Q10. NDR Fact Check: 암호화 시대, NDR은 실제 현장에서도 유효할까요?

By PLURA 2026-01-13

NDR 벤더의 Sales Kit에는 공통적인 메시지가 있습니다.
“암호화 시대에도 네트워크 분석은 여전히 유효하다”는 주장입니다.

이 말은 일부 환경에서는 분명 의미가 있습니다.
특히 EDR을 설치하기 어려운 OT/ICS·IoT 환경에서는
네트워크 단의 가시성이 중요한 역할을 할 수 있습니다.

하지만 문제는, 이 논리가
모든 기업 IT 환경에도 그대로 적용되는 것처럼 설명될 때 발생합니다.

그래서 이번 글에서는
NDR 벤더의 대표적인 주장들을
실제 운영 환경 기준으로 차분히 점검해 보겠습니다.

💡 NDR 벤더의 주장 vs. 실제 운영 환경의 현실

1️⃣ 주장: “암호화돼도 내용을 볼 필요 없습니다 (ETA)”

벤더 주장
“패킷 내용을 보지 않아도, 트래픽의 크기·빈도·간격 같은
메타데이터(패턴, ETA) 만으로 해킹 여부를 판단할 수 있습니다.”

현실에서는 어떨까요?

운영 현장에서는
이 주장을 그대로 받아들이기 어렵습니다.

공격 여부를 정확히 판단하려면
결국 무엇이 오갔는지(Payload) 에 대한 정보가 필요합니다.
암호화된 트래픽에서
NDR이 확인할 수 있는 것은 주로 크기, 빈도, 간격, 흐름 정보입니다.
즉, 내용이 보이지 않는 상태에서의 판단은
본질적으로 추정(Guessing) 의 비중이 높아질 수밖에 없습니다.

이는 자연스럽게 오탐(False Positive) 문제로 이어집니다.

편지 내용을 보지 않고
봉투의 두께와 움직임만 보고
그 편지가 위험한지 판단하려는 것과 비슷합니다.

결국 그 오탐을 검증하고 해제하는 책임은
보안 담당자에게 돌아갑니다.
이 지점에서 실무자는 또 한 번
야근과 피로, 번아웃을 감당하게 됩니다.

2️⃣ 주장: “방화벽이 놓친 내부 이동(Lateral Movement)을 잡습니다”

벤더 주장
“해커가 내부로 들어온 뒤 옆 서버로 이동하는 행위는
네트워크에서 가장 잘 보입니다.”

현실에서는 어떨까요?

일부 네트워크 흐름은 보일 수 있습니다.
그러나 실제 침해의 핵심은
대개 호스트 내부 행위에서 더 선명하게 드러납니다.

공격자는 보통
정상 계정, 정상 포트, 정상 프로토콜(SSH, RDP 등) 을 활용합니다.
겉으로 보면 정상 세션처럼 보이지만,
실제 침해의 본질은
프로세스 실행, 권한 상승, 명령어 실행, 계정 악용 같은
호스트 내부 행위에 있습니다.

이미 암호화된 정상 세션 위에서 움직이는 행위를
네트워크 외부 관점만으로 정밀하게 해석하는 데에는
구조적 한계가 있습니다.

물론 NDR이 전혀 도움이 안 된다는 뜻은 아닙니다.
이상한 흐름이나 비정상 통신 징후를 포착하는 데에는
일정 역할을 할 수 있습니다.

다만 침해의 실체를 확인하고 대응으로 연결하는 일은
결국 엔드포인트·계정·애플리케이션 로그가 있어야 가능합니다.

단순 IP 차단 수준의 대응은
고가의 NDR이 아니라
방화벽 + 위협 인텔리전스(TI) 로도 상당 부분 수행할 수 있습니다.

3️⃣ 주장: “EDR을 설치할 수 없는 사각지대를 지켜야 합니다”

벤더 주장
“프린터, IoT, 공장 설비에는 EDR을 못 깔잖아요.
이 사각지대를 NDR로 커버해야 합니다.”

이 주장은 어디까지 맞을까요?

이 주장은 일부 환경에서는 분명 타당합니다.

예를 들어:

OT/ICS 환경
일부 IoT 장비
산업 설비, 센서, 제어 장치처럼
에이전트 설치가 어렵거나 불가능한 영역

이런 곳에서는 NDR이나 IPS가
여전히 의미 있는 역할을 가질 수 있습니다.

그 이유는 비교적 명확합니다.

OT/ICS 환경은 아직도 평문 통신이 남아 있는 경우가 많고
엔드포인트 에이전트 설치가 불가능하거나 제한적이며
네트워크 단에서의 가시성이 상대적으로 중요하기 때문입니다.

즉, 특수 산업 환경에서는 NDR이 유효할 수 있습니다.
이 점은 부정할 이유가 없습니다.

그러나 일반 IT 환경까지 같은 논리를 확장하면 문제가 생깁니다

현실의 일반 기업 IT 환경은 다릅니다.

대부분의 기업 네트워크는 암호화가 기본
서버·PC에는 EDR 설치가 가능
계정 로그, 애플리케이션 로그, 시스템 로그를 통해
훨씬 더 정밀한 행위 분석이 가능

이런 환경에서
“EDR을 못 까는 사각지대가 있으니 NDR이 필요하다”는 논리를
기업 전체 보안의 기본 해답처럼 제시하는 것은
다소 과도한 일반화일 수 있습니다.

더 정확히 말하면:

NDR은 일부 환경에서 여전히 유효하지만,
대부분의 일반 IT 환경에서는
보안의 중심이 되기보다 보조적 수단에 가깝습니다.

ROI 관점에서도 다시 봐야 합니다

IoT·OT/ICS 공격은 존재합니다.
그러나 일반 기업 IT 환경에서
그 시나리오만을 기준으로 전체 보안 예산을 설계하는 것은
현실성이 떨어질 수 있습니다.

예를 들어:

수억 원 규모의 NDR 장비 도입
매년 반복되는 유지보수 비용
상시 오탐 대응을 위한 인력 투입

이 구조가 모든 기업에 적합하다고 보기는 어렵습니다.

같은 예산이라면 오히려:

EDR 커버리지를 100%에 가깝게 높이고
계정 보안(Identity)을 강화하고
로그 분석과 대응 자동화를 체계화하는 것

이 일반적인 IT 환경에서는
더 높은 효과를 낼 가능성이 큽니다.

핵심은 이것입니다

NDR이 특히 의미를 갖는 환경은
EDR을 설치하기 어려운 특수 산업 환경입니다.

반대로,

일반적인 기업 IT 환경에서는
호스트·계정·애플리케이션 중심의 로그 기반 분석과 대응이
훨씬 더 현실적이고 정밀한 접근이 됩니다.

문제는 NDR 자체보다도,
그 적용 범위를 충분히 설명하지 않은 채
마치 모든 기업 보안의 정답인 것처럼 포장하는 접근에 있습니다.

4️⃣ 주장: “모든 패킷을 저장하는 블랙박스입니다”

벤더 주장
“Full Packet Capture를 해두면 사고 발생 시
언제든지 원인을 추적할 수 있습니다.”

현실에서는 어떨까요?

개념적으로는 매우 매력적입니다.
그러나 운영 현실에서는 여러 제약이 뒤따릅니다.

저장의 한계
수 TB~PB 단위 트래픽을 장기 보관하는 것은
비용적으로 매우 부담이 큽니다.
시간의 한계
공격은 몇 주, 몇 달 뒤에 드러나기도 하는데
그때는 이미 저장 데이터가 사라졌을 가능성이 큽니다.
검색의 한계
대용량 패킷 데이터는
실제 사고 대응 상황에서 즉시 분석하기 어렵습니다.

사고 대응에서 가장 중요한 것은
결국 빠른 확인과 즉시 대응입니다.

느려서 즉시 쓰기 어려운 데이터는
이론적으로는 유용해 보여도
실전에서는 기대만큼 활용되지 못할 수 있습니다.

정리하면

NDR 벤더의 주장은
완전히 틀렸다고 말하기는 어렵습니다.
특히 OT/ICS·IoT 같은 특수 환경에서는
여전히 의미 있는 도구가 될 수 있습니다.

하지만 암호화가 기본이 된
대부분의 일반 IT 환경에서는 한계가 분명합니다.

내용이 보이지 않는 분석은
결국 추정의 비중이 커지고
추정은 오탐으로 이어지며
오탐은 보안 담당자의 피로와 소모를 키웁니다.

그래서 이제 보안의 중심은
네트워크만 바라보는 방식에서 벗어나,

엔드포인트
계정
애플리케이션
실시간 로그
행위의 맥락

을 함께 분석하는 방향으로 이동하고 있습니다.

그래서 필요한 것은 ‘더 많은 네트워크 장비’가 아니라 ‘더 정확한 로그 기반 분석’입니다

실제 공격은
패킷 바깥의 추상적 패턴보다
행위가 발생한 지점의 기록에서 더 정확하게 드러납니다.

누가 로그인했는지
어떤 프로세스를 실행했는지
어떤 권한 상승이 있었는지
어떤 파일과 계정, 서버에 접근했는지

이런 정보가 있어야
탐지가 대응으로 이어집니다.

PLURA-XDR은 바로 이 지점에 집중합니다.

호스트 로그
계정 행위
애플리케이션 로그
웹 요청과 보안 이벤트
그리고 이를 연결하는 실시간 상관분석과 AI 기반 분석

즉, 보안의 중심을
“보이지 않는 패킷의 추정”이 아니라
실제로 발생한 행위의 기록과 그 맥락에 둡니다.

이 글은
“왜 아직도 NDR을 쓰는가”를 비난하기 위한 글이 아닙니다.

오히려 이렇게 묻기 위한 글입니다.

우리 환경에서 정말 필요한 것은 무엇인가?
그리고 지금의 예산과 인력을 어디에 우선 배치해야 하는가?

그 질문에 답하기 시작할 때,
보안도 비로소 본질로 돌아갈 수 있습니다.

함께 읽을 글

NDR과 비복호화 탐지의 한계는
이미 여러 글에서 기술적·구조적으로 반복 확인된 주제입니다.
아래 글을 함께 읽어보시면,
왜 이 문제가 단순한 구현 부족이 아니라
구조적 한계에 가까운지 더 분명하게 보실 수 있습니다.

📚 NDR의 한계: 해결 불가능한 미션
https://blog.plura.io/ko/column/limitations_of_ndr/

📚 “비복호화 탐지(Non-Decryption Detection)?” — 불가능을 포장한 마케팅
https://blog.plura.io/ko/column/limitations_of_non_decryption_detection/

💡 NDR 벤더의 주장 vs. 실제 운영 환경의 현실

1️⃣ 주장: “암호화돼도 내용을 볼 필요 없습니다 (ETA)”

현실에서는 어떨까요?

2️⃣ 주장: “방화벽이 놓친 내부 이동(Lateral Movement)을 잡습니다”

현실에서는 어떨까요?

3️⃣ 주장: “EDR을 설치할 수 없는 사각지대를 지켜야 합니다”

이 주장은 어디까지 맞을까요?

그러나 일반 IT 환경까지 같은 논리를 확장하면 문제가 생깁니다

ROI 관점에서도 다시 봐야 합니다

핵심은 이것입니다

4️⃣ 주장: “모든 패킷을 저장하는 블랙박스입니다”

현실에서는 어떨까요?

정리하면

그래서 필요한 것은 ‘더 많은 네트워크 장비’가 아니라 ‘더 정확한 로그 기반 분석’입니다

함께 읽을 글

Tags