콘텐츠로 바로가기
HY_TECH_BASE

Endpoint Detection (EDR)

각각의 하드웨어 단말(Endpoint)에서 일어나는 비정상적인 행위를 실시간으로 감시하고, 머신러닝 분석을 통해 지능적 위협을 색출하는 차세대 엔드포인트 보안 물리학을 다룹니다.

sys.entry
M

Me

hyunyoun's Blog

posts7 min read

1. Overview

엔드포인트 탐지 및 대응(Endpoint Detection & Response, EDR)은 단순히 "바이러스가 있는지" 검사하는 수준을 넘어, 서버나 PC 등 개별 하드웨어 단말 내부에서 벌어지는 모든 미세한 물리적 행위(프로세스 생성, 파일 수정, 네트워크 연결)를 수리적으로 기록하고 위협의 꼬리를 잡는 '하드웨어 블랙박스 공학'입니다.

학습자는 알려진 파일 패턴 위주로 막는 **전통적 안티바이러스(AV)**의 한계를 이해하고, "이 파일이 하드웨어에서 무슨 짓을 하는가"에 집중하는 **행위 기반 분석(Behavioral Analysis)**의 물리학을 배웁니다. 특히, 침해 사고 발생 시 해커가 어떤 물리적 경로로 들어와 어떤 데이터를 만졌는지 역추적하는 **위협 헌팅(Threat Hunting)**의 수리적 수순을 익힙니다. 이를 통해 수만 대의 하드웨어가 흩어져 있는 대규모 기업 환경에서도 단 하나의 비정상 징후를 놓치지 않는 하이엔드 엔드포인트 거버넌스 역량을 확보합니다.

2. Scope & Boundaries

In-Scope

  • Telemetry Collection: 커널 수준의 이벤트(Process, Registry, File) 물리 수집 기제
  • Behavior-based Detection: 정상 범주를 벗어난 수치적 이상 행위 식별 (예: 갑작스러운 대량 파일 암호화)
  • Incident Investigation: 사고 시점의 하드웨어 물리 상태 타임라인 재구성
  • Response Actions: 감염된 단말의 네트워크 강제 격리 및 프로세스 수리 종료
  • Endpoint vs XDR: 단말 보안(EDR)이 네트워크 및 이메일(XDR)과 결합되는 수리적 확장 경로

Out-of-Scope

  • 악성코드 파일 자체를 분해하여 코드를 읽는 리버스 엔지니어링 상세 (10-XX-XX 영역으로 이관)
  • 단말기 하드웨어 자체의 물리적 도난 방지 및 관리 (IT 자산관리 영역으로 위임)

Boundaries

  • EDR vs. AV: AV(Antivirus)가 '알려진 나쁜 놈(Signature)'을 입구에서 막는 경비원이라면, EDR은 '건물 안으로 들어온 누군가가 수상한 짓을 하는지 24시간 따라다니며 기록하는 CCTV'로 구분합니다.

3. Counterexample

  • 단순히 "백신 최신 버전 유지"라 설명하는 것은 EDR 학습이 아닙니다. 왜 EDR 솔루션이 수집하는 초당 수만 개의 로그 데이터가 운영 하드웨어의 CPU 및 디스크 I/O에 미치는 물리적 오버헤드를 수리적으로 제어할 수 있어야 하며, **파일리스 공격(Fileless Attack)**과 같이 물리 디스크에 흔적을 남기지 않고 메모리 상에서만 일어나는 수리적 공격을 탐지하는 '메모리 인스펙션'의 원리를 논증하지 못한다면 EDR의 본질을 이해하지 못한 것입니다.

4. Prerequisites

  • Operating Systems & System Mechanics (Basic): 03-01-XX의 프로세스, 스레드, 시스템 콜(System Call) 물리 구조 이해가 필수입니다.
  • Observability & Telemetry Physics (Recommended): 09-04-01의 로그 구조화 및 시계열 데이터 추적 이해가 권장됩니다.

5. Learning Map

  1. The Pulse of Device: 하드웨어 단말 내부에서 일어나는 모든 숨소리(Event)를 기록하는 법을 배웁니다.
  2. Beyond Signatures: 파일 이름이 아닌 '행동의 물리 수치'를 보고 악성 여부를 판단하는 지표를 수립합니다.
  3. Ghost Tracking: 해킹된 흔적을 따라가며, 침입자가 어떤 문을 열고 들어왔는지 수리적 경로를 복원합니다.
  4. Autonomous Triage: 위협 발견 즉시 시스템 스스로 감염된 기기를 격리하고 수술하는 하이엔드 대응 체계를 완성합니다.

6. Learning Topics

Basic

Core: 엔드포인트의 범위와 수집 데이터 (Data Acquisition)

  • Why to Learn: 보안의 마지막 방어선인 개별 하드웨어 기기에서 무슨 일이 일어나는지 수치로 알기 위해서입니다.
  • What to Learn:
    • Endpoint Definition: 서버, 노트북, 모바일, IoT 등 모든 물리적 끝점
    • Event Telemetry: 프로세스 실행, 네트워크 소켓 연결, 파일 쓰기 물리 기록
    • Agent Physics: 단말 내부에서 자원을 적게 쓰면서 데이터를 올리는 저수준 물리 기제
  • How to Learn:
    • Sysmon을 윈도우에 설치하고, 메모장을 켰을 때 발생하는 'Process Create' 이벤트의 수리적 세부 데이터(PID, Parent) 확인 실습
    • 기기 한 대가 하루에 생성하는 보안 로그의 물리적 용량(GBGB)을 계산하고 보관 비용 산출
  • Implement: 현재 실행 중인 프로세스의 트리 구조를 출력하는 기초 ProcessObserver

Core: 행위 기반 탐지와 머신러닝 (Behavioral Insight)

  • Why to Learn: 해커가 파일명을 바꾸거나 암호화하여 백신을 속일 때, 그들의 '수법'을 수리적으로 잡아내기 위함입니다.
  • What to Learn:
    • IOA (Indicator of Attack): 공격이 진행 중임을 나타내는 수리적 실시간 징후
    • Base-lining: 평소 사용자의 하드웨어 사용 패턴을 통계적 정규분포로 정의
    • ML Clustering: 수조 개의 이벤트 속에서 '희귀한 물리적 사건'을 찾아내는 알고리즘
  • How to Learn:
    • 랜섬웨어가 파일을 암호화하는 속도(IOPSIOPS)를 시뮬레이션하고, 특정 수치를 넘을 때 시스템이 이를 '공격'으로 수리 확정하는 수순 연구
    • 웹 브라우저가 갑자기 'CMD.exe'를 실행하는 등의 물리적 연쇄 행위 차단 실습
  • Implement: 특정 행동 패턴(예: 대량 파일 삭제) 감지 시 점수를 매기는 RiskEvaluator

Practical

Core: 가시성 확보와 침해 사고 추적 (Forensics & Hunting)

  • Why to Learn: "언제부터 뚫렸나?"라는 질문에 수리적이고 물리적인 증거로 대답하기 위해서입니다.
  • What to Learn:
    • Root Cause Analysis (RCA): 최초 침투 지점(Patient Zero)을 찾는 물리 역추적
    • Timeline Analysis: 사고 전후의 시스템 상태를 수리적 선상에 나열
    • Threat Hunting: 공격자가 아직 숨어있을 것이라 가정하고 선제적으로 하드웨어를 수색하는 수순
  • How to Learn:
    • 가상의 해킹 시나리오 로그를 보고, 공격자가 실행한 명령어를 시간순으로 조립하여 물리적 이동 경로 리포트 작성 실습
    • IOC (Indicator of Compromise) 해시값을 전사 하드웨어 기기에 검색하여 추가 감염 단말을 수치적으로 파악하는 훈련
  • Implement: 로그 파일들을 시간순으로 병합하여 특정 프로세스의 부모-자식 관계를 재구성하는 TraceBacker

Advanced

Core: 자동화된 대응과 격리 거버넌스 (Automated Response)

  • Why to Learn: 사람이 대응하기도 전에 위협이 하드웨어를 타고 번지는 '랜섬웨어 확산'의 물리적 속도를 이기기 위함입니다.
  • What to Learn:
    • Network Isolation: 기기의 인터넷을 끊되 보안 서버와만 물리 연결을 유지하는 법
    • Remote Remediation: 원격지 하드웨어의 감염 파일을 수리적으로 삭제/복구하는 기술
    • Sandbox Integration: 수상한 파일을 클라우드 가상 하드웨어에서 먼저 돌려보고 결과를 받는 물리 루프
  • How to Learn:
    • EDR API를 연동하여, 위험 점수가 90점 이상일 때 해당 기기의 방화벽 규칙을 즉각 '전부 차단'으로 수리 변경하는 환경 구축 실습
    • 1만 대의 단말에 동시에 보안 패치를 적용할 때 발생하는 네트워크 하드웨어 부하와 가용성 상관관계 연구
  • Implement: 위험 탐지 직후 프로세스를 죽이고 단말 상태를 스냅샷으로 저장하는 GuardianScript

7. Terminology

Term (EN / ko, abbr) 1문장 정의 단계(기본/권장/실무/심화) 역할/맥락 관련 개념 유사/대비/함께 사용 오해 포인트 Evidence(Primary/Secondary/Industry) Flags(core)
EDR 엔드포인트 기기에서 데이터를 수집, 분석하여 지능적 위협을 상시 감시하는 물리적 보안 체계입니다. 기본 단말 보안 Telemetry / Hunting Antivirus 단순 차단보다 '탐지'에 강점 P3:CyBOK core
IOC 시스템이 해킹당했음을 증명하는 파일 해시, IP 주소 등의 물리적/수리적 흔적 지표입니다. 추천 사고 증거 Footprint / Hash IOA 이미 벌어진 사건의 증거 Industry core
IOA 공격이 현재 진행 중임을 시사하는 수리적/논리적 행위 위주의 침입 징후입니다. 실무 실시간 방어 Behavior / Pattern IOC '파일'이 없어도 성립 가능 Industry core
Fileless Attack 물리 디스크에 파일을 남기지 않고 메모리나 정상 시스템 도구만 이용해 수행하는 하이엔드 수리 공격입니다. 심화 지능형 위협 Memory / Living-off-the-land Malware 백신(AV)이 못 잡는 경우가 많음 Industry core

8. References

Primary

Secondary

  • [Practical Endpoint Security] — Implementation and hunting guide.
  • [The Art of Memory Forensics] — For fileless attack analysis physics.

Industry

  • [Gartner: Magic Quadrant for Endpoint Protection Platforms] — Industry trends.
  • [MITRE ATT&CK Framework] — The global standard for behavior classification.

9. Final Checklist

Primary

  • '전통적 백신'이 '행위 기반 EDR'보다 '파일리스 공격'의 물리적 감지에 왜 취약한지 수리적으로 설명 가능한가? (P3)
  • 'EDR'이 수집하는 '커널 이벤트'가 하위 운영체제 하드웨어 아키텍처와 어떻게 수리적으로 결합되는지 기술할 수 있는 가? (P3)

Secondary

  • '중심성 지표'를 활용해 사고 전후의 프로세스 관계망에서 '공격자의 최초 진입로'를 수치적으로 역추적할 수 있는 가?
  • EDR 에이전트의 리소스 점유율 임계치 설정을 통해 시스템 가용성과 보안 정밀도 사이의 물리적 균형을 제안할 수 있는 가?

Industry

  • 실무 환경에서 '오탐'으로 인해 전사 노트북이 차단되는 사고를 막기 위한 'Safe-listing' 거버넌스 수순을 제안할 수 있는 가? (SFIA)
  • MITRE ATT&CK 매트릭스를 활용해 우리 팀의 EDR 탐지 영역(Coverage)이 어느 물리적 전술에 취약한지 수치 분석할 수 있는 가?

Concepts & Tags

#edr#endpoint-security#malware#behavior-analysis#antivirus#xdr#threat-hunting