NDR은 네트워크 상의 이상 징후를 탐지하고 대응하는 보안 솔루션을 말한다. 최근 사내 네트워크 보안 향상에 높은 효과가 있어 주목받고 있다. 이 글에서는 NDR의 기능, 장단점 등을 자세히 설명한다. 악성코드의 침입 경로와 피해 상황을 파악하기 위한 NDR 조사에 대해서도 설명한다.
NDR은 'Network Detection and Response'의 약자로, 네트워크 상의 이상행동이나 위협을 탐지하고 신속하게 대응하기 위한 보안 대책을 의미한다. 지금 NDR이 주목받는 배경과 필요한 이유, 그리고 NDR의 구체적인 기능과 효과에 대해 알아본다.
NDR이 필요한 배경에는 다음과 같은 현황과 과제를 들 수 있습니다. 첫째, 사이버 공격의 증가와 고도화입니다. 날마다 새로운 공격 기법은 기존의 보안 대책으로는 탐지하기 어렵고, 기존의 방법으로는 대응이 늦어질 위험이 있습니다. 네트워크의 취약점을 노린 사이버 공격은 최근 트렌드 중 하나인데, NDR은 네트워크 상의 이상 징후를 탐지하기 때문에 이러한 공격을 조기에 발견할 수 있습니다.
두 번째는 IoT 디바이스의 증가와 클라우드화의 진행이다. 기업의 네트워크 환경이 복잡해지고 있는 현실과 클라우드 서비스 이용, 모바일 기기의 증가 등도 배경이 되고 있다. 재택근무의 급속한 확산으로 직원들이 자택 등에서 네트워크에 접속할 기회가 많아진 것도 보안 위험으로 이어지고 있다. 네트워크 전체를 모니터링하고 이상 징후를 탐지하는 NDR은 기존 보안 시스템만으로는 커버할 수 없는 영역까지 대응할 수 있을 것으로 기대되고 있다.
NDR에 포함된 기능으로는 통신 패턴을 수집 및 분석하여 네트워크 트래픽을 가시화하고, 평소와 다른 행동을 감지하여 알림, 발생한 위협을 분석하는 기능 등이 있다. 사내 네트워크 트래픽을 종합적으로 모니터링하여 관리자의 실시간 대응을 돕는다.
NDR은 비정상적인 접근이나 방대한 양의 데이터 전송 등 비정상적인 트래픽을 감지하면 실시간으로 경보를 생성해 보안 담당자에게 알려준다. 통신 경로, 관련 기기, 사용자 정보 등을 신속하게 수집해 일반적인 보안 대책만으로는 탐지하기 어려운 위협을 조기에 발견하고 공격 방식과 침입 경로를 파악할 수 있어 다양한 보안 사고에 적절하고 신속하게 대응할 수 있다.
NDR과 밀접한 관련이 있는 시스템으로 EDR을 들 수 있는데, NDR과 EDR 각각의 기능과 특징, 연관성에 대해서도 알아둘 필요가 있다.
EDR은 'Endpoint Detection and Response'의 약자로, 디바이스나 단말 등의 엔드포인트에 대해 이상 징후를 탐지하고 대응하는 보안 대책을 말한다. 네트워크 상의 통신이나 트래픽에 대한 이상 징후를 탐지하는 NDR과는 대응 범위와 대상이 다르며, 엔드포인트의 이벤트와 로그, 프로세스 실행 정보 등을 수집하고 분석하는 도구이다. 실시간성은 EDR도 마찬가지이며, 특정 엔드포인트의 이상 징후를 탐지하고 이를 보호하고 보안 사고에 대응하기 위한 도구로 기대할 수 있다.
→관련기사] EDR과 EPP(안티바이러스)의 차이점은? 엔드포인트 보안 대책 설명
NDR 제품을 도입할 때 어떤 장점과 단점이 있는지 각각 설명합니다.
NDR 제품 도입의 장점 중 하나는 '실시간 위협 탐지'입니다. 네트워크 상의 이상행위를 실시간으로 탐지하는 NDR은 이상행위를 탐지하면 즉시 경보를 생성해 보안 담당자에게 알려준다. 사이버 공격이나 침해가 발생하기 전에 조기에 탐지할 수 있다. 피해를 최소화할 수 있어 예방 측면에서도 많은 이점이 있다.
또 다른 큰 장점은 '사고 대응의 신속화 및 인력 절감'이다. 사이버 공격을 완전히 예방하는 것은 어렵기 때문에 피해를 입었을 때 신속하게 대응하는 것이 중요하게 여겨지고 있다. 이상 징후 탐지부터 탐지된 위협 분석에 이르기까지 정보시스템 부서의 경보 대응에 소요되는 시간이 줄어들어 공수 절감에도 기여합니다.
한편, NDR 제품 도입 시 주의해야 할 점은 '도입 및 운영 비용 부담 증가'이다. 대응 범위와 가격은 제품에 따라 다르지만, 도입 시 제품 라이선스, 소프트웨어 업데이트 등에 대한 비용이 발생한다.
도입과 이후 운영에는 '고도의 전문 기술이 필요하다'는 점도 주의해야 할 점입니다. 사내에 전문 지식과 경험을 가진 인력이 없는 경우, 교육에 대한 투자나 아웃소싱을 고려해야 한다.
NDR 조사를 통해 내부 네트워크의 트래픽 로그를 조사하면 악성코드 등의 침입 경로와 피해의 영향 범위를 파악할 수 있다.
통신 데이터와 패킷의 활동을 실시간으로 분석하여 악성코드에 의한 통신이나 의심스러운 파일 전송을 탐지합니다. 알림을 받고 조사하여 침입 경로를 신속하게 파악할 수 있습니다. 네트워크 내 피해 확산을 억제할 수 있습니다.
네트워크 상의 취약점이나 보안 허점을 탐지하여 피해의 영향 범위를 쉽게 파악할 수 있습니다. 외부로부터의 부정 접근뿐만 아니라 직원이나 관계자에 의한 내부 위협도 탐지합니다. 원인과 함께 영향 범위 파악을 원활하게 수행할 수 있습니다.
전 세계적으로 보안 피해가 지속적으로 증가하고 있으며, 그 중에서도 네트워크의 취약점을 노린 사이버 공격은 최근 트렌드 중 하나다. 업무에 사용하는 정보는 날로 위험에 노출되고 있으며, 많은 기업들이 남의 일로 치부할 수 없는 것이 요즘 사이버 공격의 현실이다. 사이버 공격으로부터 기업을 보호하기 위해서는 그에 상응하는 조치를 취해야 한다.
사이버 공격에 적절히 대응하기 위해서는 사내 담당자의 조사만으로는 어려움이 있기 때문에 최신 정보와 실적을 보유한 전문 조사기관에 의뢰하는 것이 안전하다. FRONTEO의 '사이버 보안 조사 패키지'는 유사시 필요한 최소한의 조사를 모아 패키지로 구성한 것이다. 사이버 보안 조사에 대한 폭넓은 실적을 보유한 프론테오가 제공하는 초기 대응에 필요한 고품질 조사 패키지로, 복잡해지는 사이버 공격에도 대응할 수 있는 조사 패키지입니다.
다양한 사고에 대응 가능한 '사이버 보안 조사 패키지'는 NDR 조사에서도 효과를 발휘한다. 유사시 피해를 최소화하기 위해서는 신속한 초동조사가 필요하다. 평상시부터 전문가와 함께 미리 준비해두면 신속하고 정확한 문제 해결에 도움이 된다. 우선 자사에 필요한 대비와 대책을 프론테오와 상담해보는 것은 어떨까.
→ 【관련 기사】사이버 보안 조사 패키지 '사이버 보안 조사 패키지' 서비스 사이트