본문 바로가기
AI스쿨 리팩토링

8주차 - DDoS, 방화벽, IDS, IPS

by By 풀스택다이버 2025. 6. 21.

0. 과제 및 과정 소개

8주차 - 방화벽, IDS, IPS.pptx
0.91MB

 

과제 발표에 사용한 PPT파일을 첨부합니다. 이 과제는 AI스쿨 리팩토링 보안 과정의 일부로 2024년 1월 13일에 발표되었으며 보안 기초에 해당하는 DDoS, 방화벽, IDS, IPS를 다루었습니다. 리팩토링 교육과정에 참여하고자 하신다면 아래 AI스쿨 공식 카페에 방문해 주세요.

 

 https://cafe.naver.com/itscholar

 

정보보안전문가 취업카페 스칼라 : 네이버 카페

비전공자 전문IT교육, 정보보안전문가, 보안을 아는 개발자, AI 양성교육, IT기술리더, 창업가 양성

cafe.naver.com

1. DDoS (Distributed Denial of Service)

DDoS 공격, 출처: Cloudflare 디도스 공

정의

  • DDoS는 웹사이트나 네트워크 자원을 마비시켜 정상적인 운영이 불가능하도록 대량의 악성 트래픽을 유입시키는 공격입니다. 이는 단순 트래픽 과부하를 유발하는 것을 넘어, 기업이나 기관의 서비스를 일시적으로 또는 장기적으로 중단시키는 크래킹(Cracking)의 일종으로 분류됩니다.
  • 이 공격은 트래픽 교통체증과 유사합니다. 수많은 악성 요청이 몰리면서, 정작 도달해야 할 정상 요청은 차단되거나 지연되어 서비스 거부 상태(Denial of Service)가 됩니다.
  • 특히 DDoS는 OSI 7계층 중에서도 다음 계층에서 주로 발생합니다
    • 계층 3 (네트워크 계층)
    • 계층 4 (전송 계층)
    • 계층 6 (표현 계층)
    • 계층 7 (애플리케이션 계층)

복잡도가 높을수록 탐지가 어려워지고 방어가 까다로워지기 때문에, 최근에는 주로 상위 계층 공격이 증가하고 있습니다.

DDoS 공격 절차

  1. 악성코드 유포
    공격자는 다양한 경로(예: 이메일, 웹사이트, P2P 공유 등)를 통해 악성코드를 배포하고, 일반 사용자 PC를 감염시켜 봇(Bot)으로 만듭니다.
  2. C&C 서버 구축
    이 봇들을 제어하기 위한 C&C(Command & Control) 서버를 구축하여, 공격 명령을 원격으로 전달할 수 있는 환경을 조성합니다.
  3. 공격 명령 전파
    공격자는 C&C 서버를 통해 수많은 봇넷들에게 특정 시스템에 동시다발적인 트래픽을 전송하라는 명령을 내립니다.
  4. 서비스 마비
    수신 서버나 네트워크 장비는 과도한 트래픽으로 인해 리소스 고갈, 연결 끊김, 응답 지연 등의 문제를 겪으며, 결국 정상적인 서비스 제공이 불가능한 상태에 이릅니다.

이러한 일련의 과정은 자동화되어 있어, 공격자는 단 한 번의 명령으로 수십만 대의 기기를 조종할 수 있으며, 시간과 장소에 구애받지 않고 피해를 유발할 수 있습니다.

DoS와 DDoS의 비교

Dos VS DDoS 출처: DoS Attack vs DDoS Attack: Key Differences? ❘ Fortinet

구분 DoS (Denial of Service) DDoS (Distributed Denial of Service)
공격 방식 단일 장비 또는 사용자가 목표 서버를 공격 여러 대의 감염된 장비(봇넷)가 동시에 목표 서버를 공격
트래픽의 원천 하나의 출발지에서 발생 다수의 출발지에서 동시 발생 → 출처 추적 및 차단이 어려움
공격 규모 상대적으로 작고 짧은 시간 내 영향 매우 크고 지속적이며 피해 범위가 광범위함
탐지 용이성 비교적 탐지 및 차단 용이 공격 방식이 다양하고 출처가 분산되어 탐지 및 차단이 어려움
방어 난이도 낮음 높음 – 고성능 방화벽, IPS, 트래픽 분산 장비 필요
주요 피해 일시적인 서비스 중단 장시간 동안 광범위한 피해, 시스템 다운, 신뢰도 저하 등
사용 기술 단순한 패킷 전송 반복, SYN Flood 등 다양한 Flooding 기법, 반사 공격, 애플리케이션 계층 공격 등 포함

DDoS는 DoS의 확장된 형태로, 공격 주체의 규모와 방식의 정교함에서 큰 차이를 보입니다. 이 때문에 대응 전략도 훨씬 복잡하고 정교한 설계가 필요합니다.

주요 공격 유형

  • 대역폭 공격
    서버와 네트워크 간의 대역폭을 대량의 트래픽으로 채워 정상적인 트래픽이 통과하지 못하도록 하는 공격입니다. 대상은 라우터, 방화벽, 스위치, 서버 등 모든 네트워크 경로의 장비가 포함됩니다. UDP Flooding, ICMP Flooding 등이 여기에 해당합니다.
  • 프로토콜 공격
    IP 및 전송 계층(TCP/UDP)의 취약점을 이용하여 시스템 리소스를 과다하게 사용하게 만드는 방식입니다. 일반적으로 라우터, 방화벽 등 네트워크 장비가 대상이 되며, SYN Flood, Ping of Death 등이 대표적인 예입니다.
  • 애플리케이션 공격
    웹 서버나 운영체제의 애플리케이션 계층(7계층) 구조적 한계를 악용하여 시스템 자원을 고갈시키는 공격입니다. HTTP GET/POST Flood, Slowloris 등이 포함되며, 탐지가 어렵고 방어가 복잡하다는 특징이 있습니다.

DDoS 공격 분류

Ping of Death, 출처: Cloudflare

 

분류 공격 유형 상세
대역폭 공격 UDP Flooding 대량의 UDP 패킷을 발생시켜 경로상의 회선 대역폭을 소진
  ICMP Flooding 대량의 ICMP 패킷을 발생시켜 경로상의 회선 대역폭을 소진
프로토콜 공격 TCP SYN Flooding 대량의 SYN 패킷을 발생시켜 시스템 커넥션이나 메모리 자원을 소진
  TCP Out-of-State-Packet Flooding 대량의 비정상적인 TCP Flags 패킷을 발생시켜 시스템의 CPU 부하를 유발
  Ping of Death Ping Size를 매우 크게 하여 시스템에서 단편화로 인한 CPU 부하를 유발
애플리케이션 공격 HTTP GET Flooding 대량의 GET 요청을 발생시켜 시스템의 DB 커넥션이나 DB 과부하를 유발
  CC Attack HTTP GET 요청 시 캐싱을 하지 않도록 설정하여 서버의 부하를 유발
  Slowloris 불완전한 HTTP GET 요청으로 시스템의 연결을 유지, 커넥션 자원을 소진
  RUDY Content Length를 비정상적으로 크게 하여 시스템의 연결을 계속 유지
  DNS Query Flooding 대량의 DNS Query 패킷을 발생시켜 DNS 서버의 QPS(query/sec)를 소진
  DNS Amplification DDoS SRC IP를 공격 대상 IP로 위장하여 대상 DNS 서버로 대량의 패킷을 유도
  Mail Bomb 대량의 전자우편을 보내어 대상 메일서버의 디스크 소진이나 과부하를 유발

DDoS의 위험성

  • 지속적인 위협: 방어 대상이 명확하고, 탐지가 어렵고, 신속한 대응이 어려운 점에서 공격자에게 유리한 환경을 제공하며, 이로 인해 DDoS는 지속적으로 매년 증가하는 추세입니다.
  • 국내 주요 사건: 2003년 1.25 인터넷 대란, 2009년 7.7 DDoS 대란, 2011년 3.4 사이버 테러 등 DDoS는 국가 기반 시설에도 영향을 줄 수 있는 수준의 공격으로 자리잡았습니다.
  • 2023년 상반기 사례: 가비아, LG유플러스, KT 등 국내 주요 통신사와 기업들이 DDoS로 인해 서버 장애 및 서비스 중단을 경험하였습니다.
  • 공격 고도화: 단순한 대역폭 소모형을 넘어, 대응 시스템 우회 및 우회 탐지를 위한 스마트 공격이 증가하고 있으며, 아래와 같이 진화된 형태로 출현하고 있습니다.
    • Memcached Reflection Attack
    • Carpet Bombing
    • 랜섬형 DDoS
  • 피해 금액 증가: 글로벌 보안 기업 조사에 따르면 DDoS로 인한 피해 금액이 지난 해 대비 두 배 이상 증가하였으며, 그 규모는 수십억에서 수백억 원에 이릅니다.
  • 공격 패턴 변화: 단순히 트래픽 양만 많은 것이 아닌, 정교하고 빈도 높은 공격으로 진화하여 방어 난이도가 증가하고 있습니다.
  • 환경 변화와 취약성 확대: 클라우드 환경의 확산과 코로나 이후 디지털 전환 가속화로 인해, 공격 대상 시스템이 다양해지고 공격 트래픽이 발생하기 쉬운 구조가 되어가고 있습니다.
  • 기업 현실: 대부분의 기업과 기관은 전문 인력 및 예산 부족으로 인해 DDoS 대응 시스템 도입 및 유지가 어려운 실정입니다.
  • 탐지 비용 문제: DDoS 방지를 위해서는 정상 트래픽과 공격 트래픽을 반복적으로 분석하고 필터링해야 하며, 이는 고비용, 고인력 소모 구조입니다.
  • 기술적 어려움: 기존 보안 솔루션으로는 이미 알려진 DDoS 공격만을 차단할 수 있으며, 새로운 유형이나 변형된 패턴은 방어하기 어려운 한계가 존재합니다.

DDoS 대응방안

  • DDoS 공격은 다양한 계층에서 발생할 수 있으며, 이에 따라 다층적인 대응 전략이 요구됩니다. 다음은 주요 대응 방안입니다.

1. 공격 대상 영역 줄이기

공격자가 접근 가능한 공격 범위를 최소화하여 대응력을 확보하는 전략입니다.

  • 컴퓨팅 자원을 CDN(Content Delivery Network) 또는 로드 밸런서 뒤에 배치하여 직접 노출 방지
  • DB 서버 등의 인프라에 외부에서 직접 접근하지 못하도록 제한하여 내부 자원 보호
  • 방화벽(Firewall) 또는 ACL(Access Control List)을 활용해 애플리케이션 접근 경로 제한

2. 네트워크 인프라 확충

애초에 많은 트래픽을 감당할 수 있도록 인프라를 확장함으로써 완충지대를 확보합니다.

  • 애플리케이션 설계 시 중복 인터넷 회선 확보 여부호스팅 업체의 처리 용량 확인
  • 인터넷 교환 지점(IXP) 근처에 서버를 배치하여 사용자와의 거리 최소화
  • 스마트 DNS 및 CDN 서비스를 활용해 요청을 분산
  • 대용량 네트워크 장비 및 인터페이스 업그레이드를 통해 물리적 한계 해소

3. 실전 대응 역량 강화

기술적 보안뿐 아니라 인력과 조직 차원의 실전 대응 능력 강화도 중요합니다.

  • 실전과 유사한 모의훈련 및 시나리오 기반 시뮬레이션 실시
  • 미들박스(Middlebox) 장비를 통한 트래픽 검열 및 변환 기능 점검
  • IPS, Anti-DDoS, 차세대 방화벽 등의 보안 솔루션 도입으로 탐지 및 차단 강화
  • 공격 패턴 중 일부는 사전에 탐지하여 최소 5만 개 이상의 봇넷을 대응할 수 있는 기술 필요

종합적으로는 물리적 인프라, 네트워크 설계, 보안 기술, 인적 대응 체계가 균형을 이룰 때 실질적인 대응력이 형성됩니다.

 

2. 방화벽(Firewall)

방화벽의 구조, 출처: Exa Networks

 

방화벽은 인터넷과 내부 네트워크의 경계에 위치하여 불필요하거나 악의적인 트래픽을 차단하는 ‘문지기 역할’을 수행하는 보안 장비입니다. 내부 네트워크를 보호하기 위한 가장 기본적인 보안 수단 중 하나로, 다양한 환경에서 폭넓게 사용됩니다.

 

방화벽의 특징

  • 트래픽 모니터링 및 제어
    방화벽은 네트워크를 통해 교환되는 트래픽을 모니터링하며, 사전에 정의된 보안 정책(Security Policy)에 따라 해당 트래픽의 허용 또는 차단 여부를 결정합니다.
  • 신뢰 구간과 비신뢰 구간의 분리
    신뢰 가능한 내부 네트워크, 신뢰할 수 없는 영역(외부 인터넷 등) 사이에 위치하여, 양측 간의 통신을 관리합니다.
  • 보안 위협 대응
    바이러스, 해커, 악성 코드 등이 유입되는 경로를 차단하고, 이를 통해 서비스 거부(DoS)나 정보 탈취 같은 공격을 예방합니다.
  • 방향성 설정 가능
    • 외부 → 내부 트래픽만 허용
    • 내부 → 외부 트래픽만 허용
    • 또는 양방향 모두 허용/차단 규칙을 설정할 수 있습니다.
  • 다양한 형태
    • 하드웨어 방화벽: 물리적인 장비 형태로 배포되는 보안 장치
    • 소프트웨어 방화벽: 서버나 클라이언트에 설치되어 실행되는 프로그램
    • SaaS 형태 방화벽: 보안 서비스로 제공되는 클라우드 기반 방화벽
    • 퍼블릭/프라이빗 클라우드 환경용 방화벽

방화벽은 보안 시스템의 가장 첫 번째 방어선으로, 정책 기반의 접근 제어를 통해 외부 위협을 사전에 차단하고, 네트워크의 안정성과 무결성을 유지하는 데 중요한 역할을 합니다.

방화벽의 종류

1. 패킷 필터링 방화벽(Packet Filtering Firewall)

패킷 필터링 방화벽은 가장 기초적인 형태의 방화벽으로 1세대에 속합니다. 이 방화벽은 OSI 7계층 중 3계층(IP 주소)4계층(포트, 프로토콜) 정보를 기반으로 트래픽의 허용 또는 차단을 결정합니다. 이때, 각 패킷을 개별적으로 분석하며, 세션 상태나 패킷의 맥락은 고려하지 않습니다.

이 방화벽은 출발지 및 목적지 IP 주소, 포트 번호, 그리고 사용하는 프로토콜(TCP/UDP 등)을 기준으로 설정된 ACL(Access Control List) 규칙에 따라 필터링을 수행합니다.
구현이 간단하고 처리 속도가 빠르다는 점에서 오랜 기간 널리 사용되어 왔습니다.

 

장점

  • 구조가 단순하여 처리 속도가 매우 빠릅니다.
  • 구현이 용이하고, 저사양 네트워크 환경에서도 운용이 가능합니다.
  • 포트 및 IP 수준에서의 기본적인 접근 제어에 적합합니다.

단점

  • 세션 상태를 추적하지 않기 때문에, 지속적인 연결 여부나 비정상 연결을 탐지할 수 없습니다.
  • 애플리케이션 계층(7계층)의 정보를 분석하지 못하므로, 정밀한 보안 정책 적용이 어렵습니다.
  • 단순한 조건만으로 판단하기 때문에 오탐이나 과잉 차단이 발생할 수 있습니다.
  • IP 스푸핑, 포트 스캐닝과 같은 공격에 취약한 구조입니다.

활용 예시

  • 외부 네트워크에서 특정 포트를 허용하거나 차단하는 단순 정책 설정 시
  • DMZ(비무장지대)와 내부망 간의 기본적인 필터링을 적용할 때

요약
패킷 필터링 방화벽은 1세대 방화벽의 대표적인 형태로, 오늘날에는 단독으로 사용되기보다 다른 고급 보안 장비와 병행하여 보조적인 용도로 활용되는 경우가 많습니다.
기본적인 트래픽 제어에는 유용하지만, 복합적인 위협 환경에서는 한계가 분명한 기술입니다.

 

2. 애플리케이션 게이트웨이 방화벽(Application Gateway Firewall)

애플리케이션 게이트웨이 방화벽은 프록시 서버 기반의 구조를 가지며, OSI 7계층 중 애플리케이션 계층에서 동작하는 고급 방화벽입니다. 이 방화벽은 내부 사용자와 외부 네트워크 간의 통신을 직접 중계(프록시)하여, 트래픽의 내용까지 검사하고 정책을 적용할 수 있는 기능을 제공합니다. 애플리케이션 게이트웨이 방화벽은 프록시를 통해 모든 요청은 먼저 방화벽이 받아들이며, 내부 네트워크 대신 외부 요청을 수행하고 응답을 내부로 전달합니다. 따라서 직접적인 IP 연결이 차단되며, 보안성 측면에서 우수한 보호 기능을 제공할 수 있습니다.

 

장점

  • 애플리케이션 계층의 상세한 내용 분석이 가능하므로, 정밀한 보안 정책을 설정할 수 있습니다.
  • 세션 제어 및 인증 기능이 포함되어 있어 사용자 단위의 보안 관리가 가능합니다.
  • 직접적인 내부 IP 노출을 방지함으로써 익명성과 보안성이 높아집니다.

단점

  • 모든 트래픽을 중계하기 때문에 속도가 느려질 수 있으며, 성능 저하가 발생할 수 있습니다.
  • 다양한 애플리케이션마다 별도의 프록시를 구성해야 하므로 설정과 운영이 복잡합니다.
  • 고성능이 요구되는 환경에서는 부하가 집중되어 병목 현상이 발생할 수 있습니다.

활용 예시

  • 외부와의 웹, FTP, 메일 서버 통신을 세부적으로 제어해야 하는 기업 환경
  • 내부망 보호를 위한 중계 기반 보안이 필요한 구조
  1. 프록시 방화벽(Proxy Firewall)

프록시 방화벽은 애플리케이션 게이트웨이 방화벽과 유사한 구조를 갖지만, 몇 가지 분명한 차이점이 존재합니다. 두 방화벽 모두 프록시 서버를 기반으로 동작하며, 내부와 외부 간의 직접적인 연결을 차단한다는 공통점이 있습니다. 하지만 프록시 방화벽은 트래픽의 콘텐츠에 대한 분석과 더불어 캐싱, 연결 차단, 세션 제어 기능에서 더 세밀한 제어 기능을 제공합니다.

차별화되는 특징

  • 완전한 트래픽 중계 구조를 사용합니다. 클라이언트와 서버는 절대로 직접 연결되지 않으며, 방화벽이 완전히 통신을 대리합니다.
  • 콘텐츠 기반 필터링URL 차단, 사용자 인증, 캐시 처리 등의 고급 기능을 지원하여, 단순한 게이트웨이 기능을 넘어서 네트워크 관리와 최적화까지 수행합니다.
  • 특정 애플리케이션 트래픽(예: HTTP, FTP 등)에 특화된 보안 정책 적용이 용이합니다.

즉, 프록시 방화벽은 애플리케이션 게이트웨이 방화벽과 기본 구조는 유사하지만, 콘텐츠 제어와 세션 관리 측면에서 훨씬 더 세밀한 정책을 적용할 수 있는 고급 기능을 제공합니다. 다만, 이러한 기능 탓에 성능 요구와 관리 복잡성이 높아지기 때문에, 중요 서버 보호 및 사용자 인증이 필수적인 환경에서 주로 사용됩니다.

 

4. 서킷 게이트웨이 방화벽(Circuit-Level Gateway Firewall)
서킷 게이트웨이 방화벽은 TCP 연결(세션)의 유효성을 검사하여 통신을 제어하는 방식의 방화벽으로, OSI 7계층 중 4계층(전송 계층)에서 동작합니다. 패킷 필터링 방화벽보다는 정밀하고, 애플리케이션 게이트웨이보다는 단순한 형태로, 세션을 기반으로 접근을 제어합니다.

이 방화벽은 애플리케이션 데이터는 확인하지 않지만, 세션이 유효한지를 판단하여 통신을 허용하거나 차단합니다. 일단 세션이 설정되면 이후의 트래픽은 모두 통과시키는 구조로 되어 있어, 성능과 보안의 균형을 제공합니다.

 

장점

  • TCP/UDP 세션 단위로 통신을 제어할 수 있으므로, 단순한 패킷 필터링보다 보안성이 높습니다.
  • 애플리케이션 데이터까지는 검사하지 않아 처리 속도가 빠르고, 부담이 적습니다.
  • 내부 IP를 외부에 노출하지 않아 기본적인 프라이버시 보호가 가능합니다.

단점

  • 애플리케이션 계층의 콘텐츠를 검사하지 않기 때문에, 세부적인 보안 정책 설정은 불가능합니다.
  • 세션이 한번 설정되면 이후 트래픽은 모두 통과하기 때문에, 악성 트래픽도 세션 내에서는 감지하지 못할 수 있습니다.
  • 인증 기능이 제한적이며, 세분화된 접근 제어는 어렵습니다.

활용 예시

  • 인바운드/아웃바운드 연결만 제어하고자 할 때
  • 성능이 중요하고, 애플리케이션 계층 보안은 다른 장비에 위임할 경우

5. 상태 추적 방화벽(Stateful Inspection Firewall)

상태 추적 방화벽은 패킷의 출발지와 목적지 정보뿐만 아니라, 세션의 상태까지 추적하여 트래픽을 필터링하는 방식을 사용합니다.
OSI 4계층(전송 계층)에서 동작하며, TCP 세션의 상태를 기준으로 허용 여부를 결정합니다. 단순히 패킷을 독립적으로 처리하는 것이 아니라, 현재 연결 상태(Context)를 저장하고 분석하여 합법적인 통신 흐름만 허용합니다. 이는 단순한 필터링에 비해 더 높은 수준의 보안성을 제공하며, 오늘날 대부분의 네트워크 방화벽이 채택하고 있는 방식입니다.

 

장점

  • 세션 기반으로 동작하기 때문에 비정상적인 트래픽을 효과적으로 차단할 수 있습니다.
  • 일관성 있는 트래픽 흐름만 허용함으로써 보안성이 높습니다.
  • 애플리케이션 계층 분석 없이도 상태 기반 제어가 가능하여, 성능과 효율의 균형을 유지할 수 있습니다.

단점

  • 상태 정보를 저장하고 관리해야 하므로, 고사양의 메모리와 CPU 자원이 요구됩니다.
  • 세션 수가 급격히 증가할 경우 시스템 부하가 커질 수 있습니다.
  • 세부적인 애플리케이션 콘텐츠 검사나 제어는 불가능합니다.

활용 예시

  • 다양한 외부 접속이 발생하는 기업 네트워크
  • 트래픽 상태를 기준으로 실시간 보안 정책을 적용해야 하는 환경

3. IDS (Intrusion Detection System, 침입 탐지 시스템)

IDS, 출처: Palo Alto Networks

 

IDS는 3~7계층에 걸쳐 네트워크 트래픽을 모니터링하고 분석하여 비정상적인 활동이나 침입 시도를 탐지하며, 보안 관리자에게 경고함으로써 보안 위협에 대한 대응을 가능하게 하는 탐지형 보안 시스템입니다.

일반적으로 IDS는 방화벽 뒤에 위치하여, 방화벽을 통과한 트래픽을 검사합니다. 이 때문에 방화벽과는 달리 공격을 직접 차단하지는 않지만, 감지된 위협에 대해 상세한 정보와 경고를 제공합니다.

IDS의 실행 단계

  1. 트래픽 모니터링
    • 네트워크를 통과하는 트래픽을 지속적으로 감시 및 캡처합니다.
    • 실시간으로 패킷의 헤더와 데이터 영역을 분석하여 이상 징후를 탐지할 수 있도록 합니다.
  2. 데이터 분석
    • 수집된 트래픽은 정의된 규칙, 시그니처(Signature), 이상 행동 패턴을 기반으로 분석됩니다.
    • 알려진 악성 트래픽 외에도 비정상적인 이상 징후를 기반으로 제로데이 공격 등의 탐지도 가능합니다.
  3. 경고 생성
    • 탐지된 위협은 관리자에게 경고 메시지로 전송되며, 필요 시 알림 시스템이나 로그 시스템과 연동됩니다.
    • 이는 빠른 대응과 사후 분석에 기여합니다.
  4. 보안 로그 기록
    • 감지된 모든 보안 이벤트는 상세한 로그로 저장되며, 이는 보안 분석 및 포렌식 과정에서 활용됩니다.
  5. 보고 및 대응
    • IDS는 탐지된 위협에 대해 요약 보고서 및 세부 보고서를 제공하여,
      보안 정책 강화 및 새로운 방어 전략 수립에 활용될 수 있습니다.

IDS는 공격 차단 기능은 없지만, 방화벽이나 IPS와 연계되어 다계층 보안 아키텍처의 핵심 요소로 작용하며,
네트워크 내부의 가시성을 높이고 위협 탐지 정밀도를 향상시키는 중요한 역할을 수행합니다.

 

IDS 탐지 방식에 따른 분류

IDS는 탐지 방식에 따라 크게 오용 탐지(Misuse Detection)비정상행위 탐지(Anomaly Detection)의 두 가지 방식으로 나뉩니다.
각 방식은 침입을 탐지하는 기준과 방식에 차이가 있으며, 다음과 같은 특징을 갖습니다.

 

1. 오용 탐지 (Misuse Detection)

  • 동작 원리 및 특징
    • 사전에 정의된 공격 패턴(시그니처)과 동일한 행위를 탐지합니다.
    • 기존에 알려진 공격과 일치하는 경우에만 침입으로 간주합니다.
    • 사용되는 기법: Expert System, State Transition Analysis, Key Stroke Monitoring, Model-Based Approach 등
  • 장점
    • 상대적으로 낮은 오탐률(False Positive)
    • 침입자가 사용하는 도구나 기술에 대해 정확한 분석 가능
    • 정확한 침해 대응이 가능하며, 신속한 반응이 가능함
  • 단점
    • 새로운 공격 유형에 대한 탐지 불가 (Zero-day 탐지 어려움)
    • 다양한 우회 기법에 대한 탐지 한계
    • 시그니처 지속적 업데이트 필요

2. 비정상행위 탐지 (Anomaly Detection)

  • 동작 원리 및 특징
    • 비정상적인 네트워크 또는 시스템 행위를 탐지하여 공격 여부를 판단합니다.
    • 정상적인 활동 패턴과의 편차를 침입으로 간주합니다.
    • 사용되는 기법: Statistical Approach, Predictive Pattern Modeling 등
  • 장점
    • 새로운 침입 유형도 탐지 가능
    • 사전 시그니처 없이 정상에서 벗어나는 패턴만으로 탐지 가능
  • 단점
    • 정상 행위의 모델링(예측)이 어려움
    • 정확한 분석을 위한 트레이닝 데이터(학습 데이터)가 필요
    • 높은 오탐률(False Alarm) 발생 가능성
    • 많은 시간 소요 및 분석 부담 존재

대부분의 IDS는 두 방식을 혼합하여 사용하는 하이브리드 구조를 가지며,
최신 시스템은 머신러닝 기반 이상탐지와 시그니처 기반 정탐지를 함께 사용합니다.

IDS 데이터 수집 방식에 따른 분류

IDS(Intrusion Detection System)는 수집하는 데이터의 위치와 방식에 따라 네 가지 주요 유형으로 구분됩니다.
각 유형은 설치 위치, 탐지 범위, 시스템 자원 요구 사항 등에서 차이를 보이며, 다음과 같은 특징을 가집니다.

 

1. NIDS (Network-based Intrusion Detection System)

  • 데이터 소스: 네트워크 상의 패킷
  • 특징
    NIDS는 네트워크에서 흐르는 트래픽을 모니터링하여 침입을 탐지합니다. 대부분의 상용 IDS가 이 방식을 채택하고 있으며, 방화벽 근처나 라우터, 스위치 등 네트워크 장비 근처에 설치됩니다.
  • 장점
    • 서버에 별도 설치가 필요하지 않아 성능 저하를 유발하지 않습니다.
    • 다양한 네트워크 기반 침입 유형을 탐지할 수 있습니다.
  • 단점
    • 오탐률이 높을 수 있습니다.
    • 암호화된 패킷에 대해서는 침입 여부를 판별할 수 없습니다.
    • 스위치 환경에서는 적용이 어렵습니다.

2. HIDS (Host-based Intrusion Detection System)

  • 데이터 소스:
    1. 운영체제 감사 로그 (Audit Trail)
    2. 시스템 내부 로그
  • 특징
    HIDS는 서버 또는 클라이언트 호스트에 직접 설치되어 해당 시스템의 행위를 분석합니다. 외부보다는 내부 동작 감시에 특화되어 있으며, 네트워크와는 독립적으로 작동합니다.
  • 장점
    • NIDS가 탐지하지 못하는 내부 침입 유형(예: 트로이 목마, Race Condition 등)을 감지할 수 있습니다.
    • 공격 우회 가능성이 낮습니다.
  • 단점
    • 리소스를 많이 소비하며, 시스템 성능에 영향을 줄 수 있습니다.
    • 모든 호스트에 설치하고 유지해야 하므로 운영 부담이 큽니다.
    • 네트워크 전체를 대상으로 한 공격(예: 포트 스캔)에는 적합하지 않습니다.

3. 하이브리드 IDS

  • 데이터 소스: NIDS + HIDS의 결합
  • 특징
    하이브리드 IDS는 NIDS와 HIDS의 장점을 결합한 형태로, 네트워크와 호스트 모두를 감시할 수 있도록 설계되어 있습니다.
  • 장점
    • 다양한 유형의 침입을 종합적으로 탐지할 수 있습니다.
    • 네트워크와 시스템의 연관된 이벤트를 상호 비교하여 복합 공격을 식별할 수 있습니다.
  • 단점
    • 설치와 설정이 복잡하며, 시스템 구성에 따라 운영 비용이 증가할 수 있습니다.
    • 업계 표준이 부족하여 일부 환경에서는 연동이 어려울 수 있습니다.

4. Application-Based IDS

  • 데이터 소스: 애플리케이션 로그, 이벤트, 트랜잭션 데이터 등
  • 특징
    특정 애플리케이션 또는 서비스 단위에서 발생하는 정보를 수집하여 침입 여부를 탐지하는 방식입니다. 사용자의 동작이나 애플리케이션과의 상호작용을 기반으로 판단합니다.
  • 장점
    • 암호화된 트래픽도 호스트 내부에서 복호화된 후 분석할 수 있어 탐지 정확도가 높습니다.
    • 애플리케이션 계층의 상세한 사용자 행위를 분석할 수 있습니다.
  • 단점
    • HIDS 기반으로 동작하기 때문에 시스템 자원에 부담을 줄 수 있으며, 단독 사용 시 탐지 범위가 제한됩니다.
    • 트로이 목마와 같은 커널 레벨 공격은 탐지가 어렵습니다.
    • NIDS와 병행하여 사용하는 것이 일반적으로 권장됩니다.

4. IPS(Instruction Prevention System)

IPS, 출처: Palo Alto Networks

 

IPS는 침입 탐지만 가능하고 차단은 불가능한 IDS의 한계를 보완하기 위해 등장한 자동화된 침입 방지 시스템입니다.
실시간으로 네트워크 트래픽을 감시하고, 이상 징후나 공격 시도를 탐지하면 즉시 차단 및 방어 조치를 수행함으로써 사전 예방이 가능합니다.

 

특징

  • 자동화된 침입 방지 시스템
    IPS는 네트워크 상에서 발생하는 이상 징후를 자동으로 식별하고, 그에 대응하여 공격을 차단 및 차폐하는 역할을 수행합니다.
  • 선제적이고 예방적인 시스템
    IDS는 탐지만 가능하고 수동 대응이 필요한 반면, IPS는 실시간으로 탐지된 위협에 대해 즉각적인 대응이 가능하여 속도 면에서 매우 빠릅니다.
  • 단점 및 유의사항
    실시간 처리 특성상 네트워크 지연이나 성능 저하를 유발할 수 있으며,
    오탐이 발생할 경우 정상 트래픽까지 차단될 수 있다는 점에서 정확한 시그니처 구성과 튜닝이 매우 중요합니다.
  • 운영 부담 완화
    방어가 자동화되어 있으므로 보안팀과 운영센터의 수작업 부담을 크게 줄일 수 있습니다.

침입 방지 방법

  • ① 악성 트래픽 차단
    • 특정 IP나 세션을 종료하거나, 특정 조건(예: HTTP 헤더, 비정상 User-Agent 등)에 맞는 트래픽을 실시간으로 차단합니다.
    • 예시: 리디렉션을 이용해 사용자가 정상적으로 연결되었다고 착각하게 만든 후 공격 중지, DNS 차단 등
  • ② 악성 콘텐츠 제거
    • 공격 트래픽을 허용하되, 그 안에 포함된 악성 페이로드나 파일을 탐지 및 제거하여 피해를 줄입니다.
  • ③ 보안 장치와의 트리거 연동
    • 방화벽, ACL, 라우터 설정 등을 동적으로 변경하여, 공격자가 다음 단계로 이동하지 못하도록 네트워크 차원에서 봉쇄합니다.
    • 예시: 방화벽 정책 자동 업데이트, 포트/라우팅 테이블 수정 등

IPS의 대상별 분류

IPS(Intrusion Prevention System)는 설치 위치나 보호하려는 대상을 기준으로 여러 유형으로 나뉩니다. 각 유형은 보호 범위, 적용 환경, 장단점 측면에서 차이를 보입니다.

  1. 네트워크 기반 IPS (Network-based IPS, NIPS)
    네트워크 경계 또는 중간 지점에 위치하여 전체 네트워크 트래픽을 실시간으로 감시하고 차단합니다.
  • 특징
    라우터, 스위치, 방화벽 근처에 설치되어 다수의 시스템을 보호할 수 있으며, 네트워크 전반의 위협을 감지하는 데 유리합니다.
  • 장점
    • 여러 시스템을 동시에 보호 가능
    • 알려진 공격 시 빠른 탐지 및 대응
  • 단점
    • 암호화된 트래픽 탐지 불가
    • 고속 네트워크 환경에서는 처리 지연이 발생할 수 있음
    • 구성 복잡성 증가
  1. 호스트 기반 IPS (Host-based IPS, HIPS)
  • 개별 서버나 클라이언트 시스템에 설치되어 해당 호스트의 내부 활동을 직접 감시합니다.
  • 특징:
    시스템 호출, 로그, 파일 접근 등의 내부 동작 수준에서 침입 탐지 및 차단이 가능하며, 암호화된 트래픽 복호화 후 검사도 가능합니다.
  • 장점:
    • 트래픽의 상세한 분석 가능
    • 암호화된 공격 탐지 가능
    • 애플리케이션 수준의 맞춤 방어 가능
  • 단점
    • 모든 호스트에 설치해야 하므로 운영 및 관리 비용 증가
    • 시스템 성능에 부하 발생 가능
  1. 무선 IPS (Wireless IPS, WIPS)
    무선 네트워크 환경에서의 비인가 장비 연결, 무선 침입 시도 등을 탐지 및 방지하는 데 초점을 맞춥니다.
  • 특징
    기업 내 Wi-Fi 네트워크 보안 강화에 사용되며, 불법 AP, MAC 스푸핑 등 무선 관련 위협에 효과적입니다.
  • 장점
    • 무선 침입 탐지 특화
    • 이동 단말기 보안에 강점
  • 단점
    • 무선 환경 외에는 적용 어려움
    • 설정 및 범위 조정이 까다로울 수 있음
  1. 네트워크 행동 분석 IPS (Network Behavior Analysis, NBA 기반 IPS)
  • 설명
    네트워크 트래픽의 이상 징후를 행동 패턴 분석을 통해 탐지하고 차단하는 방식입니다.
  • 특징
    정적인 시그니처 대신 이상 행동에 초점을 맞추며, 제로데이 공격이나 비정상 행위 탐지에 효과적입니다.
  • 장점
    • 알려지지 않은 공격 탐지 가능
    • DDoS 공격 등 트래픽 기반 위협 탐지 유리
  • 단점
    • 설정과 튜닝이 복잡
    • 정상 행위를 학습하는 데 시간이 필요하며, 초기에는 오탐 가능성 있음

5. 방화벽 VS IDS VS IP

방화벽과 IDS, IPS의 차이점을 이해하는 것은 실무에서 보안 설계와 대응 전략을 정확히 수립하기 위해 필수입니다. 보안의 레이어를 어떻게 나눌지 결정하는 기준이 되기 때문입니다.

 

  방화벽 IDS IPS
목적 접근통제, 인가 침입 여부 탐지 침입 이전 탐지
비유 출입문 감시카메라 자동잠금장치
특징 수동적 차단, 내부망 보호 로그, 시그니처 기반 패턴 매칭 정책, 규칙 DB 기반 비정상 행위 탐지
패킷 차단 여부 O X O
패킷 내용 분석 X O O
오용 탐지 X O O
오용 차단 X X O
이상 탐지 X O O
이상 차단 X X O
주 동작 계층 3, 4 3~7 3~7
장점 - 엄격한 통제
- 인가된 트래픽 허용
- 적은 성능 부하		 - 실시간 탐지, 근원지 탐색 가능
- 사후분석 대응
- 내부자 공격 방어, 탐지 가능		 - 실시간 대응
- 세션 기반 탐지 가능
단점 - 내부자 공격 취약
- 우회 트래픽 제어 불가
- 네트워크 병목 현상		 - 변형패턴 탐지의 어려움
- 대규모 네트워크 사용이 어려움		 - 오탐현상 발생 가능성
- 고가 장비
- 관리 및 운영의 어려움

 

참고자료

이하는 글을 작성하기 위해 주로 참고한 자료들입니다.

 

Cloudflare - DDoS란

 

네트워크 보안 - DDoS 공격의 종류와 대응 방법

 

네트워크 보안 - DDoS 공격의 종류와 대응 방법

서비스 거부 공격(DoS : Denial of Service)컴퓨터 자원을 고갈시키기 위한 공격으로 특정 서비스를 계속적으로 호출하여 CPU, Memory, Network 등의 자원을 고갈시킨다.DoS 공격은 소프트웨어 취약점을 이용

ohaengsa.tistory.com

 

 

https://developers.cloudflare.com/magic-firewall/about/ids/

 

IDS

Cloudflare's Intrusion Detection System (IDS) is an Advanced Magic Firewall feature you can use to actively monitor for a wide range of known threat signatures in your traffic. An IDS expands the security coverage of a firewall to analyze traffic against a

developers.cloudflare.com

 

https://www.ibm.com/kr-ko/topics/intrusion-detection-system

 

침입 탐지 시스템(IDS)이란 무엇인가요? | IBM

IDS는 네트워크 트래픽을 모니터링하고 의심스러운 활동을 인시던트 대응 팀 및 사이버 보안 도구에 보고합니다.

www.ibm.com

https://www.ibm.com/kr-ko/topics/intrusion-prevention-system

 

침입 방지 시스템(IPS)이란 무엇인가요? | IBM

침입 방지 시스템은 네트워크 트래픽을 모니터링하여 잠재적 위협을 찾아내고 악의적인 활동을 자동으로 차단합니다.

www.ibm.com

 

저작자표시 비영리 변경금지 (새창열림)

'AI스쿨 리팩토링' 카테고리의 다른 글

10주차 - 보안관제  (4) 2025.06.23
9주차 - 분류 성능 평가 지표와 악성코드 종류  (9) 2025.06.22
6, 7주차 - 프로토콜  (2) 2025.06.20
5주차 - OSI 계층별 장비  (2) 2025.06.19
4주차 - TCP와 UDP  (6) 2024.10.27

관련글

티스토리툴바