매니지드 탐지 및 대응(Managed Detection and Response, MDR) 시장이 주목받고 있다. 기존 로그 수집 및 상관 분석 도구만으로는 보안 위협을 따라잡기 어려워지고 24시간 상시 대응을 위한 인력 확보도 늘 어려운 과제로 남아 있는 상황에서, 전문 보안 업체가 제공하는 MDR 서비스는 점점 더 많은 기업에서 효과적인 보호 수단으로 자리 잡는 추세다.

시장조사기관 프리시던스 리서치(Precedence Research)에 따르면 글로벌 MDR 시장 규모는 2024년 기준 29억 5,000만 달러(약 4조 1,000억 원)로 집계됐으며, 2034년까지 123억 달러로 성장할 것으로 예상된다. 이는 연평균 성장률 15.3%에 해당한다.

또 다른 시장조사기관 컨텍스트(Context)는 MDR이 엔드포인트 보호 시장에서 단연 가장 빠르게 성장하는 분야로, 34.4%의 연간 성장률을 기록하고 있다고 분석했다.

여기서는 매니지드 서비스 업체, 업계 애널리스트, 보안 컨설턴트가 분석한 MDR 시장 성장을 이끄는 사이버보안 트렌드를 짚어본다.

외부 전문성 수요 증가

보안 전문가와 업계 관계자에 따르면, 전 세계적으로 숙련된 사이버보안 인력이 부족한 상황이 MDR을 포함한 매니지드 보안 솔루션 수요를 끌어올리는 주요 요인으로 작용하고 있다.

컨텍스트에서 글로벌 리서치 및 사업 개발을 총괄하는 조 터너는 필자와의 인터뷰에서 “기업은 내부 SOC를 구축하는 데 큰 어려움을 겪고 있다. 설령 구축하더라도 그 인재를 붙잡아 두는 건 더 어렵다. 그래서 탐지 및 대응 업무를 MDR 제공업체에 점점 더 외부 위탁하게 된다”라고 설명했다.

매니지드 보안 서비스 및 인시던트 대응 업체 CSIS의 보안 분석 담당 디렉터 시몬 욘커는 “자체적으로 MDR이나 SOC 역량을 구축하는 데는 막대한 비용이 든다. 야간 근무를 담당할 전문가를 고용하는 것도 매력적인 선택지가 아니며, 24시간 365일 체제를 유지하려면 최소 6~8명의 인력이 필요하다. 탐지 및 대응을 운영하는 데 필요한 전문가는 다양한 지식과 경험을 갖춰야 한다. 신입만 채용한다고 해서 충족할 수 있는 수준이 아니다”라고 강조했다.

침투 테스트 및 인시던트 대응 업체 시그니아(Sygnia)에서 벨로시티 MDR(Velocity MDR) 부문 부사장을 맡고 있는 오리 나이스테인도 같은 의견을 밝혔다. 나이스테인은 “효과적인 위협 모니터링을 위해서는 탐지 개발과 조율을 수행할 수 있는 고숙련 팀과 24시간 상시 모니터링 체계가 필요한데, 이 두 가지 모두 많은 기업에 상당한 운영 부담을 준다”라고 말했다.

디지털 트랜스포메이션, 공격 표면 복잡성 키워

전문가에 따르면 기업이 IT 환경을 현대화하면서 하이브리드 및 클라우드 네이티브 인프라 보안의 복잡성이 커지고 있으며, 이에 따라 MDR이 확장 가능하고 전문성이 결합된 보호 수단으로 매력을 더하고 있다.

하이브리드 근무로의 전환, IoT 도입, 클라우드 마이그레이션 확대는 기업의 공격 표면을 급격히 확장시켰으며, 랜섬웨어와 AI 기반 공격은 더 빠르고 정교한 대응을 끊임없이 요구하고 있다.

웨스트콘-컴스토어(Westcon-Comstor)에서 EMEA 지역 사이버보안 및 차세대 솔루션 설계 책임을 맡고 있는 기어트 부세는 “디지털 트랜스포메이션이 공격 표면을 넓히고, 클라우드 채택은 가속화되며, 사이버 위협은 점점 더 정교하고 집요해지고 있다”라고 말했다.

시그니아의 나이스테인은 “모든 기업이 사이버 위험 증가와 MDR 채택 확대를 직접 연결 짓는 것은 아니지만, 심각한 침해 사고를 겪은 기업일수록 상시 모니터링과 신속 대응 역량을 우선순위로 두는 경향이 있다”라고 말했다.

규제 준수가 중소기업의 MDR 채택 견인

산업 분야에서는 까다로운 규제 요건 충족이 주요 과제로 떠오르고 있다. 시그니아의 나이스테인은 “많은 기업이 독자적으로 규제 준수를 달성하는 데 어려움을 겪고 있으며, MDR을 현실적인 해결책으로 보고 있다”라고 설명했다.

GDPR, CCPA와 같은 규제는 기업이 침해 사고를 신속히 탐지하고 보고할 것을 요구하며, 이는 중소기업까지도 비용 효율적인 해결책으로 MDR을 선택하게 만드는 요인으로 작용하고 있다.

웨스트콘-컴스토어의 부세는 “NIS2 같은 규제 프레임워크가 더 빠른 탐지 및 대응 역량을 요구하면서 규제 압박이 점점 커지고 있다”라고 말했다.

컨텍스트에 따르면 MDR 시장에서 가장 큰 성장세를 보이는 부문은 중소기업용 패키지인 11-50 라이선스 번들(67% 증가)과 1-10 라이선스 번들(52% 증가)로 나타났다.

MDR·제로 트러스트·XDR 결합 가속화

MDR 서비스는 점점 더 제로 트러스트 아키텍처 및 확장 탐지·대응(eXtended Detection and Response, XDR) 플랫폼과 통합돼, 보다 일관되고 선제적인 보안 체계를 제공하는 방향으로 발전하고 있다.

컨텍스트의 터너는 “많은 업체가 서비스에 제로 트러스트 원칙을 접목하고 있다. 이는 탐지 및 대응 워크플로우에 신원 및 접근 제어를 내재화하는 것을 의미한다. 동시에 MDR 서비스는 점점 더 XDR 플랫폼 위에서 구축되거나 XDR과 통합되는 방향으로 가고 있다. 목표는 엔드포인트, 네트워크, 신원, 클라우드의 텔레메트리를 결합해 훨씬 더 빠르고 상황에 맞는 위협 대응을 실현하는 데 있다”라고 말했다.

시그니아의 나이스테인은 MDR이 제로 트러스트 아키텍처를 수용함으로써 ‘사람 중심의 위협 탐지 및 대응 계층’을 더하게 된다며 “제로 트러스트는 신원 검증과 규제 준수에 초점을 맞추지만, MDR은 이를 보완해 예방적 통제를 우회하는 위협까지 능동적으로 모니터링한다”라고 언급했다.

웨스트콘-컴스토어의 부세는 “제로 트러스트는 지속적인 검증과 최소 권한 접근을 요구하고, XDR은 엔드포인트·네트워크·클라우드 전반의 텔레메트리를 통합한다. MDR은 이들 프레임워크를 실질적으로 구현하는 운영 계층으로, 데이터를 연계하고, 실시간으로 위협을 탐지하며, 신속한 대응을 조율하는 역할을 한다”라고 강조했다.

클라우드 네이티브 MDR로의 전환

기업의 IT 전략이 점점 클라우드 중심으로 전환되면서, 현재 대부분의 MDR 솔루션은 클라우드 네이티브 방식으로 설계되고 SaaS 형태로 제공되고 있다.

시그니아의 나이스테인은 “대부분 최신 MDR 솔루션은 클라우드 환경을 위해 설계돼 빠른 배포, 확장성, 중앙 집중식 관리를 지원한다. 이제 온프레미스 MDR 솔루션은 드물며, 주로 고도로 특수하거나 규제가 엄격한 환경에만 제한적으로 사용된다”라고 말했다.

컨텍스트의 터너는 “클라우드 네이티브 MDR은 빠른 배포, 높은 확장성, 실시간 위협 탐지뿐 아니라 최신 데브옵스(DevOps) 워크플로우와 클라우드 네이티브 도구와의 원활한 통합도 지원한다”라고 설명했다.

터너는 “클라우드 우선(Cloud-first) MDR 플랫폼은 이제 많은 기업이 선호하는 선택지로 자리 잡고 있다. AWS, 애저, 구글 클라우드 같은 클라우드 서비스 업체와의 매끄러운 통합뿐 아니라, 뛰어난 확장성과 빠른 배포를 제공하기 때문이다. 이 같은 전환을 촉진하는 또 다른 요인은 클라우드 중심 워크로드와 데브섹옵스(DevSecOps) 실무에 맞춤화된 MDR 서비스에 대한 수요 증가다”라고 덧붙였다.

TDIR의 부상

일반적으로 MDR은 XDR 플랫폼을 기반으로 제공되며, 대부분 업체는 자사 기술의 가치를 극대화하기 위해 매니지드 서비스를 함께 제공한다. 최근에는 여기에 더해 위협 탐지·조사·대응(Threat Detection, Investigation, and Response, TDIR) 플랫폼이 주목받고 있으며, 이는 MDR의 본래 목적과 자연스럽게 맞닿아 있다.

시그니아의 나이스테인은 “XDR이 주로 엔드포인트 탐지에 기반을 두는 경우가 많은 반면, TDIR 플랫폼은 보안 스택 전반에 걸쳐 통합되도록 설계돼 더 넓은 가시성과 대응 역량을 제공한다”라고 설명했다.

AI 통합 확대, MDR 역량 한층 강화

AI/ML 기능이 MDR 플랫폼에 점점 더 많이 탑재되면서 탐지 정확도와 운영 효율성이 한층 강화되고 있다.

이들 기술은 방대한 데이터를 실시간으로 분석해 패턴을 식별하고 인간 분석가가 놓칠 수 있는 이상 징후를 포착함으로써 더 빠르고 정확한 위협 탐지를 가능하게 한다. 또한 위험도와 상황에 따라 사건의 우선순위를 지정해 경보 피로를 줄이는 데도 기여한다.

사이버보안 서비스 업체 브라이드웰(Bridewell)의 CTO 마틴 라일리는 “머신러닝이 지속적으로 발전하면서, 기업은 SOC에서 쏟아지는 방대한 알림을 필터링하고 맥락을 부여할 수 있게 됐다”라고 말했다.

대표적인 활용례로는 경보 요약 및 분류, 조사 및 상관관계 분석 자동화, 보고 및 사고 우선순위 지정 등이 있다. 이런 기능은 조사 효율성을 높이는 동시에 오탐 건수를 줄이는 데 도움을 준다. 일부 업체는 에이전틱 AI(agentic AI)를 활용해 분석가의 의사결정과 대응 권고를 지원하거나, 격리 조치 실행 같은 작업을 돕고 반복 업무를 자동화하는 데 활용한다.

시그니아의 나이스테인은 “이 같은 기술 발전에도 불구하고, 정교하거나 새로운 유형의 공격 기법처럼 맥락 이해와 판단이 요구되는 상황에서는 여전히 인간 전문가의 역할이 필수적이다”라고 덧붙였다.

엔드투엔드 보호로의 전환, MDR 시장 재편 가속화

다른 사이버보안 분야와 마찬가지로 MDR 시장에서도 대형 보안 업체와 사모펀드가 중소 MDR 업체를 인수하며 시장 재편이 본격화되고 있다.

컨텍스트에 따르면, 인수·합병(M&A) 움직임은 단순한 사업 확장을 넘어 플랫폼화(platformization)라는 더 큰 흐름을 반영한다. 많은 업체가 엔드포인트뿐 아니라 네트워크, 신원, 클라우드, 심지어 운영 기술(OT) 환경까지 아우르는 엔드투엔드 보호를 제공하려는 방향으로 나아가고 있다.

지난 1년간 주목할 만한 MDR 관련 M&A 사례로는 다음이 있다.

• 아크틱 울프(Arctic Wolf)의 사일런스(Cylance) 인수 : 2024년 12월, 1억 6,000만 달러 규모의 거래로 아크틱 울프는 기존 MDR 스택에 고급 AI·EDR 기술을 추가했다.
• 워치가드(WatchGuard)의 액트제로(ActZero) 인수 : 2025년 1월, 액트제로 인수를 통해 워치가드는 24시간 운영과 AI 기반 분류 역량을 확장했다.
• 소포스의 시큐어웍스(Secureworks) 인수 : 2025년 2월, 8억 4,900만 달러 규모로 진행된 인수를 통해 소포스는 2,000개 엔터프라이즈 계정을 확보했으며, 자사 XDR 및 SIEM 자산의 MDR 역량도 강화했다.
• 지스케일러의 레드 카나리(Red Canary) 인수 : 2025년 5월 발표된 6억 7,500만 달러 규모의 거래를 통해 지스케일러는 레드 카나리의 MDR 및 위협 인텔리전스 역량을 자사의 제로 트러스트 및 에이전틱 AI 기반 SOC 자동화와 결합했다.
• 레벨블루(LevelBlue)의 트러스트웨이브(Trustwave) 인수 : 2025년 7월 초, 레벨블루(구 AT&T 사이버시큐리티(AT&T Cybersecurity))는 글로벌 사이버보안 및 MDR 서비스 업체 트러스트웨이브 인수에 대한 최종 계약을 체결했다. 레벨블루는 이번 인수가 완료되면 업계 최대 규모의 순수 MSSP(Managed Security Service Provider)가 될 것으로 전망했다.

dl-itworldkorea@foundryco.com