[Gartner SRM Summit 2025] 매니지드 탐지 및 대응 서비스 시장 가이드
- 남광해
- 6일 전
- 2분 분량

Gartner 가이드 분석: MDR, 보안 구매를 넘어 운영 효율성으로
Gartner의 VP Analyst인 Pete Shoard는 "Managed Detection and Response(MDR) Market Guide"에서 기업의 보안 접근 방식이 근본적인 전환을 맞이하고 있다고 설명했습니다. 이제 단순히 'Buying Improved Security'하는 시대는 지나고 'Improving Security Operations Efficiency'가 핵심 과제로 떠올랐습니다.
이 가이드는 MDR 서비스가 단순한 기술 도입을 넘어, 인간 중심의 전문성과 비즈니스 중심의 통찰력을 통해 어떻게 보안 운영을 혁신하는지에 대한 심층적인 분석을 제공합니다.
MDR의 진정한 의미: 기술을 넘어선 전문가 중심의 보안 운영 모델
MDR에 대한 시장의 흔한 오해부터 바로잡아보겠습니다. MDR은 AI를 활용한 자동화 기능이나 모든 보안 문제를 해결하는 포괄적인(end-to-end) 솔루션이 아니며, 기업의 보안 대응 및 책임을 단순히 아웃소싱하는 수단도 아니라고 정의했습니다.
대신 MDR의 본질은 'Human-driven deliverables'에 있다고 설명합니다. 이는 정기적인 소통과 즉각적인 대응을 바탕으로, 발견된 모든 위협에 대해 우선순위와 관계없이 대응하는 것을 포함합니다. 또한, 서비스의 핵심은 자동화된 보고서가 아닌, 전문가의 조사와 맥락 분석을 통해 즉시 실행 가능한 형태로 제공되는 인사이트라고 덧붙였습니다.
성공적인 MDR 서비스는 명확하고 실행 가능한 결과물을 제공하고, 비즈니스의 실제 요구사항에 초점을 맞추며, 다양한 기술 환경(Identity, Cloud, Social)과 호환되어야 합니다. 또한, 연중무휴 24시간 접근 가능한 전문가를 통해 발견된 이슈의 영향을 정확히 파악할 수 있어야 합니다.
기술 자체는 이제 시장의 'Table Stakes'일 뿐이며, 진정한 차별점은 Business-driven detection use cases와 실행 가능한 결과물에서 나온다고 강조했습니다.
MDR의 진화: 'Reactive'에서 'Proactive'로
MDR 시장이 빠르게 진화하고 있으며, 2028년까지 MDR 서비스에서 제공하는 결과물의 50%가 현재의 10% 수준을 넘어 'Threat Exposures'에 대한 세부 정보를 포함하거나 이에 초점을 맞출 것이라고 예측하고 있습니다.
이는 MDR이 전통적인 'Reactive capability'(24/7 모니터링, 사고 조사 등)를 넘어 'Proactive capability'(Exposure Management, 스캐닝 등)로 핵심 서비스 범위를 확장하고 있음을 의미합니다.
이러한 변화는 Cloud(IaaS, SaaS, PaaS), 유출된 계정 정보와 같은 Identity 위협, 그리고 소셜 미디어를 포함한 디지털 브랜드 위협 등 새롭게 확장되는 Attack surface에 대응하기 위함이라고 설명했습니다. AI와 자동화는 탐지 및 대응 시간을 단축하고 효율성을 높이는 데 중요한 역할을 하지만, 서비스가 필요한 기업이 단순히 기술만 구매하는 실수를 해서는 안 된다고 조언합니다.
올바른 MDR 활용법: 효율성을 위한 전략적 선택
MDR 서비스는 모든 기업에 동일하게 적용되는 단일 모델이 아닙니다.
MDR이 제공하는 Content (탐지/대응 보고서), Technology(XDR, EDR 등), Delivery(서비스 제공 방식)를 'Shared' 모델로, 그리고 이것을 내부 팀과 긴밀히 협력하는 'Co-managed security monitoring'을 'Dedicated' 모델로 구분합니다. 기업은 콘텐츠, 기술, 서비스 제공 방식 전반에 걸쳐 자사의 요구사항에 맞는 모델을 선택해야 한다는 것입니다.
결론적으로 MDR 도입을 위해 다음과 같은 핵심 사항을 살펴봐야 합니다.
MDR을 '더 나은 보안'이 아닌 '효율성 향상'의 수단으로 접근하고, 서비스를 평가할 때는 사용하는 기술('어떻게')이 아니라 제공하는 결과물('무엇을')에 집중해야 합니다.
보고서 샘플을 요청하고 대응 Playbook을 준비하여 서비스를 어떻게 활용할지 미리 테스트하는 것이 중요합니다.
MDR과 긴밀하게 협업하여 보안 역량을 극대화할 수 있는 보안 운영 모델이 존재하는지 확인해야 합니다.
PAGO Threat Analyst 관점의 인사이트
"Managed Detection and Response Market Guide"를 통해 분석가 입장에서 중요한 Insight를 얻을 수 있었습니다.
세션 중 눈에 띄는 표현은 “Technology is Table Stack”였습니다. 이는 단순히 어떤 EDR이나 XDR 기술을 사용하느냐가 아닌, “그 기술들이 생성하는 데이터를 얼마나 효과적으로 활용하고 있는가”에 대한 고민을 하게 만듭니다. 보안 기술을 마치 Black Box처럼 수동적으로 사용해서는 안 되며, 해당 데이터를 기반으로 Proactive 역량을 갖춘 실행 가능한 결과물을 도출하는 데 집중해야 합니다.
결국 핵심은 기술 그 자체가 아니라, 그것을 '어떻게 운영할 것인가에 있다는 점을 다시 한번 깨닫게 됩니다.
작성자 – 파고네트웍스 남광해 책임 (Threat Analyst)