IDS / IPS

IDS(Intrusion Detection System, 침입 탐지 시스템) 와 IPS(Intrusion Prevention System, 침입 방지 시스템) 는 네트워크와 호스트에서 흐르는 트래픽을 검사해 악의적인 행위나 공격을 식별하는 보안 시스템이다. 이름이 비슷한 만큼 자주 함께 묶여서 거론되며, 둘 다 방화벽 다음 단계에서 트래픽을 한 번 더 들여다보는 역할이다. North-South 트래픽에서 perimeter 보안의 핵심 구성 요소로 등장하는 만큼, 데이터센터 보안 모델을 이해하려면 함께 짚어두는 것이 좋다.

IDS vs IPS

구분	IDS	IPS
역할	탐지 후 알람	탐지 후 차단
배치 위치	Out-of-band (트래픽 복사본 검사)	Inline (트래픽이 직접 통과)
트래픽 영향	없음 (수동적)	통과 지연 발생 (능동적)
오탐 시 영향	알람만 발생	정상 트래픽이 차단될 수 있음
주요 설치 지점	SPAN 포트, TAP	게이트웨이, 방화벽 옆

가장 결정적인 차이는 inline 여부(트래픽 경로 위에 직접 놓이는지)이다. IPS는 트래픽 경로 위에 직접 놓여 패킷을 그대로 통과시키거나 막는 결정을 한다. IDS는 트래픽의 복사본만 받아서 검사하므로, 발견하더라도 차단할 권한이 없다.

방화벽과의 차이

방화벽도 트래픽을 검사하지만 검사하는 깊이가 다르다.

구분	방화벽	IDS / IPS
검사 대상	IP, 포트, 프로토콜 헤더	패킷 페이로드 내용까지 (DPI)
판단 기준	정해진 규칙 (allow/deny)	시그니처, 이상 패턴, 행위 분석
예시	"포트 80 외에는 모두 차단"	"SQL Injection 패턴이 보이면 차단"
비유	경비실 (출입증 검사)	보안검색대 (가방 안까지 검사)

방화벽이 "들여보낼지 말지"를 결정한다면, IDS/IPS는 "들여보내기로 한 트래픽이 정말 안전한지"를 한 번 더 확인한다. 그래서 보통 둘은 함께 배치된다.

탐지 방식

IDS/IPS가 의심 트래픽을 식별하는 방법은 크게 세 가지이다.

Signature-Based Detection

알려진 공격의 시그니처(패턴) 를 데이터베이스에 저장해두고, 들어오는 트래픽이 그 패턴과 일치하면 탐지한다.

장점: 빠르고 정확. 알려진 공격에 대한 오탐이 적음
단점: 시그니처가 없는 새로운 공격(zero-day)은 탐지 불가
예시: "URL에 ' OR 1=1 -- 가 포함되면 SQL Injection으로 판정"

대부분의 IDS/IPS가 기본으로 사용하는 방식이며, 안티바이러스의 시그니처 매칭과 같은 원리이다.

Anomaly-Based Detection

평소의 정상 트래픽 베이스라인을 학습한 뒤, 그것에서 크게 벗어난 트래픽을 의심으로 분류한다.

장점: 알려지지 않은 공격(zero-day)도 탐지 가능
단점: 오탐(false positive)이 많음. 베이스라인 학습 기간 필요
예시: "평소 시간당 100건이던 로그인 요청이 갑자기 10,000건이면 이상"

머신러닝/통계 기반으로 발전하면서 최근 다시 주목받고 있다.

Behavior-Based Detection

특정 공격 행위 패턴을 룰로 정의해두고, 그에 맞는 일련의 동작이 관찰되면 탐지한다.

예시1: "한 IP에서 짧은 시간에 여러 포트로 SYN 패킷이 들어오면 포트 스캔"
예시2: "내부 서버가 갑자기 외부로 대량 데이터를 전송하면 데이터 유출 의심"

여러 패킷에 걸친 패턴이라 stateful하게 동작(이전에 본 패킷들의 상태를 기억하면서, 시간에 걸쳐 누적된 패턴을 봄)하며, 단일 패킷 시그니처보다 정교한 위협을 잡을 수 있다.

동작 위치에 따른 분류

IDS/IPS는 동작 위치에 따라 두 갈래로 나뉜다.

Network 기반 (NIDS / NIPS)

네트워크 구간에 설치되어 흐르는 트래픽 전체를 검사한다.

한 대로 여러 호스트의 트래픽을 동시에 검사 가능
대표 오픈소스: Snort, Suricata, Zeek(전 Bro)
한계: HTTPS 같은 암호화 트래픽은 페이로드를 볼 수 없음

Host 기반 (HIDS / HIPS)

각 서버나 단말에 에이전트로 설치되어 그 호스트에서 일어나는 일을 검사한다.

파일 변경, 프로세스 실행, 시스템 콜 등을 감시
암호화 트래픽도 호스트에서 복호화된 뒤를 검사 가능
대표 솔루션: OSSEC, Wazuh, CrowdStrike Falcon, Microsoft Defender for Endpoint

구분	Network 기반 (NIDS/NIPS)	Host 기반 (HIDS/HIPS)
검사 위치	네트워크 구간	각 호스트
검사 대상	패킷, 트래픽 흐름	파일, 프로세스, 시스템 콜
암호화 트래픽	검사 어려움	검사 가능
배치 단위	한 대로 다수 호스트 커버	호스트마다 설치 필요
운영 부담	비교적 적음	에이전트 관리 필요

실무에서는 둘을 함께 운영해 보완하는 것이 일반적이다.

배치 위치

NIPS는 inline이라 배치 위치가 곧 검사 범위를 결정한다.

[인터넷]
   │
   ▼
[방화벽]
   │
   ▼
 [IPS] ← 외부 위협의 1차 검사
   │
   ▼
[데이터센터 내부]
   │
   ▼
 [IPS] ← 내부 segment 사이의 East-West 검사 (선택적)
   │
   ▼
 [서버]
   │
[HIDS/HIPS] ← 호스트 단위 최종 방어선

전통적으로는 North-South 경계에만 배치했지만, 최근에는 데이터센터 내부 East-West 경로에도 micro-segmentation 차원에서 배치하고 있다.

한계와 현대적 진화

암호화 트래픽 문제

오늘날 대부분의 트래픽이 TLS로 암호화되어 흐르므로, NIDS/NIPS가 페이로드를 들여다볼 수 없다. 이 한계를 극복하는 방법은 두 가지이다.

TLS 복호화(SSL inspection): IPS가 중간자(MITM) 역할로 트래픽을 복호화 후 검사. 프라이버시와 성능 부담이 큼
Host 기반 검사: 호스트에서 복호화된 뒤를 검사 (HIDS/HIPS, EDR)

NGFW로 통합

현대 데이터센터에서는 IDS/IPS가 독립 제품이라기보다 NGFW(Next-Generation Firewall) 의 한 기능으로 통합되는 추세이다. NGFW는 다음을 하나의 어플라이언스에서 처리한다.

전통 방화벽 (포트, IP, 프로토콜 차단)
IDS/IPS (페이로드 검사)
Application Awareness (Facebook, Slack 같은 앱 단위 통제)
TLS 복호화
URL 필터링
Anti-Malware

대표 제품: Palo Alto Networks PA 시리즈, Fortinet FortiGate, Cisco Firepower, Check Point Quantum

EDR / XDR

호스트 기반 보안은 EDR(Endpoint Detection and Response) 로 진화했다. 단순 탐지/차단을 넘어, 의심 행위를 추적하고 자동으로 대응(격리, 차단, 롤백)까지 수행한다. 여기에 네트워크와 클라우드를 함께 묶은 것이 XDR(Extended Detection and Response) 이다.

용어	설명
DPI (Deep Packet Inspection)	패킷의 페이로드까지 들여다보는 기술. IDS/IPS의 기반
SIEM	여러 보안 장비의 로그를 수집/분석하는 플랫폼. IDS의 알람이 SIEM으로 흘러감
SOC (Security Operations Center)	24/7 보안 모니터링 조직. SIEM과 IDS 알람을 보고 대응
WAF (Web Application Firewall)	웹 애플리케이션 계층(L7)에 특화된 IPS의 일종. SQL Injection, XSS 등을 차단

정리

IDS = 탐지만, 알람만 발생 (out-of-band)
IPS = 탐지 + 차단, 트래픽 경로에 inline 배치
방화벽 vs IDS/IPS: 방화벽은 헤더, IDS/IPS는 페이로드까지 검사
탐지 방식: signature-based, anomaly-based, behavior-based
종류: 네트워크 기반(NIDS/NIPS) + 호스트 기반(HIDS/HIPS), 보통 함께 운영
현대 흐름: NGFW로 통합, 호스트 영역은 EDR/XDR로 진화