IDS/IPS
네트워크나 시스템에서 발생하는 비정상적인 활동을 탐지하고 대응하는 보안 솔루션이다. 방화벽이 '문지기'라면, IDS/IPS는 '내부 감시 카메라 + 경보 시스템'에 해당한다. 방화벽은 허용/차단 규칙만 보지만 ids/ips 는 허용된 트래픽 안에 숨어 들어오는 ( sql, injection, 악성코드 등) 까지 들여다 본다.
IDS(Intrusion Detection System)
네트워크나 시스템에서 발생하는 이상 활동을 탐지하고 경고를 보내는 시스템.
직접 차단은 하지 않고, 이상하다고 알려주는 역할이다. 쉽게 말해 집안의 cctv + 경보기라고 생각할 수 있다.
ids 는 직접 차단은 할 수 없고 경고만 보내기 때문에 보안 관리자가 문제를 파악해 조치를 취해야 한다.
핵심 동작 방식
외부 인터넷 - 방화벽 - 스위치
|
( 미러링/SPAN 포트로 복사 )
|
IDS 센서
1. 패킷 수집
2. 패턴 분석
3. 위협 탐지
|
관리자에게 경보 전송
배치 유형
NIDS(Network-based IDS) - 네트워크 전체 감시
- 스위치 span 포트에 연결해서 지나가는 패킷 전체를 본다.
- 대표 도구 : snort, suricata
HIDS ( Host-based IDS ) - 개별 서버/pc 감시
- 서버마다 에이전트 설치해서 파일 변조, 로그 이상 등 감시
- 대표 도구 : OSSE, Wazuh
탐지 방법
1. 시그니처 기반 - 알려진 공격 패턴 DB와 비교
- 백신 프로그램이랑 원리 동일
- 빠르고 정확, DB에 없는 신종 공격은 못 잡는다.
- 시그니처 DB 최신 업데이트가 핵심
2. 이상 행위 기반 - 정상 상태를 학습 후 벗어나면 탐지
- "평소엔 트래픽이 100MB인데 갑자기 10GB?" → 탐지
- 신종 공격도 잡을 수 있지만 오탐이 많음
- 최근엔 머신러닝 결합이 트렌드
IDS 사용 실사례
https://www.dailysecu.com/news/articleView.html?idxno=167661
- SKT 유심 해킹 (2025) 공격자는 2021년 8월 최초 침투 후 987일 동안 잠복하면서 SKT 내부망을 장악했고, 2025년 4월 18일 새벽 HSS 서버 3대에서 전화번호·IMSI·인증키 등 9.82GB 분량의 유심 데이터 2,696만 건이 외부로 전송됐다. 이번 해킹에 사용된 BPFDoor 악성코드는 리눅스 커널에서 동작하여 방화벽보다 먼저 패킷을 수신하고, 평소에는 정상 프로세스로 위장해 있어 IDS 탐지가 매우 어려웠다.
- 시그니처 기반 IDS는 이런 스텔스형 악성코드를 잡지 못한다.
- 이상 행위 기반 탐지(Anomaly-based)가 함께 있었어야 한다.
IDS 장단점
장점
- 네트워크 성능에 영향 없음 - 트래픽을 복사해서 분석하는 방식이라 원본 트래픽 흐름에 전혀 영향을 주지 않는다.
- 오탐 시 서비스 장애 위험 없음 - 잘못 탐지해도 경보만 울릴 뿐, 정상 트래픽을 차단하지 않는다.
- 풍부한 포렌식 로그 제공
- 구축·운영 비용이 상대적으로 저렴
- 내부 트래픽 감시에 강함 - 내부망 스위치에도 SPAN 포트를 연결하면 내부자 공격, 내부 악성코드 확산도 탐지가능.
단점
- 탐지해도 차단 불가 - 공격을 발견해도 경보만 보내고, 실제 차단은 관리자가 수동으로 해야 한다.
- 관리자 수동 대응 → 대응 지연
- 암호화 트래픽 분석 어려움 - HTTPS처럼 암호화된 트래픽은 내용을 볼 수 없어서 그 안에 숨어있는 공격을 탐지하기 어렵다.
- 시그니처 DB 업데이트 필수 - 시그니처 기반 탐지는 DB에 없는 신종 공격(제로데이)은 못 잡는다.
IPS (Intrusion Prevention System)
IDS 가 이상을 감지하고 "이상하다! 경보!" 라면, IPS 는 "이상하다! 즉시 차단!" 이다.
네트워크 트래픽을 실시간으로 분석하고, 위협을 탐지하면 사람 개입 없이 자동으로 차단하는 능동적 보안 시스템이다.
IDS의 탐지 기능에 자동 대응(차단) 기능이 추가된 것이라고 볼 수 있다.
IPS 동작 원리 ( 패킷 흐름 )
외부 인터넷
|
방화벽
|
[IPS] ← 트래픽이 반드시 IPS를 통과해야 함
① 패킷 수신
② 딥 패킷 인스펙션(DPI)으로 내용 분석
③ 판단:
- 정상 → 그냥 통과시킴
- 위협 → 패킷 드롭 / TCP 세션 종료 / 출발지 IP 차단
④ 로그 기록 + 관리자 알람
↓
내부 네트워크 (검증된 트래픽만 도달)
IPS가 다운되면 트래픽 자체가 안 흐르기 때문에, 보통 이중화(HA, High Availability) 구성을 한다.
IPS 유형 4가지
1. NIPS (Network-based IPS)
- 네트워크 경계에 인라인으로 배치
- 내부 전체 트래픽을 실시간 차단 가능
- 가장 일반적인 형태
2. HIPS (Host-based IPS)
- 개별 서버/PC에 에이전트 설치
- 해당 호스트에서 실행되는 악성 프로세스를 직접 종료
- 암호화 트래픽도 복호화 후 분석 가능 (암호화 내용까지 봄)
3. WIPS (Wireless IPS)
- 무선 네트워크 환경 전용
- 불법 AP(액세스 포인트), 무선 침입 탐지·차단
- 기업 와이파이 환경에서 필수
4. Cloud IPS
- AWS, Azure, GCP 등 클라우드 환경에 최적화
- 오토스케일링 환경에서 자동으로 정책 적용
IPS 차단 방식
1. 패킷 드롭 (Packet Drop) : 악성 패킷을 그냥 버린다.
공격 패킷 → IPS → [DROP] → 내부 도달 안 함
2. TCP 세션 리셋 (Session Reset) : 공격자와 서버 양쪽에 TCP RST 패킷을 보내서 연결을 강제 종료
공격자 ←[RST]← IPS →[RST]→ 서버
연결 강제 종료
IPS 탐지 방법 (IDS와 동일 + 추가)
1. 시그니처 기반 - 알려진 공격 패턴 매칭
2. 이상 행위 기반 - 정상 베이스라인 벗어나면 차단
3. 정책 기반 - 프로토콜 위반 차단
4. 평판 기반
- 전 세계 위협 인텔리전스 DB에서 이미 악성으로 알려진 IP/도메인을 자동 차단
IPS 장단점
장점
- 공격을 실시간 자동 차단 → 사람 개입 없이 24시간 방어
- 방화벽이 못 잡는 애플리케이션 계층 공격(SQL Injection, XSS 등) 차단
- 방화벽 정책 자동 업데이트 연동 가능
- 빠른 대응으로 피해 최소화
단점
- 오탐(False Positive) 시 정상 트래픽도 차단 → 서비스 장애 발생 가능
- 인라인 배치 특성상 IPS 장애 = 네트워크 단절 (단일 장애 지점 위험)
- 암호화 트래픽(HTTPS) 내부 분석이 어려움 → SSL 복호화 장비 별도 필요
- 고성능 트래픽 처리 시 지연(Latency) 발생 가능
- 구축·운영 비용이 IDS보다 높음
IDS와 IPS 차이
| 구분 | IDS | IPS |
| 역할 | 탐지 + 알림 | 탐지 + 차단 |
| 역할 | Out-of-band(트래픽 흐름 밖) | In-line(트래픽 흐름 안) |
| 동작 방식 | 트래픽을 복사해서 분석 | 트래픽을 직접 통과시키며 분석 |
| 위협 대응 | 관리자에게 경고만 전송 | 자동으로 패킷 차단/드롭 |
| 서비스 영향 | 거의 없음 | 오탐 시 정상 트래픽도 차단 가능 |
| 지연 | 없음 | 약간 발생 가능 |
IDS : 트래픽 차단보다는 모니터링、로그분석이 우선일 대、 오탐으로 인한 서비스 중단이 크게 우려될 때
IPS : 실시간으로 공격을 즉시 막아야 할 때、 자동화된 방어가 필요할 때
한 줄 정리
IPS = IDS + 자동 차단
IDS 는 탐지만 하지만, IPS 는 위협을 발견하는 순간 스스로 막아버린다. 대신 오탐 시 정상 서비스도 막힐 수 있어서, 룰 튜닝과 이중화 구성이 핵심이다.
'knights Frontier' 카테고리의 다른 글
| 최신 보안 사고 사례 분석 - 2 (0) | 2026.05.29 |
|---|---|
| 최신 보안 사고 사례 분석 - 1 (0) | 2026.05.29 |
| 리눅스 기반 시스템 탐색 및 분석 - 2 (0) | 2026.05.29 |
| 리눅스 기반 시스템 탐색 및 데이터 분석 - 1 (0) | 2026.05.22 |
| git 배우기 (0) | 2026.05.12 |