Q09. 이미 한계에 도달한 IPS·NDR은 왜 아직도 현장에서 사용되고 있을까요?

By PLURA 2026-01-13

A. 기술 때문이 아니라, ‘제도·책임·심리’ 때문입니다.

IPS·NDR의 기술적 한계는 이미 여러 차례 지적되었습니다.
암호화가 기본이 된 환경에서 네트워크 기반 분석은
구조적으로 가시성을 잃었기 때문입니다.

그럼에도 불구하고 이 기술이 여전히 사용되는 이유는
효과가 있어서가 아니라, 버리지 못하는 구조에 있습니다.

1️⃣ ISMS 컴플라이언스의 관성

한국에서는 보안 컴플라이언스(ISMS 등)에서
여전히 “IPS 운영”이 명문화된 요구사항으로 남아 있습니다.

이 기준이 만들어질 당시에는:

웹 트래픽에 평문이 존재했고
네트워크 장비로 내용 분석이 가능했습니다.

하지만 지금은:

대부분의 트래픽이 TLS로 암호화되었고
네트워크 장비는 더 이상 내용을 볼 수 없습니다.

그럼에도 기준은 바뀌지 않았습니다.

그 결과 IPS·NDR은
실질적인 방어 수단이 아니라,
“없으면 문제 되는 장비”로 유지됩니다.

2️⃣ ‘자동 차단’이 아니라 ‘면책용 보험’

현장에서 IPS·NDR은
대부분 Monitor(탐지) 모드로만 운영됩니다.

이유는 단순합니다.

NDR의 탐지는 확률적(Probabilistic) 입니다.
누구도 NDR의 판단만 믿고
회사의 핵심 비즈니스 트래픽을 자동으로 차단하지 않습니다.

실제 SOC에서는:

“차단은 하지 말고, 알림만 보자”

라는 운영 원칙이 암묵적으로 자리 잡았습니다.

즉, IPS·NDR은
공격을 막기 위한 장비라기보다,
사고 발생 시 ‘우리는 할 만큼 했다’고 설명하기 위한 보험이 됩니다.

3️⃣ SOAR는 문제를 해결하지 못하고, 비용 구조를 복잡하게 만듭니다

NDR 도입 이후 오탐(False Positive)이 급증하면,
현장에서는 이를 처리하기 위해 로그를 한곳에 모을 필요가 생깁니다.
이 과정에서 가장 먼저 도입되는 것이 SIEM입니다.

SIEM을 통해:

NDR, 방화벽, 서버, EDR 로그를 수집·상관 분석하고
오탐 여부를 사람이 판단할 수 있는 근거 데이터를 확보합니다.

이후 자연스럽게 등장하는 요구는 다음입니다.

“매번 사람이 로그인해서 확인하지 말고,
API로 연동해서 자동으로 대응하면 안 될까?”

이 요구를 충족시키기 위해
SOAR가 도입됩니다.

하지만 여기서 중요한 현실이 드러납니다.

SOAR 자체에는 판단에 필요한 데이터가 없습니다.
SIEM, TI, EDR 등 외부 시스템의 데이터를
API로 호출해 연결하는 워크플로우 엔진일 뿐입니다.

결국 운영 구조는 다음과 같이 복잡해집니다.

NDR 도입 → 오탐 증가 →
SIEM 도입(로그 수집·분석) →
SOAR 도입(API 연동·자동화) →
여전히 사람의 판단 필요

즉, SOAR는 오탐 문제를 해결하지 못한 채,
운영 구조와 비용만 증가시키는 역할을 하게 됩니다.

이 과정에서 많은 조직이
“차단 자동화”를 기대하지만,
실제로는 오탐 리스크 때문에 자동 차단 기능을 비활성화한 채
조사 자동화(Enrichment) 용도로만 운영하게 됩니다.

이것이 바로
NDR + SIEM + SOAR 구조가 ‘비용의 악순환’이 되는 이유입니다.

4️⃣ 결국 문제는 ‘사람’입니다

IPS·NDR을 제대로 운영하려면:

오탐을 판별할 숙련된 인력
24시간 관제 체계
장비와 환경을 이해하는 경험

이 필요합니다.

하지만 현실에서는:

담당자는 잦은 야간 대응으로 소진되고
숙련된 인력은 퇴사하며
장비만 남고 운영 능력은 사라집니다.

그 결과 IPS·NDR은
켜져는 있지만, 실제로는 쓰이지 않는 ‘좀비 장비’가 됩니다.

정리하면

IPS·NDR이 아직도 사용되는 이유는
효과적이어서가 아니라,
버리지 못하는 구조에 갇혀 있기 때문입니다.

컴플라이언스는 존재만 요구하고
조직은 책임을 회피하며
현장은 오탐을 감당하지 못하고
사람은 계속 소모됩니다.

기술은 이미 한계를 드러냈지만,
조직과 제도는 아직 그 사실을 인정하지 못하고 있습니다.

보안 장비를 선택할 때 물어야 할 질문은
“있느냐”가 아니라
“실제로 쓰고 있느냐”입니다.