보안 운영 체계를 확보하는 것이 우선입니다.
SK쉴더스는 사이버보안 관제센터 시큐디움(Secudium)과 침해사고 대응 전문 조직 탑서트의 분석 역량을 기반으로 MDR과 ASM 서비스를 제공하고 있습니다.
실제 침해사고 분석 과정에서 확보한 공격 기법과 침해사고지표(IoC)를 보안관제에 반영해 중소·중견기업이 제한된 인력과 예산 안에서도 효과적인 보안 체계를 운영할 수 있도록 지원합니다.
AI 시대의 해킹은 더욱 빠르고 자동화되고 있습니다. 이제 기업 보안의 핵심은 침입을 완벽하게 차단하는 것이 아니라 침해 징후를 얼마나 빠르게 발견하고 대응할 수 있는지에 있습니다.
EDR 기반 탐지 체계와 MDR 운영 서비스, 그리고 ASM을 통한 공격 표면 관리가 함께 구축될 때 기업은 보다 효과적인 보안 대응 체계를 운영할 수 있습니다.
자주 묻는 질문
Q. 이미 보안 솔루션을 사용하고 있는데도 MDR이 필요한가요?
A. 네. 방화벽이나 백신, EDR 같은 보안 솔루션은 위협을 탐지하고 경보를 발생시키는 역할을 합니다. 하지만 모든 경보가 실제 해킹 사고를 의미하는 것은 아닙니다. MDR은 수집된 이벤트를 분석해 실제 위협 여부를 판단하고 대응까지 지원함으로써 해킹 대응 역량을 강화하는 데 도움을 줍니다.
Q. EDR과 MDR은 어떤 차이가 있나요?
A. EDR은 PC와 서버 등 단말에서 발생하는 의심 행위를 탐지하고 기록하는 보안 기술입니다. 반면 MDR은 EDR을 비롯한 다양한 보안 데이터를 분석해 실제 침해 가능성을 판단하고 대응 방향까지 제시하는 관리형 서비스입니다. 많은 기업이 EDR과 MDR을 함께 활용해 해킹 탐지와 대응 역량을 높이고 있습니다.
Q. 보안관제와 MDR은 같은 서비스인가요?
A. 보안관제는 다양한 보안 이벤트를 24시간 모니터링하고 이상 징후를 식별하는 활동을 의미하며, MDR은 보안관제를 기반으로 탐지된 이벤트를 분석하고 위협을 판단한 뒤 대응까지 수행하는 전문가 서비스입니다. 따라서 MDR은 보안관제를 기반으로 실제 해킹 사고 대응까지 지원하는 전문 서비스로 볼 수 있습니다.
Q. MDR과 ASM은 어떻게 다른가요?
A. MDR은 내부 시스템에서 발생하는 이상 행위를 탐지·분석하고 대응하는 데 초점을 둡니다. 반면 ASM(Attack Surface Management)은 외부에 노출된 서버, 웹 서비스, 클라우드 자산, 취약점을 공격자 관점에서 식별하고 관리합니다. 두 서비스를 함께 활용하면 해킹 노출 가능성을 줄이고 침투 이후 대응 속도도 높일 수 있습니다.
Q. 중소기업은 해킹 대응을 어디서부터 시작해야 하나요?
A. 모든 시스템을 한 번에 보호하려 하기보다 핵심 업무 서버, 임직원 단말, VPN 및 관리자 계정, 외부 공개 웹 서비스부터 우선 점검하는 것이 좋습니다. 이후 EDR, MDR, 보안관제를 단계적으로 적용하면 제한된 예산 안에서도 보다 체계적인 해킹 대응 체계를 구축할 수 있습니다.
