RSAC 2026과 MDR 관점
- PAGO Networks
- 1일 전
- 3분 분량
몇 년 전만 해도 Managed Detection and Response는 이를 실제로 운영할 수 있는 성숙도를 갖춘 일부 기업에 한정된 개념이었다. 그러나 RSAC 2026에서는 이 인식이 바뀌었고, 이제 MDR은 플랫폼, 클라우드, 서비스 기업을 막론하고 모든 벤더가 자신을 설명하는 중심 개념이 되었다.
이러한 확산은 하나의 전환점을 만든다. 모든 벤더가 MDR을 내세우는 상황에서는, 그 용어 자체의 의미가 흐려진다. 이제 중요한 것은 MDR을 실제로 어떻게 수행하는가이다. 바로 이 지점에서 시장의 차이가 드러나기 시작한다.
MDR이 널리 사용되면서 그 의미는 다양한 방향으로 확장되고 있다. 일부 서비스는 여전히 Managed EDR이나 Managed XDR에 가까운 형태로, 특정 도구나 환경에 기반한 알림, 대시보드, 대응 권고에 초점을 둔다.
반면 또 다른 모델이 등장하고 있다. 이 모델은 공격의 전체 맥락을 이해하고, 여러 도메인에서 발생하는 신호를 연결하며, 그 이해를 실제 대응으로 이어가는 데 집중한다. 두 모델 모두 MDR이라고 불리지만, 그 안에 담긴 운영 수준은 크게 다르다. 차이는 의사결정 방식과 책임의 범위에서 나타난다.
간단한 예를 들어보자. 엔드포인트에서 의심스러운 PowerShell 실행이 탐지된다. 한 모델에서는 이 이벤트가 티켓으로 생성되고 조사 권고로 이어진다. 다른 모델에서는 동일한 신호가 계정 이상 징후와 네트워크 활동과 함께 분석되어, 공격이 확산되기 전에 즉시 시스템 격리와 계정 초기화가 이루어진다. 탐지는 같지만 결과는 완전히 다르다.
대부분의 조직은 이미 여러 계층의 탐지 체계를 운영하고 있다. 엔드포인트, 네트워크, 계정, 클라우드 환경에서 끊임없이 신호가 발생한다. 문제는 이 신호를 정확하게 해석하고, 적절하게 대응하는 데 있다.
Managed EDR에 가까운 서비스는 주로 알림과 가이드를 제공하는 수준에서 멈춘다. 활동을 보여주고 다음 단계를 제안하지만, 실제 실행은 고객의 몫으로 남는다.
실제 환경에서는 이 차이가 빠르게 드러난다. 계정 오용이나 권한 상승과 같은 초기 징후는 사고가 커지기 전에 이미 나타난다. 이러한 신호를 인지하고도 대응하지 않으면 공격자는 계속 움직인다. 낮은 우선순위로 보이던 알림이 몇 분 내에 lateral movement로 이어질 수 있다.
운영 성숙도가 높은 MDR은 다르게 작동한다. 시스템 전반에서 공격 흐름을 재구성하고, 영향을 평가한 뒤, 격리, 차단, 계정 초기화, 정책 변경과 같은 대응을 바로 실행한다. 동시에 이러한 대응은 노출 관리, 위협 인텔리전스, 사고 대응, 포렌식 분석과 연결된다.
이 지점에서 접근 방식의 차이는 더 분명해진다. MDR이 단순히 도구의 확장으로 여겨지는 환경에서는 대응이 미리 정의된 플레이북이나 승인 절차에 의존한다. 반면 운영 중심 모델에서는 실시간으로 검증된 판단을 기반으로 분석가가 직접 책임을 지고 대응을 실행한다.
이 차이는 빠르게 전개되는 상황에서 결정적인 영향을 미친다. 대응이 지연될수록 리스크는 커지고, MDR은 보안 운영의 핵심 축으로 작동하게 된다.
구매자의 기대도 변화하고 있다. 이제 평가 기준은 기능 비교에서 벗어나 운영 책임으로 이동하고 있다.
다음과 같은 질문이 실제 평가 기준이 되고 있다.
실제 사고 발생 시 누가 의사결정을 내리는가
그 분석과 결과에 대해 누가 책임을 지는가
실제 상황에서 대응이 어디까지 수행되는가
기존 보안 도구들을 하나의 운영 모델로 통합할 수 있는가
이 질문들은 현실에서 나온 것이다. 정상적인 계정이 여러 시스템에서 사용되는 경우, 각각의 활동은 정상처럼 보일 수 있다. 이를 하나의 공격 흐름으로 연결하지 못하면 대응은 지연된다. 반대로 이를 연결할 수 있다면 확산 전에 차단이 가능하다.
지속적인 모니터링이나 커버리지에 대한 설명은 활동을 의미할 뿐, 책임을 의미하지 않는다.
RSAC 2026이 보여준 더 큰 흐름은 MDR이 이제 보안 운영에서 실행 레이어로 평가된다는 점이다. 이 레이어는 탐지와 결과 사이에 위치하며, 신호가 통제된 사건으로 관리될지, 비즈니스 영향으로 확대될지를 결정한다. 속도만으로는 충분하지 않다. 해석의 정확성과 실행 능력이 함께 요구된다.
이 과정에서 인간의 판단 역할도 더욱 중요해지고 있다. AI가 분석과 조사 속도를 높이면서, 최종 의사결정의 무게는 더 커졌다. 맥락을 이해하고 영향을 판단하며, 지체 없이 대응을 실행하는 능력이 실제 운영의 성패를 좌우한다.
실제 운영에서 드러나는 MDR의 차이:
항목 | 제한적 MDR (도구 중심) | 운영 중심 MDR (실행 중심) |
주요 초점 | 알림과 가시성 | 의사결정과 결과 |
탐지 | 단일 도구 또는 단일 영역 | 엔드포인트, 네트워크, 계정, 클라우드 통합 분석 |
분석 | 알림 기반 검토 | 공격 흐름 기반 맥락 분석 |
대응 | 권고 또는 플레이북 | 직접 대응 실행 (격리, 차단, 초기화) |
의사결정 주체 | 고객 또는 공동 | MDR 팀이 책임 |
대응 속도 | 에스컬레이션 의존 | 검증된 맥락 기반 즉시 실행 |
공격 이해 | 개별 이벤트 중심 | 전체 공격 흐름 기반 |
통합 | 특정 도구 중심 | 기존 스택 전체 통합 |
분석가 역할 | 모니터링 및 전달 | 판단, 검증, 실행 |
결과 | 지연된 대응 | 통제된 사고 처리 |
이러한 역량은 운영 구조, 의사결정 방식, 책임 체계에 의해 형성된다. 시장이 MDR 중심으로 정렬되면서, 차별화는 기술이 아닌 운영에서 발생한다.
두드러지는 기업들은 다음과 같은 특징을 가진다.
여러 환경의 활동을 맥락을 유지하며 연결할 수 있는 능력
알림 수가 아닌 실제 위험을 기준으로 우선순위를 정하는 능력
권고에 머무르지 않고 직접 대응을 실행하는 능력
그 결과에 대해 책임을 지는 구조
이 수준의 실행을 위해서는 단순한 통합이 아니라, 기술과 프로세스, 사람의 판단이 유기적으로 결합된 운영 모델이 필요하다. 이로 인해 MDR 평가 방식도 달라진다. 기능이나 커버리지를 비교하는 것이 아니라, 실제 사고 상황에서 어떻게 작동하는지가 중심이 된다.
현실적인 평가 방법은 다음과 같다.
실제 사고 상황에서 의사결정이 어떻게 이루어지는지 질문할 것
대응이 실제로 어떻게 수행되는지 확인할 것여러 데이터 소스를 어떻게 하나의 공격 흐름으로 통합하는지 볼 것
계정 오용이나 lateral movement 같은 초기 신호가 얼마나 빠르게 대응으로 이어지는지 평가할 것
비즈니스 영향이 발생할 때 누가 책임을 지는지 확인할 것
이 기준들은 실제 사고가 어떻게 전개되는지를 반영한다. 동시에 MDR이 분석에서 실행까지 지체 없이 이어질 수 있는지를 보여준다.
RSAC 2026은 MDR이 존재하는지 여부가 아니라, 실제 환경에서 어떻게 작동하는지가 핵심이라는 점을 보여준다. 벤더들은 비슷한 기능과 메시지를 제시할 수 있다. 그러나 사고가 발생하고 압박 속에서 의사결정이 내려지는 순간, 그 차이는 분명해진다. 결국 MDR은 어떻게 운영되는지, 그리고 중요한 순간에 얼마나 일관되게 통제된 결과를 만들어내는지로 정의된다.
