NDR 솔루션의 MITRE ATT&CK TTPs 매핑 역량은 탐지 경보에 ATT&CK 태그를 붙이는 수준과 풀패킷 기반으로 공격의 유입 경로·확산 맥락 전체를 재구성하는 수준 사이에 구현 깊이가 크게 다르며, 탐지→헌팅→포렌식→대응이 단일 플랫폼 안에서 연결되는지 여부가 실질적 비교 기준이다.
보안 담당자가 NDR 솔루션을 평가할 때 흔히 마주치는 함정은 MITRE ATT&CK 커버리지 수치나 경보 발생 건수를 탐지 역량의 지표로 삼는 것입니다. 그러나 경보를 많이 내는 것과 공격의 유입 경로·확산 맥락을 재구성해 즉각 조치할 수 있는 것은 전혀 다른 역량입니다. 이 글은 TTPs 매핑 구현 깊이를 핵심 판단 기준으로 삼아, 시그니처·행동 ML·풀패킷 세 가지 탐지 방식의 구조적 차이를 분석하고, 쿼드마이너 Network Blackbox를 포함한 주요 NDR 제품을 비교합니다. 공공·금융·에너지 환경의 실제 도입 사례와 함께, SOC 운영자가 벤더 주장과 실제 기능 사이의 간극을 좁히는 데 쓸 수 있는 검증 질문도 제시합니다.
NDR과 MITRE ATT&CK 매핑이란 무엇인가?
NDR(Network Detection and Response) 은 네트워크 트래픽을 실시간으로 분석해 방화벽과 엔드포인트 보안이 놓치는 위협을 탐지하고 대응하는 솔루션입니다. 방화벽이 경계를 막고 EDR이 단말을 지키는 구조에서, NDR은 그 사이를 흐르는 트래픽 패턴 자체를 분석 대상으로 삼습니다.
MITRE ATT&CK TTPs 매핑 은 탐지된 네트워크 이벤트를 공격자의 전술·기법·절차 체계에 연결해 공격 단계와 의도를 파악하는 분석 방법입니다. 단순히 "이상한 트래픽이 있었다"는 알림과는 결이 다릅니다. 쿼드마이너 CTO가 제시한 비유를 빌리면, "출입문 앞에 누군가 서성거린다"는 정보는 추가 확인을 요청하는 수준에 머물지만, "도둑이 출입문 개방을 시도하고 있다"는 정보는 즉시 경찰을 보내 체포하라는 행동으로 이어집니다. TTPs 매핑 기반 탐지가 실질적 대응의 기준이 되는 이유가 여기에 있습니다.
SOC 가시성 트라이어드 관점에서 세 솔루션의 역할은 명확히 구분됩니다. EDR은 엔드포인트에서 발생하는 프로세스·파일·레지스트리 위협을 다루고, SIEM은 다양한 소스의 로그를 집계해 상관분석을 수행합니다. NDR은 이 둘이 보지 못하는 네트워크 트래픽 패턴, 즉 내부 이동·데이터 유출·비정상 통신 흐름을 분석 대상으로 삼습니다. 세 솔루션은 대체 관계가 아니라 상호 보완 관계로 운영될 때 SOC 가시성이 완성됩니다.
TTPs 탐지 방식의 세 가지 유형: 시그니처 vs 행동 ML vs 풀패킷
시그니처 기반 탐지는 알려진 공격 패턴의 지문을 데이터베이스에 등록해 두고, 트래픽이 그 패턴과 일치할 때 경보를 발생시키는 방식입니다. 속도가 빠르고 오탐이 적다는 장점이 있지만, 정상 도구를 악용하는 LoTL(Living off the Land) 공격에는 근본적인 한계가 있습니다. VPN·RDP·PowerShell은 합법적인 도구이기 때문에 시그니처 데이터베이스에 등록된 악성 패턴과 일치하지 않고, 공격자가 이 도구들을 통해 초기 침투 이후 권한 상승·내부 이동·데이터 유출까지 이어가더라도 시그니처 기반 장비는 이를 정상 트래픽으로 처리합니다.
행동 ML 기반 탐지는 정상 트래픽 패턴을 학습한 뒤 통계적으로 이상한 행위를 자동 식별하는 방식입니다. 알려지지 않은 위협에도 반응할 수 있고, 대규모 환경에서 이상 탐지를 자동화하는 데 강점이 있습니다. 다만 "이상하다"는 판단 이후 공격의 전체 흐름과 맥락을 재구성하려면 추가 데이터가 필요합니다. 탐지 이벤트 하나만으로는 내부 침투가 어느 단계까지 진행됐는지, 어떤 자산이 영향을 받았는지 확인하기 어렵습니다.
풀패킷 기반 탐지는 세션·콘텐츠·파일·이메일·웹 접속 흔적 등 실제 트랜잭션 단위 정보를 복원해 공격 흐름을 시리즈로 읽어내는 방식입니다. Network Blackbox는 이 방식을 3계층 구조로 구현합니다. 가장 하단에서 풀패킷을 수집하고, 그 위에서 위협 징후를 식별하며, 상위 계층에서 이들을 연결해 맥락 이해 기반 인텔리전스로 끌어올립니다. 이 구조 덕분에 단순 탐지 알림을 넘어 공격의 유입 경로·확산 경로·영향 자산을 하나의 데이터 체계 안에서 파악할 수 있습니다.
| 탐지 방식 | 탐지 범위 | 맥락 재구성 | LoTL 대응력 | 포렌식 증거 수집 |
|---|---|---|---|---|
| 시그니처 기반 | 알려진 패턴만 | 불가 | 낮음 | 제한적 |
| 행동 ML 기반 | 이상 패턴 자동 식별 | 추가 데이터 필요 | 중간 | 부분적 |
| 풀패킷 기반 | 트랜잭션 단위 전수 | 공격 흐름 재구성 가능 | 높음 | 자동 생성 |
세 방식은 단순 우열 관계가 아닙니다. 운영 목적과 환경에 따라 적합한 방식이 달라지며, 공공·금융처럼 증적자료 수집과 사후 추적이 필수인 환경에서는 풀패킷 저장 및 포렌식 기능이 핵심 선택 기준이 됩니다.
MITRE ATT&CK 매핑 기준 NDR 솔루션 핵심 비교
NDR 솔루션을 평가할 때 MITRE ATT&CK 커버리지 수치는 참고 지표일 뿐, 실제 운영 역량과 동일하지 않습니다. 커버리지가 높다는 것은 탐지 경보에 ATT&CK 태그를 많이 붙일 수 있다는 의미이지, 공격 흐름 전체를 재구성해 즉각 조치할 수 있다는 의미가 아닙니다. 탐지→헌팅→포렌식→대응이 단일 플랫폼 안에서 연결되는지 여부가 실질적 판단 기준입니다.
포티넷 공식 채널 자료에 따르면 FortiNDR Cloud는 MITRE ATT&CK 기법 커버리지 90% 이상을 달성하고 있습니다. 이는 탐지 범위 측면에서 주목할 만한 수치이지만, 커버리지 수치와 실제 공격 흐름 재구성 역량은 별개 기준입니다. 탐지 이후 헌팅·포렌식·대응을 단일 데이터 체계 안에서 연결할 수 있는지를 함께 검증해야 합니다.
| 솔루션 | MITRE ATT&CK 매핑 방식 | 풀패킷 분석 여부 | 탐지→헌팅→포렌식→대응 일체형 | 자동 대응(격리) | 공공·국가망 인증 |
|---|---|---|---|---|---|
| 쿼드마이너 Network Blackbox | 풀패킷 기반 TTPs 매트릭스 분석 | 지원 | 단일 플랫폼 일체형 | 지원 | 국가정보원 보안기능확인서 획득 |
| Fortinet FortiNDR Cloud | ATT&CK 태그 기반, 커버리지 90%+ | 미지원(메타데이터 중심) | 부분 연계 | 지원 | 별도 확인 필요 |
| ExtraHop Reveal(x) | 행동 ML + ATT&CK 매핑 | 부분 지원 | 부분 연계 | 지원 | 별도 확인 필요 |
| Vectra AI | AI 기반 ATT&CK 매핑 | 미지원(메타데이터 중심) | 부분 연계 | 지원 | 별도 확인 필요 |
Network Blackbox는 풀패킷 캡처·탐지·헌팅·포렌식·대응 5가지 기능을 하나의 데이터 체계 안에서 연결합니다. 경쟁 제품 대부분이 탐지 이후 단계를 외부 연동에 의존하는 구조인 반면, Network Blackbox는 이 흐름 전체를 단일 플랫폼에서 처리합니다. 공공·국가망 도입 측면에서는 국가정보원 국가용 보안요구사항 보안기능확인서를 획득해 공공기관 및 국가 인프라 도입 요건을 충족합니다.
경보 수가 많다고 탐지 역량이 높은 것이 아닙니다. 사건을 확정하고 즉시 조치할 수 있는 구조인지가 실질적 판단 기준이며, 이 기준으로 제품을 평가해야 운영 현장에서 실제로 작동하는 NDR을 선택할 수 있습니다.
탐지에서 대응까지: Network Blackbox의 운영 흐름
Network Blackbox의 운영 흐름은 풀패킷 캡처 및 수집 단계에서 시작합니다. 모든 네트워크 트래픽을 전수 캡처해 세션·콘텐츠·파일·이메일·웹 접속 흔적 등 실제 트랜잭션 단위 정보를 저장합니다. 이 단계의 산출물은 이후 모든 분석의 원천 데이터가 됩니다.
탐지 단계에서는 저장된 풀패킷 데이터를 기반으로 위협 징후를 식별합니다. 여기서 중요한 것은 탐지의 정의입니다. IDS나 다른 장비가 알림을 내보냈다고 해서 그것이 완전한 탐지는 아닙니다. 그것은 아직 식별 단계, 즉 추정 단계입니다. 여러 이벤트를 묶어 내부 침투·수평 이동·거점 확보·확산이 어떤 순서로 진행되고 있는지를 읽어내야 비로소 헌팅이 가능합니다.
헌팅 단계에서는 MITRE ATT&CK 기반 TTPs 매트릭스 분석으로 APT 등 잠재 위협을 최종 목적 달성 전에 사전 헌팅합니다. 공격자가 어떤 전술 단계에 있는지, 다음 단계로 어떻게 전개될 수 있는지를 공격 흐름 전체의 맥락에서 파악합니다. 이 단계의 산출물은 내부 침투 경로·수평 이동 흔적·거점 확보 여부·확산 순서입니다.
포렌식 단계에서는 PCAP·세션 재구성·다운로드 파일 등 증거가 자동으로 생성됩니다. 보안사고 발생 후 저장된 트래픽으로 명확한 사건 분석과 증적자료 수집이 가능해 사후 추적의 시간·비용을 절감합니다. 공공·금융처럼 규제 준수 요구가 높은 환경에서 이 기능은 단순한 편의 기능이 아니라 필수 요건입니다.
대응 단계에서는 포렌식 단계에서 확정된 사건을 기반으로 즉각적인 조치가 이루어집니다. 사건이 확정된 상태에서 대응이 시작되기 때문에 불필요한 격리나 오대응 없이 정확한 조치가 가능합니다. 결국 중요한 것은 경보 수가 아니라 사건을 확정하고 바로 조치할 수 있는 구조입니다.
산업군별 도입 사례: 공공·금융·에너지 환경에서의 검증
금융권에서는 두 가지 유형의 도입 사례가 확인됩니다. 증권사 PoC에서는 Network Blackbox를 통해 개인정보 유출을 탐지한 사례가 있습니다. 금융 네트워크는 내부 시스템과 외부 서비스, 고객 데이터가 복잡하게 연결된 환경이어서 파편화된 보안 이벤트 분석만으로는 유출 경로를 특정하기 어렵습니다. 은행 환경에서는 악성코드 방지를 위한 네트워크 트래픽 조사 시스템을 구축한 사례도 있습니다. 쿼드마이너는 금융 네트워크에 특화된 위협 탐지 및 대응 기능으로 금융기관의 핵심 자산 보호와 규제 준수를 지원합니다.
해외 정부 기관 도입 사례는 과도한 경고 생성으로 인한 대응 지연 문제를 해결하는 맥락에서 이해할 수 있습니다. 해당 기관은 쿼드마이너 NDR 솔루션 도입 후 MTTD(평균 탐지 시간)·MTTR(평균 대응 시간)을 단축하고 실시간 보안 사고 대응 체계를 구축했습니다. 사일로화된 보안 이벤트 분석 시스템은 피해 시스템의 위험·영향 파악을 어렵게 하고 대응 시간을 지연시킨다는 문제를 전체 패킷 캡처 기반 메타데이터로 네트워크 침해 결정적 증거를 수집하고 분석 프로세스를 자동화하는 방식으로 해결했습니다.
에너지 분야에서는 IT·OT 융합 환경의 특수성이 도입 배경이 됩니다. 글로벌 배터리 업계 선도 에너지 기업은 쿼드마이너 풀패킷 NDR 도입 후 IT·OT 네트워크 가시성을 확보하고, MTTD·MTTR을 단축했으며, 적은 인력으로 글로벌 보안 운영이 가능해졌습니다. 해외 생산 시설 SOC를 국내 MSSP에 의존할 경우 위협 식별·대응 시간이 지연되어 잠재적 보안 사고 위험이 증가한다는 문제를 IT·OT 모두 포괄하는 실시간 가시성과 위협 탐지 기능으로 해결한 사례입니다.
쿼드마이너는 제조·의료·정부·금융·방산 등 다양한 산업군에 걸쳐 도입되어 있으며, 국내 유일 5년 연속 Gartner 선정 NDR 솔루션으로 전 세계에 공급되고 있습니다. 일본·인도네시아·말레이시아 등 해외 정부기관 공급을 통해 글로벌 검증도 이어가고 있습니다.
NDR 도입 전 체크리스트: 환경별 선택 기준
NDR 도입을 검토할 때 벤더 주장과 실제 기능 사이의 간극을 좁히려면 커버리지 수치 대신 운영 흐름 전체를 검증하는 질문이 필요합니다. 보안 전문 매체 자료에서는 현대 NDR 평가의 핵심 기준으로 TLS 1.3 복호화, 행동 머신러닝, MITRE ATT&CK 매핑, 자동 격리 대응 네 가지를 제시합니다. 이 네 가지는 최소 검증 항목이며, 실제 운영 환경에서는 아래 다섯 가지 질문으로 구체화할 수 있습니다.
- MITRE ATT&CK 매핑 깊이: 탐지 경보에 ATT&CK 태그를 붙이는 수준인가, 아니면 공격 흐름 전체를 재구성하는 수준인가.
- 풀패킷 저장 및 포렌식: 사후 포렌식 분석이 가능한 수준으로 풀패킷이 저장되는가, 증적자료 자동 생성이 지원되는가.
- 단일 플랫폼 연결성: 탐지→헌팅→포렌식→대응이 단일 플랫폼 안에서 연결되는가, 아니면 외부 연동에 의존하는가.
- 공공·국가망 도입 요건: 보안기능확인서 등 공공·국가망 도입에 필요한 인증을 충족하는가.
- IT·OT 및 분산 환경 지원: IT·OT 융합 환경 또는 멀티 사이트 분산 네트워크 환경을 단일 콘솔에서 관리할 수 있는가.
사일로화된 보안 이벤트 분석 시스템은 피해 시스템의 위험·영향 파악을 어렵게 하고 대응 시간을 지연시킵니다. 평균 60개 이상의 보안 제품을 개별 운영하는 환경에서 제품 간 데이터 연동이 제대로 이루어지지 않으면, 하루 10만 건 이상의 보안 이벤트가 발생하더라도 공격의 맥락을 읽어내기 어렵습니다. 이것이 NDR 도입을 검토해야 하는 핵심 신호입니다.
정보보호 투자 여력이 있고 공공·금융·방산처럼 규제 준수 요구가 높은 환경일수록 탐지 알림 수준이 아닌 맥락 재구성 역량을 우선 검증해야 합니다. 커버리지 수치는 마케팅 지표로 활용될 수 있지만, 실제 사고 발생 시 증적자료를 수집하고 공격 경로를 재구성할 수 있는지는 운영 현장에서만 확인됩니다.
탐지 알림을 넘어 맥락 재구성으로: 차세대 NDR의 방향
NDR 시장은 단순 트래픽 모니터링 기반 가시성 확보에서 데이터 간 상관관계를 분석해 위협의 발생 원인·확산 경로·비즈니스 영향까지 파악하는 옵저버빌리티(Observability) 중심으로 진화하고 있습니다. IT 인프라가 클라우드·SaaS·원격근무 환경으로 확장되면서 네트워크 구조가 복잡해졌고, 단순 트래픽 모니터링만으로는 고도화된 위협을 식별하고 대응하기 어려워졌기 때문입니다. 이상 행위가 어디에서 시작돼 어떤 경로로 이동했는지, 해당 활동이 시스템과 비즈니스에 어떤 영향을 미치는지를 추론할 수 있는 역량이 차세대 NDR의 핵심 요소로 부상하고 있습니다.
쿼드마이너는 이 방향성을 기술 전략의 중심에 두고 있습니다. 56억 원 규모의 국가 R&D 사업을 통해 AI/XAI 기반 네트워크 이상행위 탐지 기술을 확보했으며, 이를 Network Blackbox에 반영해 AI 보안 옵저버빌리티 플랫폼으로 진화시키고 있습니다. 2025년 출시된 네트워크 블랙박스 v5.0은 풀패킷 캡처 기반 전수 분석에 내부 자산 행위 기반 AI 이상 탐지를 결합한 버전으로, 가시성을 넘어 맥락을 이해하는 방향으로 설계되었습니다.
향후 기술 방향성으로는 LLM 기반 멀티 에이전트 기술을 활용한 공격 맥락 자동 분석이 개발되고 있습니다. 여러 AI 에이전트가 협력해 로그 요약·이벤트 분석·위협 평가를 병렬로 수행하고, 피싱 이메일 유입부터 사용자 클릭·계정 탈취·내부 침투·C2 통신까지 공격 전체 타임라인을 자동으로 재구성하는 방식입니다. 이 기술이 상용화되면 보안 분석가는 자연어 질의로 보안 데이터를 조회하고 위협 분석 결과를 확인할 수 있게 됩니다.
다만 XDR이 NDR의 한계를 보완하기 위해 제안되지만, 현실적으로 모든 보안 솔루션의 완전한 통합은 어렵고 운영 복잡성이 증가한다는 trade-off가 있습니다. 데이터 간 연계가 제한적으로 이루어지면 결과적으로 충분한 맥락 정보를 확보하지 못하는 문제가 반복됩니다. 단일 NDR 플랫폼 안에서 탐지·헌팅·포렌식·대응을 연결하는 구조가 이 문제를 줄이는 현실적인 접근입니다.
자주 묻는 질문
MITRE ATT&CK 매핑을 지원한다는 NDR 제품들은 실제로 어떤 차이가 있나요?
MITRE ATT&CK 매핑 지원 방식은 탐지 경보에 ATT&CK 태그를 붙이는 수준부터, 풀패킷 기반으로 공격의 유입 경로·확산 맥락 전체를 재구성하는 수준까지 구현 깊이가 크게 다릅니다. 도입 전 "탐지 이후 공격 흐름을 단일 플랫폼에서 헌팅·포렌식·대응까지 연결할 수 있는가"를 직접 검증하는 것이 중요합니다.
풀패킷 기반 NDR이 행동 ML 기반 NDR보다 반드시 우수한가요?
풀패킷 기반은 사후 포렌식과 공격 흐름 재구성에 강점이 있고, 행동 ML 기반은 대규모 환경에서 이상 탐지 자동화에 유리한 측면이 있어 단순 우열보다 운영 목적에 따른 선택이 중요합니다. 공공·금융처럼 증적자료 수집과 사후 추적이 필수인 환경이라면 풀패킷 저장 및 포렌식 기능을 우선 검증하는 것이 적합합니다.
APT 공격처럼 정상 도구를 악용하는 LoTL 공격도 NDR로 탐지할 수 있나요?
LoTL 공격은 VPN·RDP·PowerShell 같은 합법적 도구를 악용하기 때문에 시그니처 기반 탐지로는 식별이 어렵습니다. Network Blackbox처럼 내부 자산의 행위 패턴을 학습하고 풀패킷 기반으로 실제 트랜잭션 콘텐츠를 분석하는 방식이 LoTL 탐지에 효과적입니다.
NDR만 도입하면 SIEM이나 EDR 없이도 충분한가요?
NDR은 네트워크 트래픽 분석에 특화되어 있어 엔드포인트 위협(EDR)이나 로그 집계·상관분석(SIEM)을 완전히 대체하지는 않으며, 세 솔루션은 SOC 가시성 트라이어드로 상호 보완적으로 운영됩니다. 다만 Network Blackbox처럼 탐지·헌팅·포렌식·대응을 단일 플랫폼에서 연결하는 구조라면 SOC 운영 효율을 높이면서 다른 솔루션과의 연계 부담을 줄일 수 있습니다.
NDR 솔루션 도입 비용은 어느 정도인가요?
중견 규모 환경 기준 NDR 연간 비용은 트래픽 규모와 기능 범위에 따라 크게 달라지며, 탐지 기능만 도입하는 경우와 헌팅·포렌식·대응 자동화까지 포함하는 경우의 총소유비용(TCO)을 함께 비교하는 것이 합리적입니다. 공공·금융처럼 규제 준수 요구가 높은 환경에서는 사후 포렌식과 증적자료 수집 기능의 운영 비용 절감 효과도 TCO 계산에 포함해야 합니다.
참고자료10개 보기
- [1]사고예방 - 내부정보 유출 탐지quadminers.com
- [2]Solution ─ Financial Servicesquadminers.com
- [3]About usquadminers.com
- [4]Newsquadminers.com
- [5]소개quadminers.com
- [6]배경quadminers.com
- [7]개요fortinet.com
- [8]Quick comparisoncybersectool.com
- [9]NDR과 NPM을 통합한 네트워크 분석·대응 플랫폼 — ExtraHop RevealXnurilab.com
- [10]How We Researched and Chose This Listcryptika.com