기존 보안의 한계를 극복하다 - MDR이 필요한 이유

“이 정도면 막았다고 생각했는데, 왜 뚫렸을까요?”

사이버 공격이 발생하면 기업 내부에서 가장 먼저 나오는 말입니다. EDR도 설치했고, 외부 모의 해킹도 받았고, 침입 탐지 시스템도 나름 괜찮은 걸 도입했는데, 막상 사고가 터지고 나면 대부분의 기업은 '왜 이런 일이 벌어졌는지'조차 설명하지 못합니다.

현장에선 이런 현실을 자주 마주합니다.

“우린 탐지를 했지만, 대응하지 못했다.”
“우린 로그는 모았지만, 이상 징후는 못 봤다.”
“사고인지 몰랐다. 보고를 받기 전까진...”

지금의 보안 환경은 이미 ‘탐지’ 중심에서 ‘대응’ 중심으로 무게추가 옮겨지고 있습니다. 예방이 완벽할 수 없다면, 침입 이후라도 얼마나 빨리 대응하느냐가 피해를 결정짓습니다. 그리고 바로 이 지점에서 등장한 개념이 MDR(Managed Detection and Response)입니다. MDR은 단순한, 특정 보안 솔루션 이름이 아닙니다. 하루 24시간, 주 7일 내내 기업 대신 위협을 감지하고, 판단하고, 막는 행위 그 자체라고 할 수 있죠. 그리고 그 역할을 가장 강하게 주장하는 회사가 있습니다. 바로 파고네트웍스(PAGO Networks)입니다.

이제, 보안은 장비가 아니라 사람이 지키는 시대입니다. 그렇다면, 파고가 말하는 MDR은 기존과 무엇이 다를까요? 왜 기업들은 지금 MDR을 고민해야 할까요? 저는 지난 4월 23일(수) 오전 7시부터 오후 5시 30분까지, 10시간 넘게 인터컨티넨탈 서울 파르나스에 머무르며 파고가 주최한 조찬 세미나, 기자 간담회, 그리고 PAGO Security Summit 2025에 참석했습니다. 이날 제가 듣고 체험하고 습득한 정보들을 토대로, MDR이란 무엇이며 왜 필요한지, 사이버 보안 환경을 위해 파고가 어떻게 기여할 수 있는지 총 3개의 글을 통해 자세히 알아보겠습니다. 

첫 번째 글의 목차는 아래와 같습니다.

​

1. MDR이 대체 뭐길래?

“우리는 MSS, 보안 관제 서비스 사용하고 있는데, MDR이 꼭 필요할까요?”

이 질문은 보안 담당자들이 MDR(Managed Detection and Response)을 접할 때 가장 먼저 떠올리는 의문입니다. 겉으로 보기엔 비슷해 보이지만, MDR은 기존 관제 서비스(MSS)와 근본적으로 다른데요. 한마디로 말하면, MSS가 ‘경고를 알려주는 체계’라면 MDR은 ‘직접 싸우는 체계’입니다. 먼저, MSS와 MDR의 차이를 간단히 표로 살펴봅시다.

지금부터 이야기 할 MSS와 MDR의 차이가 뭔지 감이 오시나요? 아직 잘 모르겠다는 분들을위해 사례를 하나 들어볼게요.

금요일 밤 11시, 한 제조기업의 시스템에서 이상 징후가 발생합니다. 이때 MSS에서는 어떤 일이 벌어질까요? 먼저 경고 알림이 담당자에게 전송됩니다. 하지만 이 경고에 대한 조치는 담당자가 출근할 때 까지 미뤄질 가능성이 크죠. 그 사이 공격자는 내부 시스템을 정찰하고, 데이터를 암호화하며 치명적인 피해를 남깁니다.

만약 MDR 서비스를 받고 있다면? MDR 팀은 실시간으로 이상 징후를 분석합니다. 이미 승인된 권한 범위 내에서 해당 계정을 격리하고, 의심 IP를 차단하죠. 그리고 아침에 고객에게 보고가 올라갑니다. 피해는 ‘0’에 가깝고, 위험은 사전에 봉쇄됐습니다.

이 차이의 본질은 ‘책임의 범위’입니다. MSS는 고객에게 정보를 ‘전달’하는 데 그칩니다. 하지만 MDR은 정보를 ‘이해’하고, 즉시 대응하며, 결과를 책임지는 보안 파트너입니다. 특히 파고는 MDR의 운영 방침을 “사고가 나면 대응하는 게 아니라, 사고가 안 나게 미리 개입하는 것”이라고 정의합니다.

그렇다면 MSS와 같은 기존 보안 체계는 왜 이 역할을 해내지 못하는 것일까요?

​

2. 기존 보안 체계의 한계

“EDR도 있고, SIEM도 도입했는데 왜 또 사고가 나죠?”

많은 기업들이 이 질문 앞에서 멈춰섭니다. 수억 원을 들여 보안 솔루션을 갖췄는데, 정작 사고는 금요일 밤이나 주말 새벽처럼 가장 대비가 취약한 순간에 터진단 말이죠. 그래서 보안 담당자는 "대체 그 많은 보안 예산을 들였는데 왜 사고가 나는 거냐"며 경영진에게 질책을 당하기 일쑵니다. 그런데 보안 담당자도 답답합니다. 사실 보안 담당자도 할 말이 많거든요.  문제는 기술이 아니라, ‘운영’의 한계입니다. 그럼, 어떤 한계점들이 있는 걸까요?

 ① 보안 인력 부족

<이미지 출처 : ISC2, Employers Must Act as Cybersecurity Workforce Growth Stalls and Skills Gaps Widen>

ISC2(International Information System Security Certification Consortium)의 보고서, 2024 Cybersecurity Workforce Study에 따르면, 2024년 기준 전 세계 사이버 보안 인력 부족 규모는 약 480만 명이라고 합니다. 전 세계적으로 약 480만 명의 사이버 보안 인력이 부족하다는 것인데, 특히 한국에서는 몇몇 대기업 혹은 빅테크 기업이 아니라면 숙련된 분석가(레드팀, 블루팀급)를 확보하는 것은 매우 어렵습니다. 게다가 중소기업은 물론이고, 대기업조차 24시간 대응팀 구성은 인건비와 교대근무 문제로 운영하기 어려운 것이 현실이죠.

 ② 보안 기술의 복잡성과 정보 단절 문제

<이미지 출처 : Cloud Wars, Why Data Silos Create Cybersecurity Risks and How to Break Them Down>

EDR, NDR, SIEM, XDR. 이런 최신 보안 솔루션들은 각각은 훌륭한 역할을 수행하고 있습니다. 하지만 서로 다른 UI, 룰셋, 경고 체계로 인해 통합이 어렵고 이로 인해 ‘보안 사일로’가 생깁니다. 예를 들어, 네트워크에서 수상한 접속이 있었는데, 그 계정이 어떤 엔드포인트에서 어떤 행위를 했는지 파악하려면 별도의 콘솔을 열고, 로그를 추적하고, 연결을 수작업으로 해야 합니다. 이 과정에서 제 때에 대처해야만 하는 골든타임을 놓치게 되고, 공격자는 더 깊이 침투하게 되는거죠.

 ③ AI도 완벽하지 않다

<이미지 출처 : USCSI, Why is AI in Cybersecurity a Double-Edged Sword in 2024>

많은 기업들이 “AI로 탐지하면 되지 않나?”라고 묻습니다. 맞는 말입니다. 하지만 AI도 패턴에 근거한 확률적 판단을 내릴 뿐, 의심스러운 정상행위(예: 탈취된 계정의 이상 사용)까지 구분하긴 어렵습니다. 게다가 AI가 감지해도, 그 위협이 진짜인지 판단하고 조치하는 건 여전히 ‘사람의 역할’입니다. AI가 완벽하다 한들, 사람은 그렇지 못하기 때문에 최후의 보루는 여전히 사람의 영역이라는 거죠.

 ④ SoC 24/7 운영의 현실적인 어려움

<이미지 출처 : Truesec, What Is a Security Operations Center? (SOC)>

사이버 공격은 사람처럼 낮에만 활동하지 않습니다. 랜섬웨어 공격은 금요일 밤, 휴일 새벽 같은 보안 인프라가 가장 느슨해진 시간을 노립니다. 일부러요. 실제로 파고의 데이터에 따르면, 차단한 위협 중 47%가 업무시간 외에 발생했습니다.

하지만 현실적으로 대부분의 기업은 SoC(Security Operations Center)의 24시간 운영 체계를 구축하지 못합니다. 이 때문에 대부분의 이상행위는 새벽에 감지되더라도, 월요일 오전까지 방치된 채로 확산되곤 하죠.

결국, 기업들이 겪는 보안 사고의 상당수는 기술이 부족해서가 아니라, 그 기술을 제대로 다룰 사람과 구조가 없기 때문입니다. 이제 필요한 것은 ‘도구’가 아니라 그 도구를 실제로 사용해 줄 파트너, 그리고 침입 시 대응까지 책임지는 체계가 돼야 합니다. 그렇다면 파고는 이 공백을 어떻게 채우고 있을까요? 이어서, 좀 더 구체적으로 살펴보겠습니다.

​

3. 파고 MDR 서비스의 특징

많은 보안 서비스 기업들이 MDR을 표방합니다. 하지만 “탐지하고 알려주는 것”과 “직접 막아주는 것” 사이엔 큰 간극이 있죠. 파고는 이 간극을 메우는 것을 목표로 합니다. 좀 더 구체적으로 살펴볼까요?

① 선제적 대응 원칙: 귀사의 보안 프론트라인

파고는 단순한 보안 관제 서비스를 제공하지 않습니다. 그들은 사고가 발생하면 보고하는 게 아니라, 발생하지 않도록 개입하는 것을 철칙으로 삼았는데요. 그래서 이들이 내건 슬로건은 단순하지만 강력합니다.

“Your Frontline Against Cyber Threats” (당신을 대신해 사이버 위협의 최전선에 선다)

이는 마케팅 문구가 아니라 실제 파고 MDR 서비스 모델을 한 문장으로 요약한 것으로 볼 수 있습니다. 요약입니다.

② 글로벌 확장과 실제 고객 대응 사례

2017년 설립 이후, 파고는 국내를 넘어 동남아시아 지역(싱가포르, 베트남, 필리핀, 말레이시아, 인도네시아, 태국, 라오스)까지 서비스 지역을 확장했습니다. 일부 국가는 OEM 기반의 MDR 센터를 구축해 현지 고객을 직접 대응하고 있으며, 2025년 하반기에는 미국 미주 지역에도 센터 오픈을 준비 중이라고 합니다.

현재 파고는 약 350여 고객사, 하루 평균 약 20만 건의 보안 이벤트를 실시간 분석하고 있습니다.

③ 파고 MDR의 운영 방식

파고는 고객사를 위한 ‘가상 SOC(Security Operations Center)’를 구성합니다. 주요 특징을 간단히 요약하면, 

• ●멀티테넌시 기반 대응 체계: 고객별 정책과 환경을 분리 관리

• ●자동화된 탐지 룰 + 수작업 헌팅 결합: 기술과 사람의 조화

• ●실시간 위협 판단 및 선조치 권한 운영: 승인 기다리지 않고 빠르게 격리 및 차단

• ●사고 이후 재발 방지를 위한 룰 리디자인 및 지속 포렌식

위와 같은 특징을 기반으로 파고 MDR의 가장 큰 차별점을 한 문장으로 표현하면 "사고가 터져야 대응하는 보안팀"이 아닌, 사고가 안 났더라도 움직이는 보안팀"이라고 요약할 수 있겠습니다  이런 철저한 실전 중심 운영 방식은, MDR을 단순한 ‘외주 서비스’가 아니라 특정 기업을 위한 보안 파트너로 진화시킨 사례라고 볼 수 있지 않을까요?

이제 MDR이 어떤 서비스인지 조금은 감을 잡으셨을 것 같은데요. 그런데 사실 MDR 서비스를 제공하는 기업은 많습니다. 파고만 MDR을 하는 게 아니거든요. 그럼, 이 MDR이라는 개념을 파고는 어떻게 제공하고 있을까요? 그리고 파고의 방식이 실제 위협 상황에서 다른 기업의 MDR과 어떤 차이를 만들어내는지 좀 더 자세히 알아봅시다.

​

4. 파고의 MDR이 차별화된 강점은?

MDR이라고 다 같은 MDR이 아닙니다. 위협을 감지한 순간, 누가 움직이고 어디까지 개입하느냐에 따라 그 서비스의 본질은 완전히 달라지까요. 파고는 이 질문에 대한 답을 “우리가 직접 막는다”라는 한 문장으로 명쾌하게 정리합니다. 좀 더 구체적으로 알아보기 위해 새벽 3시에 이상 행위가 발생했다고 해봅시다.

이 차이를 만들어내는 건 속도이자 결단이고, 그 중심에는 ‘위임된 권한’과 ‘현장 판단’이 있습니다. 단순히 위협을 감지하는 것을 넘어, 그 위험이 더 퍼지지 않도록 격리, 억제시키고, 고객의 자산을 보호하기 위해 고객으로부터 안전하게 위임받은 권한을 직접 행사에 필요한 조치까지 취하는 것이 파고 MDR의 차별점입니다. 그런데, 잘 안와닿죠? 좀 더 자세히 살펴봅시다.

 ① 위헙 탐지를 넘어 차단까지

파고는 위험 탐지 → 봉쇄(Containment, 확산 차단) → 중단(Disruption, 공격 차단) → 포렌식 및 룰 재설계까지
모든 단계의 대응 체계를 내부화하고 있습니다. 즉, 단순한 알림형 서비스가 아니라, 공격자의 침투 방식과 확산 경로를 파악해 다른 고객에게도 발생할 수 있는 위협을 미리 막는 구조를 갖추고 있다는 건데요. 이를 위해 파고는 ‘사고가 안 났더라도 헌팅은 계속된다’는 원칙 아래 정상 로그 안에서도 이상 징후를 찾는 Live Threat Hunting 체계를 운영합니다.

 ② IOC는 사고가 없어도 만들어져야

보통 IOC(Indicator of Compromise)는 사고 발생 이후 만들어집니다. 하지만 파고는 “사고가 없더라도 IOC는 사전에 정의돼 있어야 한다”는 원칙을 갖고 있는데요. 이 말은 곧, "우리는 위협을 인지한 뒤 대응하는 것이 아니라, 위협이 있을 수 있다고 가정하고 먼저 막는다"는 의미입니다. 이 선제적(Proactive) 사고방식은 파고가 프론트라인으로 기능할 수 있는 핵심 역량입니다.

 ③ 멀티 테넌시 기반, 동시에 350개 고객의 ‘내부 보안팀’처럼

파고가 350여 고객사의 시스템을 동시에 보호하면서도 각 고객사의 정책, 자산, 위협 히스토리에 맞춘 ‘맞춤형 보안 운영’을 가능하게 하는 핵심은 바로 멀티 테넌시 기반 MDR 아키텍처입니다. 이에 대한 내용은 두 번째 글에서 좀 더 자세히 다룰거고요.

아무튼, 고객별 룰셋 분리, 위협 전파는 실시간 공유, 사고 패턴은 전사적으로 학습 및 반영으로 이어지는 이 구조는 파고가 규모의 효율성과 개별 대응의 정밀성을 동시에 가져갈 수 있는 이유입니다. 그리고 이러한 구조가 반영되어 다수의 고객들에게서 수집되는 정보는 모두 파고에서 자체 개발한 MDR 플랫폼, DeepACT로 모입니다. 이 중앙화된 플랫폼에서 파고 직원들이 각각의 개별적인 고객의 위험 상황을 분석하고 대처할 수 있게 되는 것으로 보시면 되겠습니다.

 ④ 실전 기반의 대응 조직

파고의 MDR 서비스는 ‘실전에서 사고를 다뤄본 전문가’들이 대응하는 구조입니다. 전체 인력 중 60% 이상이 위협 분석 전문가이며, 이들은 단순 로그 분석을 넘어서 공격자의 시나리오와 의도를 꿰뚫는 위협 헌팅 능력을 갖췄습니다.

이러한 능력을 입증하기 위해, 파고는 PAGO Security Summit 2025에서 인상적인 내용을 발표했는데요. 글로벌 해킹 대회인 SentinelOne Poseidon CTF 에서 파고 팀은 세계 40개국 참가자 중 TOP 10에 랭크, 일부 참가자는 단 2점 차이로 우승을 놓쳤을 정도의 실력을 보였습니다.

따라서, 파고는 단순한 ‘MDR 서비스 제공 기업’이 아닙니다. 위협 앞에 먼저 움직이는 사람들, 사고가 나기 전에 판단을 내리는 책임자들, 그리고 고객 대신 침투를 막는 진짜 프론트라인이라고 할 수 있죠.

그렇다면 이런 파고의 방식이 실제로 기업에게 어떤 가치를 가져다줄까요? 이어서 그 내용을 살펴보겠습니다.

​

5. 파고 MDR로 기업은 어떤 효과를 얻을 수 있을까?

많은 기업들이 EDR, SIEM, NDR, AI 솔루션 등 다양한 보안 솔루션에 투자를 아끼지 않습니다. 그럼에도 불구하고 사고는 반복되고, 보안팀은 항상 “사람이 부족하니 투자를 더 해야 합니다"라고 외치고 있죠. 이런 기업이 파고의 MDR 서비스를 활용하게 돠면 실제로 무엇이 어떻게 달라질까요? 기업이 얻을 수 있는 구체적인 효과는 어떤 것들이 있는지 알아봅시다.

 ① 24시간 실시간 위협 대응 체계 확보

대부분의 기업은 야간, 주말, 공휴일에는 보안 인력이 부재합니다. 그러나 사이버 공격자는 이런 공백 시간을 정확히 노리는 것이 문제죠. 그래서 파고 MDR은 연중무휴 24×7×365 체계로 운영되며, 기업의 내부 보안팀이 쉬는 시간에도 위협을 탐지하고, 사전에 승인된 범위 내에서 선조치를 수행합니다.

즉, 공격이 감지되었을 때 누군가, 고객사 담당자가 응답하길 기다리는 것이 아니라 → 즉시 조치 후 고객에게 상황을 알리는 방식입니다.

 ② 보안 운영 부담 감소 및 업무 효율 향상

보안 솔루션은 많지만, 이를 제대로 운영할 수 있는 인력이 부족한 기업이 대다수입니다. 파고의 MDR을 도입하면 반복적인 이벤트 처리, 로그 분석, 경보 필터링 등의 작업은 파고 전문가들이 대신 수행합니다. 그래서 기업의  IT팀은 보안 외 핵심 업무에 집중할 수 있고, 보안 담당자는 전략 수립, 정책 설계 같은 고부가 업무에 집중할 수 있게 되는거죠.

 ③ 보안 솔루션의 실효성 극대화

기업이 이미 도입한 EDR, XDR과 같은 보안 솔루션들이 있다고 해도 MDR 없이는 제대로 활용되지 않는 경우가 많습니다. 앞서 언급했듯이 사일로 현상 때문에 위협을 제대로, 제때에 탐지하기 어렵고, 이로 인해 피해가 확산되기 때문이죠. 이를 잘 알고 있는 파고는 자신들이 검증한 EDR, XDR 솔루션과 같이 위협을 탐지할 수 있는 솔루션들을 직접 개발한 MDR 플랫폼과 연동, 중앙에서 위협을 실시간으로 탐지하고, 위협에 대응하기 위한 정책 튜닝, 룰셋 최적화, 이벤트 해석까지 함께 수행합니다.

결과적으로 기업의 보안팀은 EDR과 같은 보안 솔루션을 이전보다 훨씬 더 잘 활용할 수 있게 돰은 물론, 위협 대응력이 향상되는 효과를 누릴 수 있습니다.

 ④ 기업 규모에 따라 유연하게 적용 가능

파고의 MDR 서비스는 일정 규모 이상의 보안팀을 갖춘 대기업은 물론, 내부에 보안팀을 둘 여력이 없는 중소기업도 모두 활용할 수 있습니다. 기업 규모에 따라 어떻게 활용할 수 있는지 간단히 정리해 봤는데요. 아래의 표를 보시죠.

즉, 파고의 MDR은 일률적인 보안 관제 서비스가 아니라 기업의 상황, 인프라, 예산에 맞춰 유연하게 설계할 수 있는 구조라고 할 수 있습니다.

보안은 더 이상 ‘도입’이 아니라 ‘운영’의 문제입니다. 그리고 그 운영을 함께 책임져주는 파트너가 있다면, 기업은 진짜 중요한 일에 집중할 수 있게 되겠죠?

​

6. 결론: 보안의 기준은 기술이 아니라 책임이다

많은 기업들이 보안 강화를 위해 새로운 솔루션을 도입합니다. 하지만 진짜 중요한 건 기술 그 자체가 아니라, 그 기술을 어떻게 운영하고, 누가 책임지는가라는 것을 이제 잘 아셨으리라 생각되는데요. 사이버 보안은 이제 “얼마나 잘 탐지하느냐”보다 “얼마나 빠르게, 그리고 확실하게 대응하느냐”가 관건입니다. 그리고 이 대응의 무게를 대신 짊어지는 이들이 바로 파고입니다.

<이미지 출처 : 파고네트웍스, SentinelOne Poseidon CTF>

• ■기술이 아니라 '사람'이 만드는 보안

파고는 사고가 발생하면 움직이는 조직이 아니라, 사고가 나기 전에 먼저 움직이는 조직입니다. 위협 탐지 시스템이 알려주기도 전에, 로그가 이상하다고 판단되기 전에 → 파고는 고객의 입장에서, 현장에서, 먼저 움직입니다.

이것이 그들이 말하는 ‘프론트라인’입니다. 그리고 그 프론트라인에는 책임을 지는 사람이 있습니다. 결국, 보안에 있어 가장 중요한 것은 여전히 '사람'이니까요.

• ■고객이 자는 사이, 대신 깨어 있는 사람들

위협은 낮과 밤을 가리지 않지만, 기업의 보안 체계는 그렇지 못합니다. 파고는 고객이 보지 못하는 시간에도 위협을 찾고, 판단하고, 조치하는 사람들로 구성된 조직, 단순히 ‘알려주는 사람’이 아니라 ‘직접 막는 사람’입니다. 

앞서 자세히 설명했듯이, MDR은 단지 서비스의 이름이 아닙니다. 보안의 책임을 함께 지는 구조, 사고의 앞단에서 고객을 대신해 움직이는 철학입니다. 그리고 이 철학을 단순한 말이 아니라, 실제로 구현하고 있는 국내 대표 기업이 바로 파고네트웍스입니다. 이에 대한 좀 더 자세한 이야기는 세 번째 글에서 풀어볼게요.

• ■다음글 예고: 실전에서 보여준 파고의 진짜 전략은?

이번 글을 통해 "파고네트웍스는 어떤 기업인가?” “MDR이란 무엇이고, 왜 필요한가?”에 대한 개념은 잡으셨을 겁니다. 그렇다면 파고가 실제 현장에서 어떤 전략으로 실제 위협을 막고 있는지, 그리고 그들과 함께하는 SentinelOne, Stellar Cyber, StealthMole, 그리고 Verkada와 같은 파트너들은 파고와 어떻게 협력해서 기업의 자산을 사이버 공격으로부터 안전하게 보호하고 있을까요? 

다음 글에서, PAGO Security Summit 2025의 주요 세션 내용을 통해 파고가 꿈꾸는, 보다 안전한 사이버 보안 환경을 더 들여다보겠습니다.

끝!