StellarCyber
FAQ 50선

NDR, 실무자가 진짜 궁금한 것들

보안 담당자 1~5년차 눈높이의 질문 50개. 개념부터 도입·총판 지원까지 7개 카테고리로 정리했습니다.

카테고리 1

NDR 개념 및 필요성

(10)

NDR은 네트워크 트래픽을 실시간으로 분석해 내부에서 일어나는 이상 행위와 공격 징후를 탐지하고 대응하는 솔루션입니다. 방화벽이 "들어오지 못하게 막는" 솔루션이라면, NDR은 "이미 들어온 위협을 네트워크 안에서 찾아내는" 솔루션입니다. 공격자가 방화벽을 우회한 이후부터가 NDR의 영역입니다.

방화벽과 IPS는 알려진 위협의 진입을 막는 데 최적화되어 있습니다. 문제는 공격자가 이미 내부에 들어온 이후입니다. 정상 계정 탈취, 내부 측면 이동(Lateral Movement), 장기간 잠복 후 데이터 유출 — 이런 공격은 방화벽에 아무 로그도 남기지 않습니다. NDR은 내부 네트워크 트래픽을 보면서 이 단계의 공격을 탐지합니다.

IDS/IPS는 알려진 공격 시그니처와 대조해서 탐지합니다. 시그니처가 없는 신종 공격은 그냥 통과합니다. NDR은 AI·머신러닝 기반 행위 분석을 사용해 "이 트래픽 패턴이 정상에서 얼마나 벗어났는가"를 봅니다. 시그니처가 없어도 이상 행위 자체를 탐지할 수 있습니다.

EDR은 PC·서버 등 엔드포인트 위에서 일어나는 행위를 모니터링하고, NDR은 엔드포인트 사이를 오가는 네트워크 트래픽을 분석합니다. 에이전트를 설치할 수 없는 장비(OT 장비, 프린터, IoT 기기, 구형 서버 등)는 EDR 커버리지 밖입니다. NDR은 에이전트 없이도 네트워크 단에서 이런 장비들까지 모니터링합니다. 가장 이상적인 구성은 둘을 함께 운영하는 것입니다.

NTA는 NDR의 전신입니다. 초기에는 트래픽을 분석해서 이상을 '탐지'하는 것이 전부였지만, 이후 자동 대응·위협 헌팅·포렌식까지 기능이 확장되면서 가트너가 NDR로 재정의했습니다. NTA를 언급하는 솔루션은 대응 기능이 없거나 제한적일 수 있으니 확인이 필요합니다.

정확히는 NDR 기능을 포함한 Open XDR 플랫폼입니다. NDR만 하는 솔루션들과 달리, Stellar Cyber는 NDR 탐지 결과를 엔드포인트·클라우드·로그 데이터와 자동으로 연계해서 분석합니다. "NDR을 도입하고 싶은데 단독 솔루션보다 더 넓은 커버리지를 원한다"면 Stellar Cyber가 적합한 선택입니다.

Stellar Cyber는 네트워크 센서를 스위치 미러링 포트에 연결해 트래픽을 수집합니다. 각 장비에 에이전트를 깔 필요 없이 네트워크 전체의 통신 패턴을 분석합니다. 에이전트를 설치할 수 없는 OT 장비, 레거시 서버, IoT 기기도 커버 가능합니다.

복호화 없이도 분석합니다. JA3/JA4 핑거프린트, SNI, 인증서 메타데이터, 트래픽 패턴(접속 빈도, 데이터 크기, 타이밍)을 분석해서 암호화된 트래픽 안에 숨어 있는 C&C 통신이나 악성 행위를 탐지합니다.

패킷 캡처 방식을 사용하면 스토리지 부담이 있을 수 있지만, 네트워크 트래픽 자체에는 영향을 주지 않습니다. 부담이 우려된다면 넷플로우(NetFlow)/IPFIX 기반으로만 운영하는 옵션도 있습니다. 수집 범위는 환경에 맞게 조정합니다.

오히려 소규모일수록 보안 인력이 부족해 이상 행위를 놓치기 쉽습니다. Stellar Cyber는 AI가 분석을 자동화해 주기 때문에, 1~2명의 담당자가 있어도 운영 가능합니다. 랜섬웨어 한 건의 피해 비용이 솔루션 도입 비용보다 훨씬 크다는 점을 고려하면, 소규모 기업일수록 NDR의 가성비가 높습니다.
카테고리 2

NDR 탐지 기술 및 분석

(10)

세 가지를 동시에 씁니다. 머신러닝 기반 이상 탐지(베이스라인 대비 이탈 감지), AI 행위 분석(공격 패턴 식별), 룰 기반 탐지(알려진 공격 시그니처). 어느 하나에만 의존하지 않기 때문에 커버리지가 넓습니다.

네, NDR의 핵심 탐지 영역입니다. 공격자가 내부 장비를 순차적으로 침투할 때 발생하는 내부 스캔, 비정상적인 내부 접속, 비밀번호 분사 공격(Password Spraying) 등을 네트워크 트래픽 레벨에서 탐지합니다. EDR은 단일 엔드포인트만 보지만, NDR은 엔드포인트 간의 이동 패턴 전체를 봅니다.

가능합니다. 랜섬웨어는 감염 이전에 C&C 서버와 통신하고, 감염 후 내부 확산을 시작합니다. Stellar Cyber는 이 두 단계 모두를 네트워크 트래픽에서 포착합니다. C&C 통신 탐지(위협 인텔리전스 연계), 내부 대규모 파일 접근·암호화 시도, 비정상적인 내부 전파 패턴 등을 탐지 시나리오로 운영합니다.

네. 위협 인텔리전스 피드와 실시간 대조해 알려진 악성 IP·도메인과의 통신을 즉시 탐지합니다. 알려지지 않은 C&C의 경우, DGA(도메인 생성 알고리즘) 패턴 분석이나 비정상적인 통신 빈도·타이밍 분석으로 잡아냅니다.

UEBA(사용자·엔티티 행위 분석) 기능으로 탐지합니다. 특정 사용자가 평소와 다르게 대용량 파일을 외부로 전송하거나, 야간에 민감한 서버에 접근하거나, 퇴사 예정자가 갑자기 대량의 문서를 다운로드하는 패턴을 탐지합니다.

시그니처 기반 도구는 못 잡지만, 행위 기반 NDR은 탐지 가능합니다. "이 호스트가 왜 갑자기 내부 수백 개 IP로 스캔을 하고 있지?" 같은 행위 자체의 이상함을 잡기 때문에, 공격 코드를 몰라도 공격 행위를 탐지합니다.

탐지된 네트워크 이벤트마다 MITRE ATT&CK 전술·기법 태그가 자동으로 붙습니다. 현재 탐지된 위협이 초기 접근(Initial Access) 단계인지 데이터 유출(Exfiltration) 단계인지 한눈에 파악 가능합니다. 보고서에도 이 정보가 포함되어 경영진 보고에 활용할 수 있습니다.

Stellar Cyber는 개별 네트워크 이벤트 단위가 아닌, AI가 연관된 이벤트들을 묶어 "스코어링된 위협 케이스" 단위로 올립니다. 수십만 건의 이벤트가 수십 개의 케이스로 압축됩니다. 오탐이 완전히 없을 수는 없지만, 일반 NDR·SIEM 대비 알람 피로도가 현저히 낮습니다.

네. 수집된 원시 네트워크 데이터를 기간·호스트·프로토콜·포트 등 다양한 조건으로 직접 조회할 수 있습니다. AI가 올려주는 케이스 외에, 담당자가 능동적으로 의심스러운 패턴을 추적하는 위협 헌팅 워크플로우를 지원합니다.

가능합니다. 수집된 원시 패킷과 플로우 데이터를 시간 순으로 재구성해 "언제, 어떤 호스트에서, 어떤 통신이 일어났는지" 전체 공격 타임라인을 복원합니다. 외부 감사나 침해 신고 시 증거 자료로도 활용됩니다.
카테고리 3

아키텍처 및 데이터 수집

(8)

아닙니다. 스위치 미러링 포트(SPAN Port) 또는 네트워크 탭(TAP)을 통해 트래픽 복사본을 받아 분석합니다. 기존 네트워크 구성을 변경하지 않고 도입할 수 있습니다.

트래픽이 집중되는 핵심 구간(코어 스위치, 인터넷 경계, 데이터센터 입구)에 우선 배치합니다. 지사나 원격지가 있으면 각 거점에 추가 배치하거나 클라우드 센서로 커버합니다. 최소한의 센서 배치로 최대 커버리지를 확보하는 설계는 저희가 함께 해드립니다.

네. 클라우드 네이티브 커넥터로 VPC 플로우 로그, Azure NSG 플로우 로그 등을 수집해 클라우드 내부 동서(East-West) 트래픽도 분석합니다. 온프레미스와 클라우드를 통합 뷰로 모니터링합니다.

에이전트를 설치할 수 없는 OT·IoT 장비는 NDR의 핵심 커버리지 대상입니다. 네트워크 트래픽만 보기 때문에, 장비 운영 방식과 관계없이 해당 장비가 생성하는 통신 패턴을 모니터링합니다.

VPN을 통해 내부망에 접속하는 경우, 내부망 진입 이후의 트래픽은 NDR 모니터링 대상입니다. VPN 터널 내부 트래픽까지 분석하려면 해당 구간에 센서 배치가 필요합니다.

스토리지 구성에 따라 다릅니다. 넷플로우 기반 메타데이터는 장기 보관(수개월~1년)이 일반적이고, 풀 패킷 캡처는 스토리지 비용을 고려해 보존 기간을 설정합니다. 컴플라이언스 요건에 맞는 보존 정책 설계를 도와드립니다.

Stellar Cyber의 핵심 강점이 바로 이겁니다. NDR 데이터를 단독으로 보는 것이 아니라, 방화벽 로그·EDR 이벤트·클라우드 로그를 동일한 플랫폼에서 연계 분석합니다. 덕분에 "네트워크에서 이상 트래픽이 발생했고, 그 시점에 특정 엔드포인트에서 악성 프로세스가 실행됐다"는 식의 멀티 소스 연관 분석이 됩니다.

온프레미스 구성 시 HA 아키텍처를 지원합니다. 센서 레벨에서도 버퍼링 구조를 가지고 있어, 일시적인 네트워크 장애 시에도 데이터 유실을 최소화합니다.
카테고리 4

탐지 후 대응 자동화

(5)

Playbook을 설정하면 탐지→대응이 자동으로 이어집니다. 예를 들어 "C&C 통신이 탐지된 호스트 → 즉시 네트워크 격리 → 담당자에게 슬랙 알림" 흐름을 자동화할 수 있습니다. 자동 차단이 부담스러우면 "탐지→알림만" 먼저 운영하고, 신뢰도 높은 시나리오부터 단계적으로 자동화를 넓혀가는 방식이 일반적입니다.

네. Palo Alto, Fortinet, Check Point 등 주요 방화벽과 CrowdStrike, SentinelOne 같은 EDR에 API로 차단 명령을 자동 전달합니다. Stellar Cyber에서 탐지하고, 연결된 여러 장비에 동시에 조치하는 구조입니다.

이 우려 때문에 처음에는 자동 차단보다 알림·격리 수준으로 시작하는 것을 권장합니다. Playbook에서 액션 전 "승인 후 실행" 옵션도 있어, 자동 탐지하되 사람이 최종 확인하는 방식으로도 운영할 수 있습니다.

Playbook으로 자동 1차 대응(격리, 차단)을 미리 설정해두고, 동시에 이메일·문자·메신저로 담당자에게 즉시 통보합니다. 사람이 없는 시간에도 1차 대응은 자동으로 이루어집니다.

Slack, Microsoft Teams는 기본 통합 지원됩니다. Webhook 방식으로 연동 가능한 협업 도구라면 추가 설정으로 연동할 수 있습니다.
카테고리 5

운영 효율성 및 보고

(5)

Stellar Cyber는 이 상황에 최적화되어 있습니다. AI가 수집→분석→우선순위 정렬까지 처리하기 때문에, 담당자는 "지금 대응해야 할 위협 케이스"만 보면 됩니다. 초기 설치·튜닝은 저희가 지원하고, 이후 운영 부담을 최소화하는 환경을 구성해 드립니다.

도입 사례들을 보면 평균적으로 이벤트 처리 시간(MTTD/MTTR) 단축, 오탐 알람 감소, 월간 보안 보고서 작성 시간 단축 효과가 있습니다. PoC 기간 중 실제 수치로 확인하실 수 있습니다.

대시보드 기반 보고서를 PDF·CSV로 출력할 수 있습니다. 탐지 건수, 위협 유형 분포, 처리 현황 등을 포함한 경영진 보고용 요약 리포트와 기술 상세 리포트가 따로 제공됩니다.

네. 네트워크 모니터링 이력, 위협 탐지·대응 기록이 플랫폼에 보존되어 심사 증적으로 활용 가능합니다. 컴플라이언스 항목 맵핑 리포트도 지원합니다.

멀티테넌시 구조로 지원합니다. 본사에서 전 지사 네트워크 현황을 통합 뷰로 모니터링하면서, 각 지사별 독립 뷰도 구성 가능합니다.
카테고리 6

NDR vs 경쟁 솔루션 비교

(3)

일반 NDR은 네트워크 데이터만 분석합니다. Stellar Cyber는 NDR 데이터를 엔드포인트·클라우드·로그 데이터와 자동으로 연계해서 분석하기 때문에, 네트워크 이상 징후가 "어느 사용자·장비에서 시작됐는지"까지 추적합니다. NDR 단독 솔루션보다 공격 컨텍스트가 풍부합니다.

둘은 보는 영역이 다릅니다. SIEM은 로그 기반(무슨 일이 일어났는지), NDR은 트래픽 기반(어떻게 움직이는지)입니다. 가트너는 이 둘을 보완 관계로 정의합니다. 이미 SIEM이 있다면 NDR을 추가해 가시성을 확장하는 방향이 일반적이고, Stellar Cyber는 두 기능을 하나의 플랫폼에서 함께 제공합니다.

이상적으로는 함께 쓰는 게 좋지만, 에이전트 설치가 어려운 환경이거나 네트워크 가시성이 우선 과제라면 NDR부터 시작하는 것도 합리적입니다. Stellar Cyber는 이후 EDR을 추가해도 같은 플랫폼에서 통합 분석이 됩니다.
카테고리 7

도입 및 총판 지원

(9)

주로 모니터링 대상 네트워크 처리량(Gbps) 또는 수집 데이터 볼륨(GB/day) 기준입니다. 정확한 견적을 위해 현재 네트워크 규모와 일평균 트래픽을 알려주시면 산정해 드립니다.

스위치 미러링 포트(SPAN Port) 확보, PoC 범위(어느 구간을 모니터링할지) 정의, 평가 기준 합의 정도입니다. 설치·설정은 저희가 담당합니다. 준비 기간은 보통 1~2주, PoC 기간은 2~4주 정도입니다.

실제 우리 회사 네트워크 트래픽에서 탐지된 이상 행위, 오탐 수준, 대시보드 사용성, 기존 장비와의 연동 가능 여부, 운영 부담 수준 등을 직접 확인할 수 있습니다. "실제로 우리 환경에서 작동하는가"를 검증하는 가장 확실한 방법입니다.

국내 중견기업 도입 사례가 있습니다. NDA 범위 내에서 유사 업종·규모 레퍼런스를 상담 시 안내해 드립니다.

초기 PoC 설계부터 설치, 튜닝, 운영 교육, 보안 인증 심사 대응까지 전 과정을 한국어로 지원합니다. 운영 중 발생하는 탐지 오탐 조정, Playbook 커스텀, 신규 위협 시나리오 추가도 지원 범위입니다.

SaaS 구성 시 원시 패킷은 사외로 나가지 않습니다. 센서는 내부 네트워크에 위치하고, 분석 결과(메타데이터·이벤트)만 클라우드 플랫폼으로 전송됩니다. 데이터 보안 정책이 엄격한 경우 온프레미스 구성을 권장합니다.

SaaS 구성은 자동 업데이트됩니다. 온프레미스는 정기 업데이트 패키지를 제공하며, 주요 취약점·새로운 위협 탐지 룰은 긴급 업데이트로 제공됩니다.

탐지 이력과 대응 기록이 플랫폼에 누적되어, 신임 담당자가 과거 보안 현황을 그대로 이어볼 수 있습니다. 필요 시 신임 담당자 대상 운영 교육도 제공합니다.

네, 예산 확정 전 상담을 오히려 권장합니다. 네트워크 규모와 커버리지 목표를 파악한 후 적합한 구성과 예산 범위를 제안해 드립니다. 품의서 작성에 필요한 자료(제안서, 비교 자료, 도입 효과 정리)도 지원합니다.

다음 단계

질문이 더 있으신가요?

실무 상황을 알려주시면, 우리 환경 기준으로 답해 드립니다. 예산 미확정 상담도 환영합니다.