6. IDS와 IPS에 대해서

IDS와 IPS는 상호 연동해 사용해야 하는 장비로, 바이러스 백신이 수행하는 탐지 후 차단 기능을 별도로 분리해 구현한 장치이다. 각각의 기능을 별도의 방식으로 구현함으로써, 모든 전산 자원을 오직 탐지(IDS)/방지(IPS)에 집중할 수 있어 보안 효과를 극대화 시킬 수 있다.

 

IDS (Intrusion Detection System: 침입탐지장비)

IDS란 일정한 탐지 규칙에 따라 기존의 공격 유형을 탐지하면, 정보를 안전한 공간으로 전환하면서 이동 전화 또는 전자 우편 등으로 관리자에게 해당 내용을 즉시 전송하고 공격자에게 경고를 통보하지만, 방화벽과 달리 접근 권한 제어 또는 인증 기능이 없는 소프트웨어 또는 하드웨어 장비다.

IDS는 기존의 공격 유형 견본을 수집한 뒤 엔진에 저장해 공격 유형을 판단하는 것과 같은 구조로 동작하며, 바이러스 백신보다 규모가 큰 영역에서 더 정교한 탐지기능을 수행할 수 있다. 하지만, 공격 유형을 정의한 탐지 규칙을 지속적으로 갱신해야지만 IDS가 목적에 맞게 동작할 수 있다.

 

공격 유형을 탐지하는 방법에는 서명 기반 탐지 기법, 정책 기반 탐지 기법, 이상 기반 탐지 기법, 유인 기반 탐지 기법 등으로 구분할 수 있다.

1. 서명 기반 탐지 기법

공격 유형을 탐지하는 데 있어 가장 일반적인 기법으로, 기존의 공격 유형을 IDS 엔진에 미리 등록해 탐지를 수행하기 때문에 정확한 탐지가 가능하다. 하지만 IDS 엔진에 등록되어 있지 않거나 새로운 공격 유형인 경우에는 탐지가 불가능하다.

2. 정책 기반 탐지 기법

외부로부터 접속이 들어오는 경로를 정해놓고 미허가 경로를 통한 접속이 들어올 때 탐지하는 기법이다. 예를 들어, 웹 서버 운영 시 80번 포트와 21번 포트를 활성 상태로 유지하는 대신, 21번 포트는 내부 접속만 가능하게 설정해놨다고 가정해보자. 이때 만약 외부에서 21번 포트 번호로 접속이 들어올 경우 침입으로 판단하는 것을 정책 기반 탐지 기법이라고 한다.

3. 이상 기반 탐지 기법

정량적 또는 통계적 분석에 따라 일정한 임계값을 설정한 뒤, 해당 임계값을 초과하는 접속이 들어올 때 침입으로 탐지하는 기법을 의미한다. DDoS 공격이나 무차별 대입 공격 등을 탐지하는 원리가 바로 이거다.

4. 유인 기반 탐지 기법

유인 서버에 추적 소프트웨어를 설치해 공격자의 활동을 감시하는 기법이다. 또한 유인 서버를 통해 실제 서버를 보호할 수 있는 효과도 있다.

 

IDS를 구현하는 방식에는 네트워크 기반의 IDS 방식과 호스트 기반의 IDS 방식이 있다.

네트워크 기반의 IDS 방식은 보통 하드웨어를 통해 침입 탐지 기능을 수행한다. LAN 영역 전체를 탐지할 수 있지만, 자신에게 향하는 패킷이나 암호화 패킷 등은 탐지가 어렵다.

호스트 기반의 IDS 방식은 각각의 호스트에 침입 탐지 기능을 탑재하는 방식으로, 스노트와 같은 소프트웨어로 구현한다. 내부 공격을 탐지하는 데 유리하지만, 오직 호스트 단위만 탐지 가능하다.

 

IDS는 *오탐이나 *미탐과 같은 탐지 오류를 조심해야 한다. 내부로 유입한 공격을 탐지 못한다면 치명적일 수 있기에, 지속적인 엔진 갱신 작업을 해줘야 한다.

※오탐(False Positive): 정상적인 행위를 악의적인 행위로 오판하는 경우

※미탐(False Negative): 악의적인 유형을 정상적인 유형으로 오판하는 경우

 

IPS (Intrusion Prevention Systems: 침입 방지 장비)

IPS는 IDS와 비슷하게 일정한 차단 규칙에 따라 그에 해당하는 공격 유형을 방지하는 기능을 수행한다. IDS와 연동해 동작하며, 경우에 따라 IPS 내부에 IDS 기능을 탑재해 운영하기도 한다.

IDS는 네트워크 기반의 IPS 방식과 호스트 기반의 IPS 방식이 있다. 장단점 역시 네트워크/호스트기반의 IDS 방식과 동일하다.

 

IPS는 IDS와 달리 응용 서버 전면에 위치한다. 즉, 입출력 패킷을 직접 제어하는 구조로, 방화벽과 동일한 의미로 자주 쓰인다.