우리나라는 왜 아직까지 EDR 도입이 더딜까?

보안 2020. 8. 20. 11:15

첫번째, ‘엔드포인트 위협탐지 및 대응’ 솔루션이라고 하지만

‘전문가의 판단’이 최종적으로 필요한 솔루션이라는 인식이 있어서 일 것이다.

자동화 솔루션인 것처럼 포장하지만 사람이 개입하는 구조라고 생각하기 때문이다. EDR 솔루션이 엔드포인트 단에서 악성행위를 탐지하는 것은 맞다. 하지만 악성행위가 ‘맞다/아니다’로 알려주지 않고 강수확률처럼 100% 기준 퍼센테이지로 나타내기 때문에, EDR 에이전트가 보안담당자에게 “악성확률 60%의 행위를 탐지했습니다”라고 안내했을 경우 보안담당자는 곤란해진다. 결국 최종결정은 사람이 해야 한다. 책임은 결국 사람이 지게 된다.

EDR 관제 인력을 자체 고용하는 것도 어려운 일이다. 검증되고 숙련된 위협탐지 전문가를 구하기란 ‘하늘의 별 따기’이다. 어렵게 한사람을 구하더라도 24시간 보안관제가 필요한 상황에서는 한두사람으로 커버할 수 없다. 구축비용도 비싼데 인건비도 만만치 않게 든다. 수십억을 투입하여 구매할 때도 경영진 눈치가 보이는데, 구축 후에도 유지비가 꾸준히 발생하기 때문에 선뜻 도입하기 망설여진다.