침입탐지시스템(IDS)

침입탐지시스템(IDS: Intrusion Detection System)은 네트워크나 시스템에서 발생하는 활동을 모니터링하고, 악의적인 행위나 정책 위반을 탐지하여 관리자에게 경고를 주는 보안 기술입니다. IDS는 보안 아키텍처의 핵심 구성요소 중 하나이며, 주로 HIDS(호스트 기반 IDS)와 NIDS(네트워크 기반 IDS)로 구분됩니다.

아래는 IDS의 개념, 구성 방식, 유형별 특징 및 비교, 장단점, 보완 기술 등을 중심으로 총정리한 내용입니다.

1. 침입탐지시스템(IDS) 개요

정의:
IDS는 정보시스템 내 이상 행위나 공격 징후를 실시간으로 감지하여 관리자에게 알리는 보안 시스템입니다. IDS는 단순히 방어하는 것이 아니라, 탐지 및 경고 역할에 초점을 둡니다.

기능:

• 악성 트래픽 및 행위 탐지
• 실시간 모니터링
• 로그 기록 및 분석
• 관리자 경고 또는 대응 스크립트 실행 (일부 경우 자동 차단 기능 포함)

2. IDS 유형별 분류

2.1 HIDS (Host-based Intrusion Detection System)

정의:
개별 호스트(서버, 워크스테이션 등)에 설치되어, 해당 시스템의 로그, 파일 무결성, 시스템 호출 등을 모니터링하는 방식

특징:

• 각 호스트 내부에서 작동
• 시스템 로그, 파일 변경 내역, 레지스트리 접근 등을 분석
• 내부 사용자 공격이나 권한 상승 등의 탐지에 효과적

장점:

• 애플리케이션 계층까지 상세 감시 가능
• 암호화된 트래픽 후단 처리 감시 가능
• 내부자 공격 탐지 우수

단점:

• 많은 서버에 설치해야 하므로 관리 복잡도 증가
• 네트워크 전반의 공격 파악 어려움
• 리소스 소모 (CPU, 메모리 등)

2.2 NIDS (Network-based Intrusion Detection System)

정의:
네트워크 구간에서 트래픽을 모니터링하여 이상 행위를 탐지하는 시스템. 일반적으로 스니퍼(Sniffer) 형태로 작동.

특징:

• 네트워크의 주요 지점(스위치 포트 미러링, TAP 등)에 설치
• 실시간 패킷 분석
• 외부 공격, 바이러스, 웜 등의 유입 탐지에 효과적

장점:

• 네트워크 전반 감시 가능
• 트래픽 기반의 공격 탐지 우수 (DoS, 스캔, 포트 스위핑 등)
• 단일 장비로 다수 시스템 보호 가능

단점:

• 암호화된 트래픽 탐지 불가 (ex. HTTPS)
• 내부 공격 탐지 취약
• 고속 네트워크 환경에서 성능 저하 가능성

3. 기타 IDS 유형

3.1 하이브리드 IDS (Hybrid IDS)

• HIDS와 NIDS의 기능을 통합한 구조
• 네트워크 트래픽과 호스트 정보를 함께 분석
• 복합적인 탐지 능력 제공

3.2 시그니처 기반 IDS

• 이미 알려진 공격 패턴(시그니처)을 기반으로 탐지
• 빠르고 정확하지만, 신종 공격(Zero-day) 탐지에 취약

3.3 이상행위 기반 IDS (Anomaly-based IDS)

• 정상 행위 프로파일을 기반으로 이상 징후 탐지
• Zero-day 공격, 내부자 위협 탐지에 유리
• 오탐(False Positive) 가능성 존재

4. 구성도

[ 외부 네트워크 ]  →  [ NIDS 센서 ]  →  [ 방화벽 ]  →  [ 내부 시스템 ]
                                      ↑
                                   (HIDS 설치됨)

• 외부에서 유입되는 트래픽은 NIDS가 감시
• 내부 시스템에 설치된 HIDS는 로컬 이벤트를 감시

5. IDS vs IPS

구분	IDS	IPS (Intrusion Prevention System)
기능	탐지 및 경고	탐지 + 차단 (능동 방어)
위치	네트워크 모니터링 지점 등	트래픽 경로 중간
행위	로그 기록 및 관리자 경고	공격 차단, 트래픽 드롭
반응 속도	실시간 감지	실시간 감지 및 대응 필요
적용 대상	모니터링 중심의 환경	실시간 보안 통제가 필요한 환경

6. IDS의 장단점 정리

장점:

• 알려진 공격 및 일부 알려지지 않은 이상 징후 탐지
• 로그 기반 포렌식 용이
• 기존 보안 장비와 병행 사용 가능

단점:

• 오탐(False Positive) 가능성
• 트래픽 폭증 시 성능 저하 가능
• 차단 기능은 제한적 (IPS와 차별됨)

7. IDS 관련 기술 및 연계 방안

• SIEM(Security Information and Event Management): IDS의 이벤트 로그를 수집·분석·상관 관계를 분석해 통합 보안 관리
• EDR(Endpoint Detection and Response): HIDS의 고도화 형태로, 침해 흔적 분석, 행위 기반 탐지 강화
• SOAR(Security Orchestration, Automation, and Response): IDS의 탐지 결과를 기반으로 자동화된 대응 프로세스 수행

8. 최종 정리

• IDS는 네트워크 또는 시스템에서 발생하는 공격 시도를 탐지하여 관리자에게 경고를 제공하는 보안 시스템
• HIDS는 호스트 내부를, NIDS는 네트워크 외부를 중점 감시
• 정적 시그니처 기반 탐지와 동적 이상행위 기반 탐지를 조합하면 탐지율 향상
• IDS는 SIEM, EDR, IPS 등 보안 인프라와 통합하여 운영 시 효과 극대화