EDR 도입 성능 저하 우려 해결법 5가지, 현장 보안 담당자들은 이렇게 합니

목차 숨기기

1. 서버에 EDR 에이전트 깔면 느려진다는데, 그래도 해야 하는 걸까

2. 에이전트 성능 문제, 업계가 이미 알고 있고 해결하려는 방향

3. 보안뉴스 설문이 보여준 한국 기업의 현주소

4. 중국 법인을 두고 있다면 이건 또 다른 문제

5. 그래서 “안 깔겠다”가 답인지 생각해 봐야 한다

6. 보통 기업이 지금 챙길 수 있는 것들

7. Q&A

서버에 EDR 에이전트 깔면 느려진다는데, 그래도 해야 하는 걸까

2025년 4월, SK텔레콤 해킹 사고 소식이 터지고 나서 보안 담당자들 사이에 한 마디가 퍼졌다. “HSS 서버에 EDR이 안 깔려 있었다고?” 실시간으로 가입자 인증을 처리하는 핵심 서버에, 이상행위를 추적하는 도구가 없었다.

리눅스 서버라 백신조차 설치가 안 돼 있었다는 얘기도 나왔다. SK텔레콤은 사고 이후 리눅스 서버에 백신과 EDR을 순차 설치하기 시작했다.

그런데 막상 도입하려고 보면, 현장에서 제일 먼저 나오는 말이 있다. “서버 느려지면 어떡해?”

에이전트 성능 문제, 업계가 이미 알고 있고 해결하려는 방향

지니언스가 AV와 EDR을 하나의 에이전트로 합친 건 단순한 기능 업그레이드가 아니다. 국내 기업들이 단말에 보안 솔루션이 너무 많아서 생기는 성능 저하와 안정성 문제를 풀어달라고 계속 요구해온 결과라고 보는 게 자연스럽다.

Gartner도 EDR을 별도 시장으로 안 보고 EPP(엔드포인트 보호 플랫폼)의 한 조각으로 묶어 평가하고 있다. 즉, “에이전트를 하나로 줄여라”가 시장 전체의 흐름인 셈이다.

CrowdStrike도 공식적으로는 “1% 미만의 CPU 점유율”을 내세운다.

물론 벤더 발표와 실제 환경은 다를 수 있다. 다만, EDR 벤더들이 경쟁적으로 “가볍다”를 마케팅 포인트로 잡고 있다는 건, 반대로 말하면 무거우면 시장에서 살아남기 어렵다는 걸 그들도 알고 있다는 뜻이다.

그래서 지금 시점에서 현실적인 접근은 이런 것 같다. “EDR을 깔까 말까”가 아니라 “어떤 EDR을 어떤 방식으로 깔 것인가”로 질문 자체가 바뀌어야 하지 않을까.

보안뉴스 설문이 보여준 한국 기업의 현주소

보안뉴스·시큐리티월드가 보안 전문가 1,533명을 대상으로 한 설문에서, EDR 또는 XDR을 도입해서 쓰고 있다는 응답은 16.3%에 그쳤다. “EDR·XDR 모두 안 쓴다”가 54.2%로 절반을 넘었다.

대부분은 아직 안티바이러스 같은 기존 도구에 머물러 있다. 공공·금융·대기업 위주로 퍼지고는 있지만, 중소기업까지 내려오기엔 비용도 비용이고, 관제할 인력이 없다는 게 현실이다.

그런데 SKT 사고 이후 분위기가 달라졌다. 특히 리눅스 서버처럼 “보안 솔루션 안 깔아도 되는 영역”이라고 여겨졌던 곳이 뚫리면서, EDR·MDR 도입 논의가 산업 전반으로 번지고 있다는 게 안랩 측 분석이다.

중국 법인을 두고 있다면 이건 또 다른 문제

여기서 두 번째 걱정이 끼어든다. 중국에 법인이 있거나 중국 서버를 운영하는 기업이라면, EDR 에이전트가 본사 클라우드 서버와 통신해야 하는데 만리방화벽(GFW)이 이걸 막거나 느리게 만들 가능성이 크다.

VPN 접속도 2026년 들어 중국 당국의 단속이 전국적으로 강화되면서 더 불안정해졌다. 중국 현지에서 한국 본사 VPN 서버로 접속이 안 된다는 사례가 IT 커뮤니티에서 심심치 않게 올라온다.

통신만 문제가 아니다. 2026년 1월부터 시행된 중국 사이버보안법(CSL) 개정안은 처벌 수위를 대폭 올렸다.

해외 보안 솔루션이 중국 내 데이터를 수집해서 국외로 전송하면, 데이터 안전법과 개인정보보호법에 동시에 걸릴 수 있다. 중국 국가안전부 산하 CNITSEC은 외국 기업이 중국에서 쓰거나 파는 기술에 대해 ‘국가 안보 검토’를 할 수 있는 권한까지 갖고 있다.

풀어서 말하면, 글로벌 EDR 제품(CrowdStrike, SentinelOne 등)을 중국 법인 서버에 그대로 깔았을 때, 에이전트가 수집한 로그가 미국이나 한국 클라우드로 넘어가는 구조라면, 중국 당국이 문제 삼을 여지가 있다는 뜻이다.

게다가 만리방화벽 때문에 에이전트가 클라우드 콘솔과 제대로 동기화가 안 되면, 위협을 탐지해도 대응이 늦어질 수밖에 없다.

그래서 “안 깔겠다”가 답인지 생각해 봐야 한다

SKT 사고에서 드러난 건, HSS 같은 핵심 서버에 EDR이 없으면 BPF도어 같은 은닉형 악성코드가 몇 달 동안 들어앉아 있어도 모른다는 사실이다.

민관합동조사단 분석에 따르면, 침투에 쓰인 BPF도어는 정상 시스템 프로세스처럼 위장하고 네트워크 트래픽까지 속여서 방화벽 탐지를 우회했다. 안티바이러스로는 못 잡는 부류다.

속도가 걱정된다고 안 깔았더니, 사고가 터져서 더 큰 비용을 치르는 패턴이 반복되고 있다.

보통 기업이 지금 챙길 수 있는 것들

상황	현실적 선택
서버 성능 걱정	단일 에이전트(AV+EDR 통합) 제품 검토. 기존 에이전트 수부터 줄이는 게 우선이다. 전면 도입 전에 핵심 서버 몇 대에 먼저 시범 설치해서 CPU·메모리 영향을 직접 측정하는 게 낫다.
중국 법인 있는 경우	글로벌 EDR의 중국 내 리전(데이터센터) 지원 여부 확인. 없다면 중국 현지 보안 벤더(텐센트 클라우드 보안, 치후360 등)를 별도로 검토해야 할 수 있다. 데이터 국외 이전 규정을 반드시 법무팀과 짚어야 한다.
관제 인력 없음	MDR(관리형 탐지·대응) 서비스 이용. EDR을 사서 깔기만 하면 끝이 아니라, 누군가 경보를 봐야 하는데, 그 인력이 없으면 전문 업체에 맡기는 게 현실적이다.
비용 부담	기존 보안 에이전트에 EDR 기능을 추가하는 점진적 방식(소만사 DLP+EDR, 안랩 V3+EDR, 지니언스 NAC+EDR 등)으로 초기 투자를 줄일 수 있다.
SW자산관리·서버모니터링 함께 도입	에이전트 수가 늘어나니까 충돌 테스트를 반드시 선행해야 한다. 도입 순서는 “자산 파악(SW자산관리) → 위협 탐지(EDR) → 상태 감시(서버모니터링)” 순이 효율적이다. 뭘 갖고 있는지 모르면 뭘 지킬지도 못 정한다.

결국, “깔면 느려진다”는 걱정은 타당하지만, “안 깔면 뚫린다”는 현실도 이미 여러 번 증명됐다. 둘 다 비용이다. 어느 쪽이 더 큰 비용인지를 따져보면, 답은 꽤 분명해지는 것 같다.

Q&A

Q1. EDR 에이전트를 서버에 설치하면 실제로 얼마나 느려지나요?

제품마다 다르지만, 최신 EDR은 공식적으로 CPU 1~3% 내외를 표방합니다. 다만 스캔이 집중되는 시점이나 다른 에이전트와 충돌할 경우 일시적으로 10% 이상 치솟은 사례(CrowdStrike 2022년 버그)도 보고돼 있어, 시범 설치 후 실측하는 것이 가장 정확합니다.

Q2. SK텔레콤 해킹 사고와 EDR은 어떤 관계가 있나요?

침투에 사용된 BPF도어 악성코드는 정상 프로세스로 위장해 안티바이러스를 우회했습니다. EDR은 행위 기반으로 수상한 동작을 추적하기 때문에 이런 은닉형 위협을 탐지할 가능성이 높습니다. SKT는 사고 이후 리눅스 서버에 EDR을 설치하기 시작했습니다.

Q3. 중국에 법인이 있는데 글로벌 EDR을 그대로 쓸 수 있나요?

만리방화벽으로 인한 통신 불안정과 중국 사이버보안법상 데이터 국외 이전 제한이 걸릴 수 있습니다. EDR 제품이 중국 내 데이터센터를 지원하는지, 로그 데이터가 국외로 전송되는지를 반드시 확인해야 합니다.

Q4. EDR, SW자산관리, 서버모니터링을 동시에 도입하면 에이전트 충돌이 걱정되는데요?

대기업 PC에 평균 5~6개 에이전트가 깔리면서 블루스크린, 성능 저하, 솔루션 간 충돌이 실제로 발생합니다. 단일 에이전트 통합 제품을 우선 검토하고, 도입 전 충돌 테스트를 반드시 진행해야 합니다.

Q5. 관제 인력이 없는 중소기업도 EDR을 도입할 수 있나요?

MDR(관리형 탐지·대응) 서비스를 이용하면 외부 전문가가 경보를 분석하고 대응해줍니다. EDR만 깔고 아무도 안 보면 의미가 크게 줄어들기 때문에, 인력이 없는 환경에서는 MDR이 현실적인 선택입니다.

※ 댓글은 한번 필터를 하고 있습니다. 그래서 바로 댓글이 업로드 되지 않습니다. 그래도 댓글을 많이 남겨주세요. 백링크나 욕설만 아니면 공유하면서 소통합니다.