🛡️ IDS·IPS·웹방화벽 완벽 이해
IDS(침입탐지시스템), IPS(침입방지시스템), 웹방화벽(Web Firewall) 세 가지 핵심 보안 시스템을 다룹니다. 이들은 모두 네트워크 공격으로부터 내부 시스템을 보호하는 핵심 장비입니다.
1️⃣ IDS란 무엇인가?
▪ 개념
IDS (Intrusion Detection System) 컴퓨터 또는 네트워크에서 발생하는 이벤트를 실시간으로 모니터링하고 분석하여 침입을 탐지하고 대응하는 시스템입니다.
- 실시간 이벤트 분석 및 공격 탐지
- 침입자 행위에 대한 경보(Alert) 생성
- 로그 분석 및 법적 증거 자료 확보 가능
▪ IDS가 필요한 이유
- 정보시스템의 IT 의존도 증가
- 방화벽만으로는 차단 불가한 공격 존재
- 침입 및 피해 가능성 증가
- 실시간 탐지와 신속한 대응 필요
2️⃣ IDS의 주요 구성요소
IDS는 크게 4가지 요소로 구성됩니다.
| 구성요소 | 설명 |
|---|---|
| 자료 수집 | 네트워크 또는 호스트에서 패킷 및 로그 수집 |
| 자료 필터링 및 축약 | 불필요한 데이터를 제거하고 의미 있는 이벤트만 추출 |
| 침입탐지 | 오용탐지, 이상탐지 기반의 탐지 수행 |
| 책임추적성과 대응 | 침입 행위 기록, 경고 전송, 방화벽 연동 차단 |
3️⃣ HIDS vs NIDS 비교
| 구분 | HIDS (Host-based IDS) | NIDS (Network-based IDS) |
|---|---|---|
| 설치 위치 | 서버/클라이언트 내부 | 네트워크 외부 독립 장비 |
| 탐지 대상 | 호스트 내 로그, 시스템 콜 | 패킷 트래픽 |
| 장점 | 암호화 세션 영향 없음 / 실시간 판단 용이 | 호스트 영향 최소화 / 실시간 탐지 가능 |
| 단점 | 리소스 사용 증가 / 개별 설치 필요 | 암호화 트래픽 분석 불가 / 별도 서버 필요 |
✅ 요약: HIDS는 “호스트 내부 보호용”, NIDS는 “네트워크 전체 감시용”입니다.
4️⃣ 침입탐지 방식: 오용탐지 vs 이상탐지
| 구분 | 오용탐지 (Misuse Detection) | 이상탐지 (Anomaly Detection) |
|---|---|---|
| 기준 | 알려진 공격 시그니처 | 평균적 행위로부터의 이상행동 |
| 장점 | 탐지 정확도 높고 효율적 | 새로운 공격도 탐지 가능 |
| 단점 | 신규 공격 탐지 불가 | 학습기간 길고 오탐 가능성 높음 |
💡 최근에는 AI 기반의 이상탐지 기술이 연구되고 있으나, 여전히 사람의 규칙 정의(시그니처 기반)보다 정확도가 낮습니다.
5️⃣ IDS의 대응 방식
| 유형 | 설명 |
|---|---|
| 능동적 대응 (Active Response) | 진행 중인 공격의 연결 차단, 계정 잠금, 세션 종료, 패치 적용 등 |
| 수동적 대응 (Passive Response) | 로그 기록, 관리자 알림 (SMS, 이메일, Syslog) |
6️⃣ IDS의 한계점과 문제점
- 완벽한 보안 솔루션이 아님
- 오탐(잘못된 탐지)과 미탐(탐지 실패) 발생 가능
- 관리자의 숙련도 및 정책 업데이트 필수
- 암호화된 트래픽 분석 불가 (복호화 장비 필요)
- 개인정보 유출 가능성 (로그에 민감정보 저장)
7️⃣ IDS의 대표 엔진: Snort
Snort는 오픈소스 IDS로, 실시간 트래픽 분석 및 패킷 로깅을 수행합니다.
▪ 기본 구조
- Packet Sniffer: 네트워크 패킷 캡처
- Preprocessor: 비정상 트래픽 탐지
- Detection Engine: 룰(Rule) 기반 탐지
- Logging/Alert: 로그 저장 및 관리자 알림
▪ 룰 구성 예시
alert tcp any any -> 192.168.1.0/24 80 (msg:"WEB ATTACK"; sid:1000001;)| 항목 | 의미 |
|---|---|
| alert | 경고 발생 및 로그 기록 |
| protocol | TCP / UDP / ICMP |
| S-IP / D-IP | 출발지 / 목적지 IP |
| S-Port / D-Port | 출발지 / 목적지 포트 |
| msg | 탐지 시 표시할 메시지 |
| sid | 룰 식별자 (100만 이상 사용자 정의) |
8️⃣ IPS (Intrusion Prevention System)
- 개념
IPS = IDS + Prevention (차단)
IDS가 탐지만 수행한다면, IPS는 탐지 후 즉시 차단까지 수행합니다 .
- 주요 특징
- 실시간 트래픽 분석 + 차단
- 악성코드, 웜, DoS, DDoS 탐지 및 대응
- L3~L7 계층 전방위 프로토콜 분석
- Inline 방식 운영 (패킷 경로 내에서 차단 수행)
9️⃣ IDS vs IPS 비교
| 구분 | IDS | IPS |
|---|---|---|
| 목적 | 침입 탐지 | 침입 차단 |
| 기능 | 이벤트 분석, 경고 | 실시간 차단, 격리 |
| 운영 방식 | Out-of-line (탐지용) | Inline (차단용) |
| 대응 | 수동 | 능동 |
| 성능 영향 | 없음 | 지연 발생 가능 |
⚙️ 핵심 차이:
IDS는 감시자, IPS는 문지기 역할입니다.
🔟 웹방화벽 (WAF: Web Application Firewall)
웹 해킹은 웹서버 애플리케이션의 취약점을 공격하는 기법으로,
WAF는 이를 탐지·차단하는 전용 장비입니다.
- 주요 기능
- SQL Injection, XSS, CSRF 공격 차단
- OWASP Top10 기반 공격 탐지
- URL, Parameter, Cookie 필터링
- HTTPS 복호화를 통한 패킷 분석
| 보호 대상 | 공격 유형 | 방어 방법 |
|---|---|---|
| 웹 서버 (Port 80/443) | SQL Injection, XSS, Directory Traversal | HTTP 요청 검사 및 필터링 |
🧭 종합 비교 요약
| 구분 | IDS | IPS | WAF |
|---|---|---|---|
| 위치 | 네트워크 감시 구간 | 트래픽 경로 중간 | 웹 서버 앞단 |
| 주요 역할 | 침입 탐지 | 침입 차단 | 웹 공격 차단 |
| 기반 기술 | 시그니처 / 패턴 매칭 | 정책 기반 실시간 차단 | HTTP 프로토콜 분석 |
| 차단 가능 공격 | 네트워크 침입 | DoS, 악성 트래픽 | 웹 애플리케이션 취약점 공격 |
💡 결론
- IDS는 탐지 중심(passive), IPS는 차단 중심(active), WAF는 웹 서비스 전용 보호입니다.
- 3가지를 연계해 다층적 보안(Defense in Depth)을 구축하는 것이 이상적입니다.
- 최적의 운영은 “방화벽 + IDS + IPS + WAF”의 4중 구조입니다.