Q10. NDR 벤더의 주장, 실제 현장에서도 사실일까요? (Fact Check)

By PLURA

NDR 벤더의 Sales Kit에는 공통적인 메시지가 있습니다.
“암호화 시대에도 네트워크 분석은 여전히 유효하다”는 주장입니다.

하지만 현장의 현실은 다릅니다.
하나씩 사실 여부를 확인해 보겠습니다.

💡 NDR 벤더의 주장 vs. 현장의 반박 (Fact Check)

1️⃣ 주장: “암호화돼도 내용을 볼 필요 없습니다 (ETA)”

벤더 주장
“패킷 내용을 보지 않아도, 트래픽의 크기·빈도·간격 같은
메타데이터(패턴, ETA) 만으로 해킹 여부를 판단할 수 있습니다.”

⛔ 현장의 반박: 보이지 않는 것을 확신할 수는 없습니다

  • 공격 여부를 판단하려면
    무엇을 보냈는지(Payload) 를 알아야 합니다.
  • 암호화된 트래픽에서
    NDR이 보는 것은 봉투의 크기와 이동 간격뿐입니다.
  • 내용이 보이지 않는 상태에서의 판단은
    결국 추정(Guessing) 이며, 이는 곧 오탐(False Positive) 으로 이어집니다.

편지 내용을 보지 않고
봉투 두께만 보고 범죄 여부를 판단하는 것과 다르지 않습니다.

그 오탐을 검증하고 해제하는 책임은
결국 보안 담당자의 야근과 번아웃으로 전가됩니다.

2️⃣ 주장: “방화벽이 놓친 내부 이동(Lateral Movement)을 잡습니다”

벤더 주장
“해커가 내부로 들어온 뒤 옆 서버로 이동하는 행위는
네트워크에서 가장 잘 보입니다.”

⛔ 현장의 반박: 공격은 네트워크가 아니라 ‘호스트 내부’에서 드러납니다

  • 공격자는 네트워크에서 티를 내지 않습니다.
  • 정상 계정, 정상 포트, 정상 프로토콜(SSH, RDP)을 사용합니다.
  • 실제 공격 행위는
    PC·서버 내부에서의 프로세스 실행, 권한 상승, 명령어 실행으로 나타납니다.

이미 암호화된 정상 세션으로 통신 중인데,
네트워크 바깥에서 이를 분석한다는 것은 구조적으로 불가능합니다.

  • 단순 IP 차단은
    고가의 NDR이 아니라 방화벽 + 위협 인텔리전스(TI) 로 충분합니다.
  • 내부 침해의 실체는
    엔드포인트 로그 없이는 확인할 수 없습니다.

3️⃣ 주장: “EDR을 설치할 수 없는 사각지대를 지켜야 합니다”

벤더 주장
“프린터, IoT, 공장 설비에는 EDR을 못 깔잖아요.
이 사각지대를 NDR로 커버해야 합니다.”

⛔ 현장의 반박: 그 논리라면 ‘적용 범위’를 먼저 명확히 해야 합니다

이 주장은 아주 극히 일부만 맞습니다.

만약 NDR이 지키고자 하는 대상이
IoT·OT/ICS와 같은 산업 제어 환경이라면,
그 논리는 성립할 수 있습니다.

  • 다수의 OT/ICS 환경은 여전히 평문 통신(Modbus, DNP3 등)을 사용하고
  • 엔드포인트 에이전트(EDR)를 설치할 수 없으며
  • 네트워크 레벨에서의 가시성이 상대적으로 높기 때문입니다.

👉 이런 특수한 산업 환경에서는
NDR이 전용 보안 장비로서 의미를 가질 수 있습니다. 물론 IPS 또한 동일한 논의에서 의미를 가질 수 있습니다.

❌ 문제는, 이 논리가 모든 IT/ICT 환경에 일반화된다는 점입니다

하지만 현실의 IT·ICT 환경은 다릅니다.

  • 대부분의 기업 네트워크는 암호화가 기본
  • 서버·PC에는 EDR 설치가 가능
  • 계정·애플리케이션 로그를 통해
    훨씬 정밀한 행위 분석이 가능

이런 환경에서
“EDR을 못 까는 사각지대가 있으니 NDR이 필요하다”는 주장은
산업 특화 논리를 일반 IT 환경에 무리하게 확장한 것에 불과합니다.

❌ ROI 관점에서도 맞지 않습니다

IoT·OT/ICS 공격은 존재하지만 매우 희귀합니다.
그 희귀한 시나리오를 이유로:

  • 수억 원 규모의 NDR 장비 도입
  • 매년 수천만 원의 유지보수 비용
  • 상시 오탐 대응을 위한 인력 투입

을 감수하는 것은
일반 기업 IT 환경에서는 ROI 관점에서 최악의 선택입니다.

같은 예산이라면:

  • EDR 커버리지를 100%로 확장하고
  • 계정 보안(Identity)을 강화하며
  • 로그 분석과 대응을 자동화하는 것이

핵심은 이것입니다

NDR이 필요한 환경은
“EDR을 못 쓰는 특수한 산업 환경”이지,
“모든 기업 IT 환경”이 아닙니다.

적용 범위를 명확히 설명하지 않은 채
마치 NDR이 모든 IT·ICT 보안의 해답인 것처럼 말하는 것,
그 자체가 가장 큰 문제입니다.

4️⃣ 주장: “모든 패킷을 저장하는 블랙박스입니다”

벤더 주장
“Full Packet Capture를 해두면 사고 발생 시
언제든지 원인을 추적할 수 있습니다.”

⛔ 현장의 반박: 저장도, 검색도, 대응도 현실적이지 않습니다

  • 저장의 한계
    수 TB~PB 단위 트래픽은
    고가 스토리지를 써도 한 달 남짓이면 포화됩니다.
  • 시간의 한계
    공격은 몇 달 뒤에 드러나지만,
    데이터는 이미 삭제된 후입니다.
  • 속도의 절망
    수 TB 데이터를 검색하는 데
    로딩만 수 시간~반나절이 소요됩니다.

사고 대응에서 가장 중요한 것은 속도입니다.
느려서 쓰지 못하는 데이터는
블랙박스가 아니라 일 뿐입니다.

정리하면

NDR 벤더의 주장은
기술적으로는 그럴듯하지만,
암호화가 기본이 된 실제 환경에서는 이론적으로 성립하지 않습니다.

  • 내용이 보이지 않는 분석은 추정일 뿐이고
  • 추정은 오탐을 만들며
  • 오탐은 보안 담당자를 소모시킵니다.

네트워크 분석이 아니라,
행위가 발생하는 지점(엔드포인트·애플리케이션) 에서
로그를 확보하고 분석해야 합니다.

보안의 중심은
더 이상 네트워크가 아니라,
로그와 행위, 그리고 그 맥락을 이해하는 AI 분석으로 이동하고 있습니다.

이 글은
“왜 아직도 NDR을 쓰는가”를 묻기 위한 글이 아니라,

왜 이제는 다른 선택을 해야 하는가를 묻는 글입니다.

함께 읽을 글

NDR과 비복호화 탐지에 대한 한계는
이미 여러 글에서 기술적·구조적으로 반복 검증된 문제입니다.
아래 글을 함께 읽으면,
왜 이 문제가 구현의 문제가 아니라 ‘불가능한 미션’에 가까운지 더 명확해집니다.

📚 NDR의 한계: 해결 불가능한 미션
https://blog.plura.io/ko/column/limitations_of_ndr/

📚 “비복호화 탐지(Non-Decryption Detection)?” — 불가능을 포장한 마케팅
https://blog.plura.io/ko/column/limitations_of_non_decryption_detection/

Tags