IDS(침입 탐지)와 IPS(침입 차단)의 차이

 

 

네트워크 보안의 시작은 흔히 방화벽이라 말하지만, 네트워크에서는 방화벽만으로 모든 공격을 막기엔 한계가 있습니다.

방화벽은 정해진 '성문'을 통과하는 IP와 포트만 검사할 뿐, 페이로드에 담긴 악성 코드까지는 읽지 못하기 때문입니다. 이러한 빈틈을 메우기 위해 등장한 것이 바로 패킷의 내부를 정밀하게 들여다보는 IDS와 IPS입니다.

 

하지만 비슷해 보이는 이 두 장비는 네트워크에 배치되는 방식부터 장애 발생 시 서비스에 미치는 영향까지 완전히 다른 특성을 가집니다.

오늘은 왜 방화벽 너머에 이들이 필요한지, 그리고 두 장비의 차이점에 대해 알아보겠습니다.

 

 

 

IDS(Intrusion Detection System): 침입 탐지 시스템

IDS(침입 탐지 시스템)은 무단 접근이나 정책 위반 징후를 감지하기 위해 네트워크 또는 시스템 활동을 모니터링하고 분석하는 보안 도구입니다.

악성 공격이나 보안 프로토콜 위반과 같은 위험 가능성이 있는 활동을 찾기 위해 들어오는 트래픽을 분석합니다. 만약 잠재적 위협이 탐지되면, IDS는 관리자가 해당 문제를 조사하고 적절한 조치를 취할 수 있도록 알림을 생성합니다.

하지만 그에 대한 적극적인 조치는 취하지 않습니다.

 

트래픽이 지나가는 메인 통로는 그대로 두고, 스위치 장비에서 패킷을 복사해서 IDS에게 던져줍니다.(이를 Mirroring 또는 SPAN이라고 합니다.)

 

배치 장소 

IDS는 배치 장소에 따라 분류할 수 있습니다.

• 네트워크 기반 IDS
  • 네트워크로 들어오고 나가는 모든 트래픽을 모니터링합니다.
• 호스트 기반 IDS 
  • 네트워크 내의 개별 장치(호스트)를 모니터링합니다.
  • 트래픽 외에도 해당 컴퓨터에 있는 클라이언트의 활동도 모니터링합니다.

 

탐지 방법 

IDS는 잠재적 위협을 식별하는 방식에 따라 분류할 수 있습니다.

• 시그니처 기반 IDS
  • 알려진 공격의 미리 정의된 패턴(시그니처)에 의존합니다. 수신된 데이터를 공격 시그니처와 비교합니다.
  • 공격 시그니처가 데이터베이스에 추가되지 않으면 새로운 공격을 탐지할 수 없습니다.
• 이상 현상 기반 IDS
  • 머신 러닝 또는 통계 모델을 사용하여 정상적인 동작 방식을 정의합니다. 정상 상태에서 벗어나는 활동은 의심스러운 활동으로 표시됩니다.
  • 알려지지 않은 공격이나 행위를 감지할 수 있습니다.
  • 모델을 미세 조정하지 않으면 오탐률이 높아집니다.

 

IDS는 의심스러운 활동을 탐지하고 심각한 피해가 발생하기 전에 관리자에게 경고할 수 있지만, 공격을 차단하지는 못하므로 추가적인 조치가 필요합니다.

 

 

 

IPS(Intrusion Prevention System): 침입 방지 시스템

IPS(침입 방지 시스템)은 악성 활동을 탐지할 뿐만 아니라 실시간으로 발생을 방지하는 고급 보안 시스템입니다. 

네트워크 트래픽을 가로채서 알려진 위협 시그니처와 비교하고, 피해를 발생시키기 전에 의심스러운 활동을 즉시 차단하거나 무력화합니다.

IPS는 사전 예방적인 반면, IDS는 주로 사후 대응적인 시스템입니다.

 

트래픽이 지나가는 통로 한가운데에 위치해서 모든 패킷은 IPS를 통과해야만 목적지에 갈 수 있습니다. (Inline)

따라서 위협이 감지될 경우 그 자리에서 패킷을 붙잡을 수 있습니다. 

이러한 특징으로 IPS 장비에 장애가 발생한다면 네트워크가 단절될 위험이 있기 때문에, 실무에서는 장비 장애 시 트래픽을 그대로 통과시키는 하드웨어 바이패스 기능이 필수적입니다.

 

IDS와 마찬가지로 IPS도 시그니처 기반, 이상 현상 기반 위협 탐지 방법을 사용할 수 있습니다. 또한 호스트 기반, 네트워크 기반이 될 수 있습니다.

 

 

 

Firewall vs IDS vs IPS

 

구분	Firewall	IDS	IPS
주요 역할	출입 통제 (허용/차단)	감시 및 알림 (탐지)	실시간 방어 (차단)
검사 계층	L3, L4	L4~L7	L4~L7
검사 범위	Header(IP, Port 등)	Payload (패킷 내부 내용)	Payload (패킷 내부 내용)
배치 방식	Inline	Out-of-Path(미러링)	Inline
동작 방식	규칙 기반(ACL)	복사된 패킷 분석(수동적)	실시간 트래픽 분석(능동적)
장애 시 영향	네트워크 단절	영향 없음(가시성 상실)	네트워크 단절

 

 

차세대 방화벽 (NGFW: Next Generation Firewall)

 

과거에는 방화벽, IDS, IPS를 각각 별도의 장비로 구입하여 연결해야 했지만 장비가 늘어날 수록 네트워크 지연이 발생하는 원인이 되었습니다.

이를 해결하기 위해 등장한 것이 바로 차세대 방화벽입니다.

 

기존 방화벽의 패킷 필터링 기능에 애플리케이션 인식 및 제어, IDS, IPS 등 고급 보안 기능을 통합한 솔루션입니다.

따라서 현대 인프라에서는 차세대 방화벽이나 이를 더 확장한 UTM 장비를 사용하여 관리 효율성과 보안성을 동시에 확보하는 것이 일반적입니다.

 

 

 

---

 

학습용으로 작성한 포스팅이므로 오류가 있을 수 있습니다.

잘못된 내용이나 보완이 필요한 부분이 있다면 댓글로 알려주세요!

 

 

 

 

출처

- IDS와 IPS - 차이점은 무엇인가요?

https://www.youtube.com/watch?v=OUmBimnGrC8

- Intrusion Prevention System (IPS)

https://www.geeksforgeeks.org/ethical-hacking/intrusion-prevention-system-ips/

- Intrusion Detection System (IDS)

https://www.geeksforgeeks.org/ethical-hacking/intrusion-detection-system-ids/