시그니처 기반 방어의 한계, 이제는 인정할 때
오랫동안 안티바이러스(Antivirus)는 엔드포인트 보안의 핵심이었습니다. 알려진 악성코드의 시그니처(Signature)를 데이터베이스와 대조해 탐지·차단하는 방식은 단순하지만 효과적이었죠. 하지만 공격자들은 이미 이 방어 방식을 우회하는 법을 터득했습니다.
CrowdStrike의 2025 글로벌 위협 보고서에 따르면, 2024년 탐지된 공격의 79%가 멀웨어를 사용하지 않는 방식이었습니다. 탈취된 자격증명(Credential), 정상 시스템 도구 악용, 직접 키보드 조작(Hands-on-keyboard) 기법 등 — 시그니처 기반 안티바이러스가 탐지할 수 있는 '악성 파일' 자체가 없는 공격입니다.
안티바이러스 vs. EDR: 무엇이 다른가
안티바이러스는 파일, 프로세스, 네트워크 트래픽을 알려진 악성코드 시그니처와 대조합니다. 일치하면 차단·격리·삭제합니다. 잘 알려진 악성코드 변종에 대해서는 여전히 유효한 첫 번째 방어선입니다.
엔드포인트 탐지 및 대응(EDR, Endpoint Detection and Response)은 접근 방식이 근본적으로 다릅니다. 모든 관리 엔드포인트에서 프로세스 활동, 파일 접근, 네트워크 연결, 레지스트리 변경 등 행위 텔레메트리(Behavioral Telemetry)를 지속 수집하고, 이를 실시간으로 분석해 알려진 공격 기법 또는 비정상적 행동 패턴을 탐지합니다.
EDR이 위협을 탐지하면 MITRE ATT&CK 프레임워크에 매핑된 상세 컨텍스트와 함께 알림을 생성하고, 보안팀은 중앙 콘솔에서 즉시 조사·격리·복구 조치를 취할 수 있습니다. 많은 EDR 플랫폼은 감염된 엔드포인트를 자동으로 네트워크에서 격리해 횡적 이동(Lateral Movement)을 차단하는 자동 대응 기능도 제공합니다.
현대 위협은 이미 안티바이러스를 앞서고 있다
안티바이러스만으로 막기 어려운 위협 유형은 다음과 같습니다.
- 파일리스 악성코드(Fileless Malware) — 메모리에서만 실행되어 디스크에 흔적을 남기지 않음
- 제로데이 익스플로잇(Zero-day Exploit) — 시그니처나 패치가 존재하지 않는 취약점 악용
- 지능형 지속 위협(APT, Advanced Persistent Threat) — 탐지 임계값을 피하는 저강도 장기 침투
- 자격증명 기반 공격(Credential-based Attack) — 정상 계정으로 네트워크를 횡단, 악성코드 배포 없음
더욱 심각한 것은 공격 속도입니다. 같은 보고서에서 2024년 평균 공격자 브레이크아웃 타임(Adversary Breakout Time)은 48분으로 단축됐고, 가장 빠른 사례는 51초에 불과했습니다. 수동 에스컬레이션에 의존하는 탐지·대응 프로세스로는 대응 자체가 불가능한 수준입니다.
안티바이러스와 EDR, 함께 써야 하는 이유
중요한 점은 EDR이 안티바이러스를 '대체'하는 것이 아니라 '보완'한다는 것입니다. 안티바이러스는 알려진 위협에 대한 첫 번째 방어선으로 여전히 필요하고, EDR은 그 방어선을 우회한 위협을 탐지·조사·대응합니다. 두 레이어가 함께 작동할 때 진정한 엔드포인트 보호가 가능합니다.
MSP(관리형 서비스 제공업체) 환경에서는 여기에 백업 및 복구(Backup & Recovery) 기능까지 통합된 플랫폼이 특히 중요합니다. 위협을 막는 것과 그 영향을 복구하는 것은 별개의 문제이기 때문입니다. Acronis Cyber Protect Cloud는 EDR, 안티바이러스, 백업을 단일 에이전트와 콘솔로 제공해 보안과 비즈니스 연속성을 동시에 지원합니다.
전문가 인사이트
국내 중소·중견기업 환경에서 아직도 '안티바이러스 하나 깔았으니 됐다'는 인식이 적지 않습니다. 하지만 최근 국내에서도 자격증명 탈취 후 정상 계정으로 침투하는 방식의 랜섬웨어 피해 사례가 늘고 있어, 시그니처 기반 방어만으로는 한계가 분명합니다.
EDR 도입을 검토하는 IT 관리자라면 단순히 '탐지 기능 추가'가 아닌, 탐지 후 얼마나 빠르게 격리·복구까지 이어지는지를 평가 기준으로 삼으시길 권장합니다. Acronis EDR은 AI 기반 분석과 원클릭 대응(Single-click Response)을 제공해 보안 인력이 부족한 MSP 환경에서도 빠른 대응이 가능하도록 설계되어 있습니다.
특히 MSP를 통해 다수 고객사를 관리하는 환경이라면, EDR 단독 솔루션보다 Acronis Cyber Protect Cloud처럼 EDR·안티바이러스·백업이 통합된 플랫폼을 선택하는 것이 운영 효율성과 비용 측면에서 유리합니다. 보안 사고 발생 시 '막는 것'뿐 아니라 '복구하는 것'까지 하나의 콘솔에서 처리할 수 있기 때문입니다.
본 포스팅은 해외 ICT 뉴스를 바탕으로 국내 시장 관점에서 재구성한 콘텐츠입니다.
Acronis 솔루션 도입에 대해 궁금하신 점이 있으시면 KDSys에 문의해 주세요.