NDR의 한계: 해결 불가능한 미션

📡 NDR(Network Detection and Response)은 네트워크 트래픽을 분석해 위협을 탐지하는 기술로 자리 잡았습니다.
하지만 현대 공격은 더 이상 네트워크에서만 드러나지 않습니다.

암호화는 기본이 되었고, 공격자는 정상 트래픽처럼 보이도록 위장하며, 때로는 아예 관찰할 패킷 자체를 최소화합니다.
이 때문에 NDR은 일부 영역에서 유용한 기술일 수 있지만, 그것만으로는 해결할 수 없는 구조적 한계를 안고 있습니다.

이 글에서는 NDR의 작동 원리를 간단히 짚은 뒤, 왜 이 기술이 현대 공격 앞에서 본질적 한계에 부딪히는지, 그리고 이를 보완하려면 어떤 접근이 필요한지 살펴봅니다.

---

1. NDR의 주요 기능과 역할

NDR은 네트워크 트래픽을 실시간으로 분석해 이상 징후를 탐지하고 대응하는 기술입니다.
오늘날 많은 조직이 네트워크 기반 가시성을 확보하기 위해 NDR을 도입합니다.

🔍 주요 기능

1. 트래픽 분석

   • 실시간 네트워크 모니터링
   • 이상 행위 및 비정상 흐름 탐지
   • 머신러닝 및 행위 분석 기반 위협 식별

2. 위협 탐지와 대응

   • 알려진 위협에 대한 시그니처 기반 탐지
   • 알려지지 않은 위협에 대한 이상 징후 분석
   • 자동화된 차단·격리·알림 연계

3. 통합 및 보고

   • SIEM, SOAR, EDR 등과의 연계
   • 네트워크 흐름에 대한 중앙 집중형 가시성 제공

4. 대응 및 완화

   • 위협 확산 전 조기 탐지 시도
   • 침해 사고 대응을 위한 기초 데이터 제공

즉, NDR은 “네트워크에서 무엇이 오가고 있는가”를 보는 데 강점이 있습니다.
문제는, 현대 공격이 반드시 네트워크에서 충분히 드러나지 않는다는 점입니다.

---

2. NDR의 근본적 한계

구분	한계	핵심 이유
① 암호화 트래픽 한계	트래픽이 암호화되면 내용 분석이 어려움	메타데이터만으로는 행위의 실제 의미 파악에 한계
② 정상 위장 공격 탐지 한계	APT, LOTL, 파일리스 공격은 정상처럼 보임	네트워크 흐름만으로 악성 여부 구분이 어려움
③ 데이터 처리 부담	트래픽이 많을수록 분석 비용과 지연 증가	모든 흐름을 깊게 보기 어려움
④ 오탐·미탐 딜레마	민감하게 하면 오탐, 보수적으로 하면 미탐 증가	행위 기반 탐지의 구조적 문제
⑤ 엔드포인트 가시성 부재	네트워크 밖에서 일어난 행위는 직접 보지 못함	프로세스, 계정, 파일, 권한 변화는 별도 계층 필요

이 표의 핵심은 간단합니다.
NDR의 한계는 제품 성능의 문제가 아니라, 관찰 범위의 한계라는 점입니다.

---

3. NDR의 한계 상세 분석

1) 암호화된 트래픽 분석의 한계

현대 네트워크는 TLS를 기본 전제로 움직입니다.
즉, NDR이 보는 것은 점점 더 “내용”이 아니라 “겉모습”이 됩니다.

• 트래픽 길이
• 패킷 간격
• 세션 지속 시간
• 통신 주기
• 대상 IP 및 포트 정보

이런 메타데이터는 분명 의미가 있습니다.
하지만 이것만으로는 요청의 실제 목적, 응답의 내용, 사용자 행위의 맥락까지 알기 어렵습니다.

예를 들어, 정상 API 호출과 악의적 데이터 수집 요청이 유사한 세션 형태를 보일 수 있습니다.
또한 TLS 1.3, QUIC 환경에서는 네트워크 장비 입장에서 해석 가능한 정보가 더 줄어듭니다.

네트워크에서 암호화된 트래픽을 “완벽히 이해”하려는 시도는 구조적으로 제한적일 수밖에 없습니다.
NDR은 유용하지만, 암호화 자체를 무력화할 수는 없습니다.

---

2) 정상처럼 보이는 공격은 네트워크만으로 구분하기 어렵다

현대 공격은 점점 더 정상 도구와 정상 흐름을 가장합니다.

• LOTL(Living-off-the-Land) 공격
• 파일리스 공격
• 정상 계정 탈취 후 내부 시스템 접근
• 정상 관리 도구를 활용한 명령 실행
• 웹 애플리케이션의 정상 기능을 악용한 침해

이런 공격은 네트워크에서 보면 “정상 업무처럼” 보일 수 있습니다.
즉, 악성코드 파일이 분명하게 보이거나, 비정상 포트가 열리거나, 전형적인 시그니처가 드러나는 방식이 아닙니다.

특히 BPFDoor 같은 사례는 이 문제를 극단적으로 보여줍니다.
포트리스(portless), 매직 패킷, 최소 통신 같은 구조는 “탐지해야 할 신호 자체”를 줄여 버립니다.

패킷이 없거나, 있어도 정상처럼 보인다면 네트워크 기반 탐지는 본질적으로 어려워집니다.

---

3) 방대한 데이터 처리 부담

NDR은 네트워크 전체를 폭넓게 본다는 장점이 있지만, 그만큼 처리해야 할 데이터 양도 방대합니다.

• 트래픽이 많을수록 저장 비용 증가
• 세션 수가 많을수록 분석 지연 가능성 증가
• 깊은 분석을 할수록 성능 부담 증가
• 실시간 대응과 장기 보관 사이에서 타협 필요

결국 모든 흐름을 동일한 깊이로 해석하는 것은 쉽지 않습니다.
현실에서는 필터링, 샘플링, 우선순위화가 들어갈 수밖에 없고, 그 과정에서 중요한 신호가 약해질 수 있습니다.

이는 단순한 운영 문제를 넘어, 탐지 전략의 문제로 이어집니다.
무엇을 깊게 볼 것인지 선택하는 순간, 보지 못하는 영역도 함께 생기기 때문입니다.

---

4) 오탐과 미탐의 딜레마

행위 기반 분석은 강력하지만, 언제나 다음 딜레마를 안고 있습니다.

• 민감도를 높이면 오탐(False Positives) 증가
• 기준을 보수적으로 두면 미탐(False Negatives) 증가

정상 사용자도 평소와 다른 행동을 할 수 있습니다.
반대로 공격자는 정상처럼 행동하려고 끊임없이 적응합니다.

이 때문에 NDR이 미세한 통계 차이, 이상 징후, 비정상 흐름에 의존할수록 다음 문제가 커집니다.

• 잘못된 경보 누적
• SOC의 경보 피로(alert fatigue)
• 실제 위협 우선순위 판단 실패
• 운영 자원의 낭비

즉, 문제는 단순히 “탐지했다/못 했다”가 아닙니다.
탐지 신뢰도를 어떻게 유지할 것인가가 더 어려운 과제가 됩니다.

---

5) 엔드포인트 가시성이 없으면 침해의 실체를 놓친다

가장 중요한 한계는 이것입니다.
NDR은 기본적으로 네트워크 밖에서 일어난 행위를 직접 보지 못합니다.

하지만 실제 침해는 종종 다음과 같은 형태로 진행됩니다.

• 어떤 프로세스가 실행됐는가
• 누가 어떤 계정을 사용했는가
• 어떤 파일이 생성·수정·삭제됐는가
• 어떤 권한 상승이 있었는가
• 어떤 시스템 호출이나 지속성 확보가 있었는가

이 정보는 네트워크만으로는 충분히 드러나지 않습니다.
특히 eBPF 기반 은폐, 루트킷, 정상 프로세스 악용, 계정 탈취 기반 침해는 호스트 내부 가시성 없이는 실체 파악이 어렵습니다.

결국 NDR의 한계는 이렇게 정리할 수 있습니다.

네트워크는 중요하지만,
침해는 네트워크 안에서 더 이상 보이지 않습니다.

---

4. 현실적 대안: 네트워크만 보지 말고 행위를 함께 봐야 한다

이 한계를 보완하려면 방향은 분명합니다.
네트워크를 계속 보되, 그것만 보아서는 안 됩니다.

즉, 다음 계층이 함께 필요합니다.

• 엔드포인트 행위 가시성
• 애플리케이션 및 웹 로그
• 계정·권한·프로세스 중심 분석
• 서로 다른 계층의 이벤트 상관 분석

이 지점에서 XDR 접근이 의미를 갖습니다.
핵심은 “NDR을 버린다”가 아니라, NDR이 놓치는 구간을 다른 계층으로 메운다는 것입니다.

예를 들어, 이런 식의 상관 분석이 가능해야 합니다

1) 프로세스 트리와 네트워크 연결의 실시간 연결

단순히 “외부 통신이 있었다”로 끝나면 부족합니다.
중요한 것은 다음입니다.

• 어떤 프로세스가 그 연결을 만들었는가
• 그 프로세스는 어떤 부모 프로세스에서 시작됐는가
• 그 직전에 어떤 스크립트나 명령 실행이 있었는가
• 해당 계정은 평소에도 이런 행위를 했는가

이렇게 보면, 정상처럼 보이는 HTTPS 통신도
비정상 프로세스 실행 → 외부 연결 → 후속 행위라는 흐름으로 해석될 수 있습니다.

2) 웹 요청과 서버 내부 행위의 연결

예를 들어 웹에서 특정 요청이 들어온 직후,

• 서버에서 비정상 자식 프로세스가 실행되고
• 특정 파일 접근이 발생하고
• 이후 외부 통신이 이어진다면

이것은 단순한 웹 요청이 아니라 침해 흐름으로 볼 수 있습니다.

네트워크만 보면 정상 요청처럼 보일 수 있지만,
웹 로그와 서버 행위를 함께 보면 의미가 완전히 달라집니다.

3) 계정 행위와 권한 변화의 맥락 분석

공격자는 종종 정상 계정을 사용합니다.
따라서 중요한 것은 계정 자체보다 행위의 맥락 변화입니다.

• 평소 쓰지 않던 시스템 접근
• 비정상 시간대 사용
• 권한 상승 이후의 연속 행위
• 내부 이동과 데이터 접근의 연쇄

이런 흐름은 네트워크만으로는 약하게 보일 수 있지만,
계정·프로세스·접근 로그를 함께 보면 강한 침해 시나리오가 됩니다.

이 점에서 PLURA-XDR의 의미

PLURA-XDR의 핵심 가치는 “NDR을 대체하는 것”이 아니라,
NDR이 설명하지 못하는 행위를 다른 로그와 함께 해석하는 것에 있습니다.

즉,

• 네트워크 이벤트
• 엔드포인트 이벤트
• 웹 및 애플리케이션 로그
• 계정 및 권한 변화

를 함께 묶어 개별 이벤트가 아니라 침해 흐름으로 보도록 하는 접근입니다.

이 방식은 특히 다음 상황에서 의미가 큽니다.

• 암호화로 패킷 내부가 보이지 않을 때
• 정상처럼 보이는 공격일 때
• 네트워크 시그널이 매우 약할 때
• 파일리스·LOTL·계정 탈취 기반 위협일 때

---

5. 결론: NDR은 중요하지만, 그것만으로는 부족하다

NDR은 여전히 중요한 기술입니다.
네트워크 가시성은 보안 운영의 핵심 축 중 하나입니다.

하지만 현대 공격은 더 이상 네트워크에만 자신을 드러내지 않습니다.
암호화, 정상 위장, 파일리스, LOTL, 계정 탈취, 엔드포인트 은폐가 결합된 환경에서
네트워크만으로 침해를 완전히 설명하는 것은 점점 더 어려워지고 있습니다.

따라서 지금 필요한 질문은
“더 좋은 NDR이 무엇인가”만이 아닙니다.

오히려 더 중요한 질문은 이것입니다.

네트워크에서 보이지 않는 공격을, 어디에서 확인할 것인가?
개별 경보를, 어떻게 하나의 침해 흐름으로 연결할 것인가?

실제 대응 관점에서의 출발점은 명확합니다.

1. NDR만으로 충분하다고 가정하지 말 것
2. 엔드포인트·웹·계정 로그를 함께 확보할 것
3. 이벤트가 아니라 공격 흐름을 상관 분석할 것

이것이 스텔스 공격 시대에 더 현실적인 방어 전략입니다.
그리고 XDR의 역할도 바로 이 지점에서 다시 정의되어야 합니다.

---

📖 함께 읽기

• “Cisco Encrypted Traffic Analytics(ETA)의 한계”
• What are the Disadvantages of NDR?

📖 IDS/IPS/NDR 한계 이해하기

• IDS/IPS, 정말 코어 보안일까?
• 중소·중견 기업 심지어 대기업에서도 NIPS/NDR, 정말로 필요할까?
• IPS와 NDR 차이와 한계
• WAF vs IPS vs UTM: 웹 공격 최적의 방어 솔루션 선택하기
• IPS의 진화와 보안 환경의 변화
• 침입차단시스템(IPS) 이해하기