침입탐지시스템(IDS: Intrusion Detection System)은 네트워크나 시스템에서 발생하는 활동을 모니터링하고, 악의적인 행위나 정책 위반을 탐지하여 관리자에게 경고를 주는 보안 기술입니다. IDS는 보안 아키텍처의 핵심 구성요소 중 하나이며, 주로 HIDS(호스트 기반 IDS )와 NIDS(네트워크 기반 IDS) 로 구분됩니다.
아래는 IDS의 개념, 구성 방식, 유형별 특징 및 비교, 장단점, 보완 기술 등을 중심으로 총정리한 내용입니다.
정의: 탐지 및 경고 역할에 초점 을 둡니다.
기능:
악성 트래픽 및 행위 탐지 실시간 모니터링 로그 기록 및 분석 관리자 경고 또는 대응 스크립트 실행 (일부 경우 자동 차단 기능 포함) 정의:
특징:
각 호스트 내부에서 작동 시스템 로그, 파일 변경 내역, 레지스트리 접근 등을 분석 내부 사용자 공격이나 권한 상승 등의 탐지에 효과적 장점:
애플리케이션 계층까지 상세 감시 가능 암호화된 트래픽 후단 처리 감시 가능 내부자 공격 탐지 우수 단점:
많은 서버에 설치해야 하므로 관리 복잡도 증가 네트워크 전반의 공격 파악 어려움 리소스 소모 (CPU, 메모리 등) 정의:
특징:
네트워크의 주요 지점(스위치 포트 미러링, TAP 등)에 설치 실시간 패킷 분석 외부 공격, 바이러스, 웜 등의 유입 탐지에 효과적 장점:
네트워크 전반 감시 가능 트래픽 기반의 공격 탐지 우수 (DoS, 스캔, 포트 스위핑 등) 단일 장비로 다수 시스템 보호 가능 단점:
암호화된 트래픽 탐지 불가 (ex. HTTPS) 내부 공격 탐지 취약 고속 네트워크 환경에서 성능 저하 가능성 HIDS와 NIDS의 기능을 통합한 구조 네트워크 트래픽과 호스트 정보를 함께 분석 복합적인 탐지 능력 제공 이미 알려진 공격 패턴(시그니처)을 기반으로 탐지 빠르고 정확하지만, 신종 공격(Zero-day) 탐지에 취약 정상 행위 프로파일을 기반으로 이상 징후 탐지 Zero-day 공격, 내부자 위협 탐지에 유리 오탐(False Positive) 가능성 존재 [ 외부 네트워크 ] → [ NIDS 센서 ] → [ 방화벽 ] → [ 내부 시스템 ] 외부에서 유입되는 트래픽은 NIDS 가 감시 내부 시스템에 설치된 HIDS 는 로컬 이벤트를 감시 구분 IDS IPS (Intrusion Prevention System) 기능 탐지 및 경고 탐지 + 차단 (능동 방어) 위치 네트워크 모니터링 지점 등 트래픽 경로 중간 행위 로그 기록 및 관리자 경고 공격 차단, 트래픽 드롭 반응 속도 실시간 감지 실시간 감지 및 대응 필요 적용 대상 모니터링 중심의 환경 실시간 보안 통제가 필요한 환경
알려진 공격 및 일부 알려지지 않은 이상 징후 탐지 로그 기반 포렌식 용이 기존 보안 장비와 병행 사용 가능 오탐(False Positive) 가능성 트래픽 폭증 시 성능 저하 가능 차단 기능은 제한적 (IPS와 차별됨) SIEM(Security Information and Event Management) : IDS의 이벤트 로그를 수집·분석·상관 관계를 분석해 통합 보안 관리EDR(Endpoint Detection and Response) : HIDS의 고도화 형태로, 침해 흔적 분석, 행위 기반 탐지 강화SOAR(Security Orchestration, Automation, and Response) : IDS의 탐지 결과를 기반으로 자동화된 대응 프로세스 수행 IDS는 네트워크 또는 시스템에서 발생하는 공격 시도를 탐지하여 관리자에게 경고를 제공하는 보안 시스템 HIDS는 호스트 내부를, NIDS는 네트워크 외부를 중점 감시 정적 시그니처 기반 탐지와 동적 이상행위 기반 탐지를 조합하면 탐지율 향상 IDS는 SIEM, EDR, IPS 등 보안 인프라와 통합하여 운영 시 효과 극대화