반응형
🔥 1. EDR (Endpoint Detection and Response)란?
정의:
EDR은 엔드포인트(PC, 서버, 모바일 장치 등)의 보안을 실시간으로 모니터링하고, 의심스러운 활동을 탐지하여 대응하는 보안 솔루션이야.
즉:
👉 "엔드포인트 장치에서 발생할 수 있는 보안 위협을 실시간으로 탐지하고, 공격을 차단하거나 추적할 수 있도록 도와주는 시스템"
🔹 2. EDR의 주요 기능
1️⃣ 실시간 모니터링
- 엔드포인트에서 발생하는 모든 활동을 실시간으로 감시
2️⃣ 위협 탐지
- 비정상적인 행위나 공격 패턴을 감지 (예: 악성코드 실행, 권한 상승)
3️⃣ 자동 대응(AI 기반)
- 의심스러운 활동에 대한 자동 차단 및 격리
4️⃣ 위협 분석 및 포렌식
- 침해 사고 발생 시 원인 분석, 로그 기록을 기반으로 사건을 재구성
5️⃣ 경고 및 리포트
- 보안 이벤트 발생 시 경고 및 상세 리포트 제공
🔹 3. EDR과 백신의 차이
구분EDR백신
| 목표 | 엔드포인트 전반의 위협 탐지 및 대응 | 주로 바이러스 및 악성코드 탐지 |
| 실시간 모니터링 | 가능 (지속적 감시) | 일부 가능 (주로 수동 스캔) |
| 반응 기능 | 자동 차단, 격리, 포렌식 제공 | 주로 치료 및 삭제 |
| 위협 분석 | 공격 경로 분석, 추적 | 악성코드 정의 기반 탐지 |
| 대상 | 고도화된 공격, 멀웨어, 해킹 | 바이러스, 트로이목마, 스파이웨어 등 |
🔥 2. 백신 (Antivirus)란?
정의:
백신은 컴퓨터에 침입하는 악성코드(바이러스, 트로이목마, 웜 등)를 탐지하고 제거하는 보안 프로그램이야.
즉:
👉 "컴퓨터나 서버에 들어오는 악성코드를 탐지하고 치료하는 프로그램으로, 주로 정해진 패턴을 기반으로 검사"
🔹 3. 백신의 주요 기능
1️⃣ 악성코드 탐지
- 기존 악성코드 시그니처(Signature)를 기반으로 악성코드 식별
2️⃣ 실시간 감시
- 시스템에 설치된 악성코드가 실행되거나 침입하려 할 때 실시간으로 탐지
3️⃣ 주기적 스캔
- 사용자가 설정한 주기에 따라 파일 시스템을 스캔하고 악성코드를 제거
4️⃣ 격리 및 삭제
- 발견된 악성코드를 격리하거나 삭제하여 시스템을 보호
5️⃣ 백신 업데이트
- 최신 바이러스 패턴을 반영한 정기적인 업데이트
🔹 4. EDR과 백신의 비교
구분EDR백신
| 탐지 방식 | 행동 기반, AI, 머신러닝 | 시그니처 기반 (정해진 패턴) |
| 주요 목적 | 고도화된 공격 및 내부 위협 대응 | 주로 기존 악성코드 탐지 및 제거 |
| 주요 기능 | 실시간 모니터링, 자동 대응, 사고 분석 | 악성코드 탐지, 스캔, 삭제 |
| 배포 대상 | 엔드포인트(PC, 서버, 모바일 등) | 엔드포인트 및 클라우드 서비스 |
| 비용 | 상대적으로 고가 (기업 환경) | 비교적 저렴 (개인 및 소규모 기업) |
🎯 한 문장 요약
EDR = 엔드포인트에서 발생할 수 있는 고도화된 위협을 실시간으로 탐지하고 대응하는 보안 솔루션
백신 = 주로 바이러스와 악성코드를 탐지하고 제거하는 보안 프로그램
반응형
'2. 보안 > 3. 시스템 보안' 카테고리의 다른 글
| [보안_GPT] Rootkit 감지 도구란? (0) | 2025.11.17 |
|---|---|
| [보안_GPT] HIDS(Host-based Intrusion Detection System)란? (0) | 2025.11.17 |
| [보안_GPT] Linux 커널/패키지 업데이트란? (0) | 2025.11.14 |
| [보안_GPT] sudo 권한이란? (0) | 2025.11.14 |
| [보안_GPT] root 계정이란? (0) | 2025.11.14 |