XDR 선택 체크리스트
By PLURA
🧭 XDR 선택 체크리스트
XDR은 더 이상 단순한 보안 이벤트 통합 콘솔이 아닙니다.
현대 공격은
- 피싱 메일 수신
- 계정 탈취
- 비정상 로그인
- 엔드포인트 악성 행위
- 웹셸 설치
- 권한 상승
- 내부 이동(Lateral Movement)
- 클라우드/API 오용
- 데이터 유출
- 랜섬웨어 실행
처럼 이메일 + 계정 + 엔드포인트 + 서버 + 네트워크 + 클라우드 + 웹 애플리케이션을 가로지르며 진행됩니다.
따라서 XDR 선택의 기준은
단순히 “얼마나 많은 제품과 연동되는가”가 아니라,
공격이 진행되는 순간 얼마나 빨리 알아채고, 하나의 사건으로 묶고, 차단·격리·복구까지 연결할 수 있는가여야 합니다.
특히 사이버보안 관점의 XDR은
자산 관리나 리포트 중심의 점검표가 아니라,
실제 침투·확산·유출·암호화 행위를 탐지하고 대응하는 운영 체계로 평가해야 합니다.
이 체크리스트는 특정 제품이 아니라
어떤 XDR을 선택하든 적용 가능한 일반 기준을 기준으로 작성했습니다.
✅ 먼저 정리해야 할 관점
XDR을 평가할 때 “원본 이벤트를 확인할 수 있는가”는 분명 필요한 질문입니다.
하지만 그것이 핵심 비교 기준의 앞자리에 오면 안 됩니다.
제로데이와 우회 공격이 계속 등장하는 환경에서 더 중요한 질문은 다음입니다.
지금 진행 중인 공격을 실시간으로 볼 수 있는가?
알려진 시그니처가 없어도 행위로 탐지할 수 있는가?
피해가 확산되기 전에 계정·단말·세션·네트워크를 차단할 수 있는가?
원본 이벤트와 증적은
사고 조사와 재발 방지를 위한 보조 기반입니다.
XDR의 우선순위는
실시간 가시성 → 행위 기반 탐지 → 사건 상관분석 → 대응 자동화 → 복구와 재발 방지 순서로 보아야 합니다.
✅ 필수 체크리스트 (핵심 10)
1️⃣ 단일 알림이 아니라 “사건(Incident) 단위”로 분석하는가
XDR의 핵심은 알림을 많이 보여주는 것이 아닙니다.
서로 다른 보안 신호를 연결해 하나의 공격 스토리로 재구성하는 것입니다.
왜 중요한가
- 실제 공격은 하나의 이벤트로 끝나지 않습니다.
- 피싱 → 계정 탈취 → 악성 파일 실행 → 내부 이동 → 데이터 반출처럼 여러 단계로 이어집니다.
- 단일 알림만 보면 공격의 시작점, 영향 범위, 현재 진행 단계를 판단하기 어렵습니다.
어떻게 확인할까
- 벤더에게 “알림 목록”이 아니라 사건 타임라인을 보여 달라고 요청합니다.
- 사용자, 호스트, IP, 파일 해시, 프로세스, 메일, 클라우드 리소스가 하나의 사건으로 묶이는지 확인합니다.
- 피싱 메일에서 시작해 엔드포인트 실행과 계정 이상행위로 이어지는 시나리오를 시연 요청합니다.
좋은 신호
- 공격 흐름 타임라인 제공
- 관련 사용자·단말·프로세스·파일·IP·도메인·메일·클라우드 리소스 자동 연결
- 사건의 원인, 영향 범위, 현재 상태를 한 화면에서 확인 가능
위험 신호
- 알림이 많이 쌓이지만 서로 연결되지 않음
- 분석가가 수동으로 여러 콘솔을 오가야만 공격 흐름을 알 수 있음
- “High”, “Critical” 같은 심각도만 있고 왜 위험한지 설명이 약함
2️⃣ 실시간 텔레메트리의 “폭”과 “깊이”가 충분한가
XDR의 “X”는 확장을 의미합니다.
하지만 단순히 많은 제품 이름을 연동 목록에 넣는 것만으로는 충분하지 않습니다.
왜 중요한가
- 공격자는 보안 제품 경계를 기준으로 움직이지 않습니다.
- 엔드포인트에서 보이지 않는 공격이 계정 로그에는 보일 수 있고, 계정 로그에서 보이지 않는 유출이 네트워크나 클라우드 로그에는 보일 수 있습니다.
- 수집 지연과 필드 부족은 곧 탐지 실패로 이어집니다.
확인할 데이터 영역
- 엔드포인트: 프로세스, 명령행, 파일, 레지스트리, 네트워크 연결, 서비스, 드라이버
- 서버: 웹루트 변경, 신규 실행 파일, 서비스 등록, 스케줄러, 관리자 도구 실행
- 계정/인증: AD, Entra ID, IAM, SSO, VPN, MFA, 관리자 권한 변경
- 이메일/협업: 피싱 메일, 첨부파일, URL, 메일 전달 규칙, 계정 탈취 흔적
- 네트워크: DNS, Proxy, Firewall, NDR, NetFlow, 외부 통신
- 클라우드/SaaS: CSP Audit Log, API 호출, 스토리지 접근, 컨테이너/워크로드 이벤트
- 웹/애플리케이션: WAF, API Gateway, 웹서버 로그, 애플리케이션 로그
- 보안 장비: EDR, WAF, IPS, DLP, NAC, CASB, SIEM, SOAR
어떻게 확인할까
- “연동 가능”이 아니라 실제 수집되는 필드 목록을 확인합니다.
- 필수 이벤트가 표준 스키마로 정규화되는지 확인합니다.
- 센서 장애, 로그 누락, 수집 지연을 확인할 수 있는 상태 대시보드가 있는지 봅니다.
- 실시간 탐지에 사용하는 데이터와 단순 참고용 데이터를 구분해 질문합니다.
좋은 신호
- 로그 소스별 필드 매핑과 수집 상태 확인 가능
- 탐지 룰이 어떤 데이터 필드에 의존하는지 설명 가능
- 웹 ↔ 계정 ↔ 엔드포인트 ↔ 네트워크 ↔ 클라우드 흐름 연결 가능
- 데이터 수집 지연과 누락을 운영자가 즉시 확인 가능
위험 신호
- “API 연동 가능”만 강조하고 실제 탐지 필드는 빈약함
- 엔드포인트 이벤트만 풍부하고 계정·클라우드·웹 로그는 부가 기능 수준
- 로그 수집 실패를 운영자가 뒤늦게 알게 됨
3️⃣ 제로데이 시대에 필요한 실시간 행위 기반 탐지가 가능한가
제로데이 대응의 핵심은 알려진 룰이 내려오기를 기다리는 것이 아닙니다.
지금 발생하는 비정상 행위를 시그니처 없이도 알아채는 것입니다.
왜 중요한가
- 공격자는 파일명, 해시, IP, 도메인을 쉽게 바꿉니다.
- PowerShell, WMI, PsExec, certutil, rundll32 같은 정상 도구도 공격에 사용됩니다.
- 웹셸, LOLBin 악용, 권한 상승, 자격증명 탈취는 단일 IOC보다 행위 조합으로 봐야 합니다.
- 알려진 룰이 없더라도 공격 단계의 흐름은 남습니다.
어떻게 확인할까
- 탐지 룰이 MITRE ATT&CK 전술·기술 기준으로 매핑되는지 확인합니다.
- 탐지 근거가 파일 해시인지, 행위 조합인지 구분해 질문합니다.
- 사용자 정의 탐지 룰을 만들 수 있는지 확인합니다.
- Sigma, YARA, KQL, SPL, 자체 쿼리 등 탐지 룰 관리 방식을 확인합니다.
- 룰 버전 관리, 예외 처리, 오탐 피드백 반영 구조를 확인합니다.
좋은 신호
- 행위 기반 탐지 근거 설명 가능
- 탐지 로직과 관련 이벤트가 함께 제공됨
- ATT&CK 기반 탐지 커버리지 확인 가능
- 탐지 후 즉시 격리·차단·세션 종료로 연결 가능
위험 신호
- “AI가 위험하다고 판단했습니다”만 있고 근거 이벤트가 부족함
- IOC, 해시, IP 차단만 강조함
- 탐지 룰을 수정하거나 검증할 방법이 없음
- 제로데이 대응을 룰 업데이트 속도로만 설명함
4️⃣ 계정·인증 기반 공격을 중심적으로 탐지하는가
많은 침해 사고는 악성코드가 아니라 정상 계정의 비정상 사용에서 시작됩니다.
왜 중요한가
- 피싱, 크리덴셜 스터핑, 세션 탈취, MFA 피로 공격은 계정 중심으로 진행됩니다.
- 클라우드와 SaaS 환경에서는 계정 권한이 곧 데이터 접근 권한입니다.
- 공격자가 정상 계정으로 로그인하면 엔드포인트 탐지만으로는 초기 침해를 놓칠 수 있습니다.
확인할 항목
- 비정상 로그인 위치, 시간, 장치, ASN, 국가 탐지
- Impossible Travel 탐지
- MFA 반복 요청, MFA 우회, 신규 인증 수단 등록 탐지
- 관리자 권한 상승, 그룹 변경, 역할 변경 탐지
- OAuth 앱 승인, API 토큰 생성, 장기 세션 재사용 탐지
- 휴면 계정, 서비스 계정, 공유 계정 오용 탐지
- 계정 위험도와 엔드포인트 위험도 연결
어떻게 확인할까
- “사용자 A가 피싱 메일을 클릭한 뒤 해외 IP에서 로그인하고, 이후 단말 B에서 악성 프로세스가 실행된 시나리오”를 보여 달라고 요청합니다.
- 계정 이벤트와 단말 이벤트가 하나의 사건으로 연결되는지 확인합니다.
- 세션 종료, 계정 잠금, 비밀번호 초기화, 토큰 폐기 같은 대응이 가능한지 봅니다.
좋은 신호
- 사용자·단말·세션·권한·메일·클라우드 활동을 하나의 흐름으로 표시
- 계정 위험 점수와 실제 행위 증거 연결
- 계정 보호 액션을 자동/수동으로 실행 가능
위험 신호
- 엔드포인트 탐지는 강하지만 계정 행위는 별도 IAM 콘솔에서만 확인 가능
- 로그인 실패 횟수 같은 단순 기준만 있음
- 관리자 권한 변경과 이후 행위를 연결하지 못함
5️⃣ 엔드포인트와 서버 내부 행위를 깊게 볼 수 있는가
XDR은 침투 이후의 행위를 봐야 합니다.
특히 서버와 엔드포인트에서 발생하는 프로세스 실행, 파일 변경, 권한 상승, 내부 통신은 실제 침해 여부를 판단하는 핵심입니다.
왜 중요한가
- 공격자는 초기 접근 이후 내부에서 권한을 넓히고 지속성을 확보합니다.
- 웹셸은 업로드 자체보다 이후의 명령 실행과 외부 통신이 더 위험합니다.
- 랜섬웨어는 암호화 직전까지 여러 준비 행위를 보입니다.
확인할 항목
- 프로세스 트리와 부모/자식 프로세스 추적
- 명령행 인자와 스크립트 실행 기록
- 파일 생성·수정·삭제와 해시 정보
- 서비스 등록, 스케줄러 등록, 시작 프로그램 변경
- 자격증명 접근, LSASS 접근, SAM/NTDS 접근 시도
- 웹 프로세스의 셸 실행 탐지
- 서버 격리, 프로세스 종료, 파일 격리 기능
예시
w3wp.exe→cmd.exephp-fpm→shnginx→python또는perlpowershell.exe의 인코딩 명령 실행- 대량 파일 변경과 백업 삭제 시도
좋은 신호
- 프로세스 트리와 명령행을 사건 타임라인에서 바로 확인 가능
- 서버 행위와 WAF, 계정, 네트워크 이벤트를 연결 가능
- 엔드포인트 격리와 라이브 리스폰스 지원
위험 신호
- 악성 파일 탐지는 하지만 실행 이후 행위 추적이 약함
- 서버 계층이 빠져 있어 웹셸 이후 단계를 보지 못함
- 프로세스명만 보이고 명령행과 부모 프로세스 정보가 없음
6️⃣ 웹·API·클라우드·네트워크 흐름을 함께 분석하는가
WAF가 공격의 입구를 본다면,
XDR은 그 이후의 계정·서버·네트워크·클라우드 행위까지 연결해야 합니다.
왜 중요한가
- 웹 공격은 API 오용, 서버 명령 실행, 내부 스캔, 데이터 반출로 이어질 수 있습니다.
- 클라우드 침해는 콘솔 로그인보다 API 호출과 권한 변경에서 먼저 드러날 수 있습니다.
- 데이터 유출은 정상 200 OK, 정상 계정, 정상 API 호출처럼 보일 수 있습니다.
확인할 항목
- WAF 이벤트와 EDR 이벤트 상관분석
- API Gateway, 웹서버, 애플리케이션 로그 연계
- DNS, Proxy, Firewall, NDR 기반 외부 통신 분석
- 클라우드 API 호출, IAM 권한 변경, 스토리지 접근 탐지
- 대량 다운로드, 비정상 응답 크기, 반복 조회, 민감 데이터 접근 패턴 탐지
- 국가, ASN, User-Agent, 세션, 토큰, API Key 단위 이상행위 분석
어떻게 확인할까
- “웹 업로드 공격 이후 서버에서 셸이 실행되고 외부 C2 통신이 발생한 시나리오”를 시연 요청합니다.
- “API Key 유출 이후 스토리지 대량 조회와 다운로드가 발생한 시나리오”를 확인합니다.
- WAF, EDR, NDR, 클라우드 로그가 하나의 사건으로 묶이는지 봅니다.
좋은 신호
- 웹 요청 → 서버 행위 → 네트워크 연결 → 데이터 접근 흐름 연결
- 클라우드 API 호출과 계정 위험도 연결
- 유출 의심 사건의 사용자, 자산, 데이터 범위 확인 가능
위험 신호
- WAF와 XDR이 별도 대시보드에 머묾
- 클라우드 로그는 수집하지만 탐지와 대응에 활용하지 못함
- 데이터 유출을 단순 트래픽 양으로만 판단함
7️⃣ 실시간 대응과 자동화 수준이 명확한가
XDR은 탐지에서 끝나면 안 됩니다.
공격 진행을 늦추거나 차단할 수 있는 대응 액션이 있어야 합니다.
왜 중요한가
- 랜섬웨어, 내부 이동, 데이터 유출은 몇 분 차이로 피해 규모가 달라집니다.
- 자동 대응이 없으면 분석가가 확인하는 동안 공격이 확산될 수 있습니다.
- 반대로 무분별한 자동 대응은 정상 업무를 중단시킬 수 있습니다.
확인할 대응 액션
- 엔드포인트 격리
- 프로세스 종료
- 파일 격리/삭제
- 계정 비활성화
- 세션 종료 및 토큰 폐기
- 비밀번호 초기화 강제
- IP, 도메인, URL, 해시 차단
- 메일 격리 및 회수
- 악성 메일 전달 규칙 제거
- 방화벽/WAF/SASE 정책 연동
- 티켓 생성 및 SOAR 플레이북 실행
어떻게 확인할까
- 어떤 조건에서 자동 대응하고, 어떤 조건에서 승인 대기하는지 확인합니다.
- 대응 액션의 롤백 가능 여부를 확인합니다.
- 예외 정책, 업무 영향도, 승인 절차, 대응 이력을 확인합니다.
- 자동 대응이 사건 단위 판단인지, 단일 IOC 기준인지 확인합니다.
좋은 신호
- 자동/수동 대응 기준이 명확함
- 대응 전후 상태와 영향 범위 확인 가능
- 모든 대응 행위가 이력으로 남음
- 고위험 사건은 빠르게 차단하되 분석가 통제권도 보장
위험 신호
- 경보만 울리고 실제 대응은 모두 수동
- 자동으로 닫힌 사건의 근거와 조치 내역을 추적하기 어려움
- 업무 영향이 큰 대응을 세밀하게 제어할 수 없음
8️⃣ 위협 헌팅과 조사 피벗이 실무적으로 가능한가
XDR은 알려진 경보를 보는 도구만이 아니라,
진행 중인 사건의 원인과 범위를 빠르게 좁히는 조사 플랫폼이어야 합니다.
왜 중요한가
- 모든 공격이 기본 탐지 룰로 잡히지는 않습니다.
- 침해 조사에서는 하나의 IP, 해시, 사용자, 호스트, 프로세스에서 계속 피벗해야 합니다.
- 분석가는 현재 사건의 확산 범위와 다음 대응 지점을 빨리 찾아야 합니다.
어떻게 확인할까
- 쿼리 언어와 데이터 스키마를 확인합니다.
- 엔드포인트, 계정, 메일, 네트워크, 클라우드 로그를 조인할 수 있는지 봅니다.
- IP → 도메인 → 프로세스 → 사용자 → 메일 → 클라우드 API 호출로 피벗 가능한지 확인합니다.
- 저장된 쿼리, 헌팅 템플릿, 예약 실행, 결과 공유 기능을 확인합니다.
- 사건 화면에서 즉시 조사 쿼리로 전환 가능한지 확인합니다.
좋은 신호
- 사건 화면에서 즉시 헌팅 쿼리로 전환 가능
- 프로세스 트리, 명령행, 파일 해시, 네트워크 연결, 계정 이벤트가 연결됨
- 헌팅 결과를 탐지 룰이나 대응 플레이북으로 전환 가능
- 반복 조사 절차를 템플릿화할 수 있음
위험 신호
- 검색이 느리고 필드가 제한적임
- 벤더 지원 없이는 쿼리 작성이 어려움
- 알림에는 보이지만 관련 이벤트 탐색은 불가능함
9️⃣ SOC 운영성과 MDR 연계가 현실적인가
XDR은 기능이 많아도 운영할 수 없으면 실패합니다.
조직의 SOC 역량, 인력, 업무 흐름에 맞아야 합니다.
왜 중요한가
- 알림이 너무 많으면 XDR도 또 하나의 소음원이 됩니다.
- 탐지 품질보다 운영 절차가 약하면 대응 시간이 줄지 않습니다.
- 자체 SOC가 약한 조직은 MDR 연계 품질이 실제 사이버보안 수준을 좌우합니다.
확인할 항목
- 알림 중복 제거와 사건 우선순위화
- 위험 점수와 근거 설명
- 케이스 관리, 담당자 배정, 상태 관리
- 티켓 시스템 연동
- SLA와 에스컬레이션 정책
- 역할 기반 접근 제어(RBAC)
- 분석가 코멘트와 대응 이력
- 임원·운영진용 사고 요약 리포트
- 멀티테넌트/그룹사/고객사 운영 지원
- MDR 사용 시 24x7 모니터링, 대응 승인 절차, 분석 리포트 품질
어떻게 확인할까
- 실제 일일 알림량과 사건 전환율을 질문합니다.
- 오탐 튜닝 절차와 평균 소요 시간을 확인합니다.
- MDR 서비스가 단순 알림 전달인지, 실제 분석과 대응 권고까지 제공하는지 확인합니다.
- 고객 환경에 맞춘 탐지 룰 개발과 운영 개선이 가능한지 봅니다.
좋은 신호
- 알림 피로도를 줄이는 사건 중심 운영
- 분석가가 바로 실행할 수 있는 대응 권고 제공
- 탐지 튜닝과 운영 지표가 정기적으로 개선됨
- MDR이 사고 분석과 재발 방지까지 지원
위험 신호
- “AI가 우선순위화합니다”만 있고 기준이 불명확함
- 매일 많은 알림을 사람이 직접 검토해야 함
- MDR이 단순 관제 알림 전달 수준에 머무름
🔟 증적·아키텍처·비용 구조가 투명한가
증적은 XDR의 출발점이 아니라,
탐지와 대응 이후에 사건을 설명하고 복구를 완성하기 위한 기반입니다.
왜 중요한가
- 사고 대응 후에는 무엇이 발생했고, 어디까지 확산되었고, 어떤 조치를 했는지 설명할 수 있어야 합니다.
- 프로세스 트리, 명령행, 파일 해시, 계정 세션, 네트워크 연결은 원인 분석과 재발 방지에 필요합니다.
- XDR은 조직의 핵심 보안 데이터를 모으는 플랫폼이므로 안정성, 보안성, 비용 구조도 투명해야 합니다.
확인할 항목
- 사건 단위 타임라인과 대응 이력
- 원본 이벤트 확인과 내보내기
- 프로세스 트리, 명령행, 파일 해시, 파일 생성/수정 시간
- 사용자·세션·권한 변경 이력
- 네트워크 연결, DNS, Proxy, Firewall 기록
- WAF 이벤트, 웹 요청, API 호출, 클라우드 Audit Log
- SaaS, 온프레미스, 하이브리드 지원 범위
- 수집기/센서 이중화와 장애 대응
- 데이터 암호화, 키 관리, 데이터 보관 위치
- API, Webhook, Syslog, 데이터 내보내기
- 라이선스 기준: 단말 수, 사용자 수, 로그 GB, 기능별 과금
- 대량 이벤트 발생 시 비용과 성능
- 계약 종료 시 데이터 반출 가능 여부
어떻게 확인할까
- 사건 단위 증적 패키지를 생성할 수 있는지 확인합니다.
- 장애 상황에서 수집·탐지·대응이 어떻게 동작하는지 확인합니다.
- 1년 뒤 예상 이벤트량과 비용을 산정해 달라고 요청합니다.
- 관리자 오남용과 내부자 위협을 막기 위한 접근 통제와 이력을 확인합니다.
좋은 신호
- 사건 타임라인과 대응 이력을 확인할 수 있음
- 데이터 반출과 외부 연동이 자유로움
- XDR 자체의 접근 통제·가용성 기능이 충분함
- 장애와 이벤트 폭증 상황에 대한 운영 기준이 명확함
위험 신호
- 알림 제목과 요약만 남고 근거 이벤트가 부족함
- 원본 데이터 export가 제한됨
- 기본 기능은 저렴하지만 이벤트 저장과 검색 비용이 과도함
- XDR 관리자 행위 추적이 부족함
⚠️ XDR에서 반드시 걸러야 할 제품
❌ 1. 알림 통합 대시보드에 머무는 제품
- 여러 보안 제품의 알림을 한 화면에 모으는 수준
- 사건 단위 상관분석이 약함
- 공격 흐름 타임라인이 없음
문제점
- 분석가가 여전히 수동으로 공격 흐름을 맞춰야 합니다.
- “통합”처럼 보이지만 실제 대응 속도는 빨라지지 않습니다.
- 공격 진행 단계와 영향 범위를 판단하기 어렵습니다.
❌ 2. EDR 이름만 바꾼 제품
- 엔드포인트 탐지는 강하지만 계정·메일·클라우드·네트워크 분석이 약함
- XDR이라고 하지만 실제로는 EDR 중심 콘솔
문제점
- 계정 탈취, 클라우드 API 오용, SaaS 데이터 유출을 놓칠 수 있습니다.
- 공격의 초기 진입점과 최종 피해 범위를 설명하기 어렵습니다.
❌ 3. 로그 저장소형 제품
- 실시간 행위 탐지보다 저장량과 검색 기능을 앞세움
- 공격 차단·격리·계정 보호 기능이 약함
- 탐지 실패를 검색 기능으로 보완하면 된다고 설명함
문제점
- 진행 중인 공격을 멈추지 못합니다.
- 제로데이 대응을 실제 탐지가 아니라 기대에 의존하게 됩니다.
- 사이버보안 운영의 중심이 대응이 아니라 조회로 바뀝니다.
❌ 4. 자동 대응이 불투명한 제품
- 자동으로 차단하거나 사건을 닫지만 근거가 약함
- 조치 내역, 승인자, 영향 범위 추적이 어려움
문제점
- 정상 업무 중단 위험이 있습니다.
- 사고 후 왜 대응했는지 설명하기 어렵습니다.
- 분석가가 시스템을 신뢰하지 못하게 됩니다.
❌ 5. 폐쇄형 연동 구조를 가진 제품
- 탐지 결과는 보여주지만 원본 이벤트 export가 어려움
- 외부 SIEM/SOAR/포렌식 도구와 연동이 제한적
- 특정 벤더 생태계 밖의 데이터는 상관분석 품질이 급격히 떨어짐
문제점
- 조직 고유의 탐지·대응 체계를 만들기 어렵습니다.
- 장애, 비용, 계약 종료 상황에서 데이터 통제권이 약해집니다.
- WAF, EDR, NDR, IAM, 클라우드 로그를 자유롭게 연결하기 어렵습니다.
📊 핵심 평가 기준 요약표
| No | 항목 | 필수 여부 | 확인 방법 | 핵심 포인트 |
|---|---|---|---|---|
| 1 | 사건 단위 상관분석 | 필수 | 피싱→계정→단말→유출 시나리오 시연 | 알림이 아닌 공격 스토리 |
| 2 | 실시간 텔레메트리 폭과 깊이 | 필수 | 수집 필드·스키마·센서 상태·수집 지연 확인 | 탐지 가능한 데이터 확보 |
| 3 | 행위 기반 탐지 | 필수 | ATT&CK 매핑·룰 근거·커스텀 탐지 확인 | 제로데이 시대의 핵심 탐지 |
| 4 | 계정/인증 탐지 | 필수 | MFA 우회·세션 탈취·권한 상승 시나리오 확인 | 정상 계정의 비정상 사용 탐지 |
| 5 | 엔드포인트/서버 행위 탐지 | 필수 | 프로세스 트리·명령행·파일 변경·자격증명 접근 확인 | 침투 이후 행위 가시성 |
| 6 | 웹/API/클라우드/네트워크 연계 | 필수 | WAF→서버→C2→데이터 접근 흐름 시연 | 전체 공격 경로 연결 |
| 7 | 실시간 대응 자동화 | 필수 | 격리·세션 종료·메일 회수·차단·승인 절차 확인 | 빠른 차단과 업무 영향 통제 |
| 8 | 위협 헌팅/조사 피벗 | 필수 | 쿼리 언어·조인·피벗·사건 전환 확인 | 원인과 확산 범위 추적 |
| 9 | SOC/MDR 운영성 | 필수 | 알림량·우선순위·SLA·튜닝·리포트 확인 | 실제 운영 가능한 구조 |
| 10 | 증적/아키텍처/비용 투명성 | 필수 | 증적 패키지·API·RBAC·가용성·라이선스 확인 | 지속 가능한 플랫폼 |
🧪 PoC에서 반드시 시연해야 할 공격 시나리오
XDR은 문서 설명보다 실제 시연이 중요합니다.
도입 전에는 다음 시나리오를 기준으로 탐지, 상관분석, 대응, 복구 근거가 가능한지 확인해야 합니다.
1. 피싱 기반 계정 탈취 시나리오
흐름
- 피싱 메일 수신
- 사용자의 URL 클릭
- 비정상 국가 또는 ASN에서 로그인
- MFA 반복 요청 또는 신규 인증 수단 등록
- 메일 전달 규칙 생성
- 클라우드 파일 대량 다운로드
확인 포인트
- 메일, 계정, 클라우드 로그가 하나의 사건으로 묶이는가
- 계정 세션 종료와 토큰 폐기가 가능한가
- 어떤 데이터에 접근했는지 확인할 수 있는가
2. 웹셸 침투 후 내부 행위 시나리오
흐름
- WAF에서 의심스러운 업로드 탐지
- 웹서버에 신규 스크립트 파일 생성
- 웹 프로세스가
cmd.exe,sh,powershell실행 - 외부 C2 통신 발생
- 내부 서버 스캔 또는 권한 상승 시도
확인 포인트
- WAF 이벤트와 서버 프로세스 행위가 연결되는가
- 웹루트 파일 변경과 프로세스 트리를 확인할 수 있는가
- 서버 격리와 관련 IP/도메인 차단이 가능한가
3. 랜섬웨어 확산 시나리오
흐름
- 악성 첨부파일 실행
- PowerShell 또는 LOLBin 악용
- 자격증명 덤프 시도
- SMB 기반 내부 이동
- 다수 파일 암호화 또는 확장자 변경
- 백업 삭제 시도
확인 포인트
- 초기 실행부터 암호화 전 단계까지 탐지하는가
- 영향을 받은 단말과 계정을 자동으로 식별하는가
- 엔드포인트 격리와 계정 차단을 자동 또는 승인 기반으로 수행하는가
4. 클라우드/API 키 오용 시나리오
흐름
- API Key 또는 Access Token 유출
- 비정상 지역에서 API 호출
- 권한 상승 또는 정책 변경
- 스토리지 버킷/Blob 대량 조회
- 외부로 데이터 다운로드
확인 포인트
- API 호출, IAM 변경, 데이터 접근이 하나의 사건으로 묶이는가
- 유출된 키를 폐기하고 관련 세션을 종료할 수 있는가
- 어떤 데이터가 조회 또는 반출되었는지 확인할 수 있는가
5. 내부 이동과 데이터 유출 시나리오
흐름
- 탈취 계정으로 VPN 또는 SSO 로그인
- 내부 시스템 접근 시도
- 관리자 도구 또는 원격 실행 도구 사용
- 파일 서버 또는 데이터베이스 반복 조회
- 압축 파일 생성 후 외부 업로드
확인 포인트
- 계정, 단말, 네트워크, 데이터 접근 흐름이 하나의 사건으로 묶이는가
- 내부 이동 단계에서 차단할 수 있는가
- 유출 의심 데이터와 관련 사용자를 빠르게 식별할 수 있는가
📌 결론
XDR 선택의 기준은 이제 분명합니다.
“얼마나 많은 알림을 모으느냐”가 아니라,
공격이 진행되는 순간 얼마나 빨리 알아채고,
얼마나 정확히 사건으로 묶고,
얼마나 빠르게 차단·격리·복구할 수 있느냐”
이 질문에 답하지 못하면
그 제품은 강한 XDR이라기보다
보기 좋은 보안 대시보드에 머물 가능성이 큽니다.
최종 메시지
사이버보안은 저장이 아니라
실시간 가시성 → 행위 기반 탐지 → 상관분석 → 대응 → 복구의 문제입니다.
그리고 그 출발점은 늘 같습니다.
“진행 중인 공격을 놓치지 않는 사건 단위 가시성”
이 기준 없이
제로데이 대응, 랜섬웨어 대응, 클라우드 보안, 통합 보안 운영을 말하는 것은
기술이라기보다 기대에 가깝습니다.