침입 탐지 시스템과 침입 방어시스템이란?

침입 탐지 시스템과 침입 방어시스템이란? 🛡️

네트워크 보안에서 방화벽 다음으로 많이 듣게 되는 용어가 바로 IDS와 IPS입니다. 이 두 가지 시스템은 현대 네트워크 보안의 중추적인 역할을 담당하고 있지만, 초보자에게는 다소 혼란스러울 수 있습니다. 오늘은 이 두 시스템의 기본 개념부터 차이점까지 쉽게 알아보겠습니다.

 

IDS(침입 탐지 시스템)에 대해서 🔍

IDS의 기본 역할과 기능

IDS(Intrusion Detection System)는 네트워크나 시스템에서 발생하는 의심스러운 활동을 모니터링 및 탐지하는 시스템입니다. 마치 쇼핑몰의 CCTV나 경비원과 같은 역할을 한다고 생각하면 이해하기 쉽습니다.

주요 기능

• 네트워크 트래픽이나 시스템 활동 모니터링 👀
• 알려진 공격 패턴이나 이상 행동 감지 🕵️
• 보안 위협 발견 시 알림 생성 🚨
• 보안 로그 생성 및 관리 📝

IDS는 네트워크에서 비정상적인 행동을 감지하면 관리자에게 알립니다. 하지만 중요한 점은 IDS는 단지 '탐지'만 하고, 직접적인 대응 조치는 취하지 않는다는 것입니다.

 

다른 유형의 IDS와 그 동작의 차이

1. 네트워크 기반 IDS (NIDS) 🌐

네트워크 트래픽을 모니터링하여 의심스러운 활동을 탐지합니다.

특징

• 네트워크 세그먼트나 중요 지점에 설치 🔌
• 모든 네트워크 패킷을 분석 📊
• 넓은 범위의 네트워크 보호 가능 🌍
• 암호화된 트래픽 분석에 한계 있음 🔒

예시: Snort, Suricata, Zeek(이전의 Bro)

2. 호스트 기반 IDS (HIDS) 💻

개별 컴퓨터나 서버에 설치되어 해당 시스템 내의 활동을 모니터링합니다.

특징:

• 특정 호스트의 시스템 파일, 로그, 프로세스 모니터링 📂
• 운영체제 수준의 변경사항 감지 가능 🔄
• 로컬 공격 탐지에 효과적 🎯
• 호스트 리소스 사용으로 성능 영향 가능성 ⚠️

예시: OSSEC, Tripwire, Wazuh

3. 탐지 방법에 따른 분류

시그니처 기반 IDS 📚

• 알려진 공격 패턴(시그니처)과 비교하여 탐지
• 새로운 종류의 공격에 취약함
• 정확한 탐지율과 낮은 오탐률

행동 기반 IDS 🧠

• 정상 활동의 기준선을 설정하고 편차 탐지
• 제로데이 공격 탐지 가능
• 학습 기간 필요 및 상대적으로 높은 오탐률

 

IPS(침입 방어 시스템)에 대해서 ⚔️

IPS의 기본 역할과 기능

IPS(Intrusion Prevention System)는 IDS의 진화된 형태로, 의심스러운 활동을 탐지할 뿐만 아니라 자동으로 차단하거나 방어 조치를 취합니다. 쇼핑몰의 보안 시스템이 침입자를 발견하고 자동으로 문을 잠그는 것과 유사합니다.

주요 기능:

• 악의적인 트래픽 탐지 및 분석 🔍
• 공격 시도 실시간 차단 🛑
• 취약점 보호 및 패치 🩹
• 포렌식 데이터 수집 🔬

 

IDS와의 차이와 왜 둘 다 필요한가?

IDS vs IPS: 주요 차이점 ⚖️

주요 기능	탐지 및 알림	탐지 및 차단/방어
네트워크 위치	미러링된 포트 (트래픽 복사)	인라인 (직접 트래픽 경로)
대응 시간	사후 대응 (탐지 후 관리자 조치)	실시간 대응 (자동 차단)
트래픽 영향	최소 (모니터링만)	잠재적 영향 있음 (검사 및 처리)
오탐 영향	불필요한 알림	정상 트래픽 차단 가능성

왜 둘 다 필요한가? 🤔

1. 단계적 방어 제공 🏰
   • IDS는 광범위한 모니터링과 가시성 제공
   • IPS는 알려진 위협에 대한 즉각적인 방어 제공
2. 균형 잡힌 보안 접근법 ⚖️
   • IDS의 포괄적 탐지 + IPS의 적극적 방어
   • 오탐으로 인한 영향 최소화
3. 다층 방어 전략 🧅
   • 단일 보안 솔루션의 실패나 우회에 대비
   • 서로 다른 탐지 메커니즘 활용
4. 규제 준수 지원 📜
   • 많은 산업 규제가 탐지와 방어 모두 요구
   • 포괄적인 보안 로깅 및 감사 지원