침입탐지시스템(IDS)

by

침입탐지시스템(IDS: Intrusion Detection System)은 네트워크나 시스템에서 발생하는 활동을 모니터링하고, 악의적인 행위나 정책 위반을 탐지하여 관리자에게 경고를 주는 보안 기술입니다. IDS는 보안 아키텍처의 핵심 구성요소 중 하나이며, 주로 HIDS(호스트 기반 IDS)와 NIDS(네트워크 기반 IDS)로 구분됩니다.

아래는 IDS의 개념, 구성 방식, 유형별 특징 및 비교, 장단점, 보완 기술 등을 중심으로 총정리한 내용입니다.

1. 침입탐지시스템(IDS) 개요

정의:
IDS는 정보시스템 내 이상 행위나 공격 징후를 실시간으로 감지하여 관리자에게 알리는 보안 시스템입니다. IDS는 단순히 방어하는 것이 아니라, 탐지 및 경고 역할에 초점을 둡니다.

기능:

  • 악성 트래픽 및 행위 탐지
  • 실시간 모니터링
  • 로그 기록 및 분석
  • 관리자 경고 또는 대응 스크립트 실행 (일부 경우 자동 차단 기능 포함)

2. IDS 유형별 분류

2.1 HIDS (Host-based Intrusion Detection System)

정의:
개별 호스트(서버, 워크스테이션 등)에 설치되어, 해당 시스템의 로그, 파일 무결성, 시스템 호출 등을 모니터링하는 방식

특징:

  • 각 호스트 내부에서 작동
  • 시스템 로그, 파일 변경 내역, 레지스트리 접근 등을 분석
  • 내부 사용자 공격이나 권한 상승 등의 탐지에 효과적

장점:

  • 애플리케이션 계층까지 상세 감시 가능
  • 암호화된 트래픽 후단 처리 감시 가능
  • 내부자 공격 탐지 우수

단점:

  • 많은 서버에 설치해야 하므로 관리 복잡도 증가
  • 네트워크 전반의 공격 파악 어려움
  • 리소스 소모 (CPU, 메모리 등)

2.2 NIDS (Network-based Intrusion Detection System)

정의:
네트워크 구간에서 트래픽을 모니터링하여 이상 행위를 탐지하는 시스템. 일반적으로 스니퍼(Sniffer) 형태로 작동.

특징:

  • 네트워크의 주요 지점(스위치 포트 미러링, TAP 등)에 설치
  • 실시간 패킷 분석
  • 외부 공격, 바이러스, 웜 등의 유입 탐지에 효과적

장점:

  • 네트워크 전반 감시 가능
  • 트래픽 기반의 공격 탐지 우수 (DoS, 스캔, 포트 스위핑 등)
  • 단일 장비로 다수 시스템 보호 가능

단점:

  • 암호화된 트래픽 탐지 불가 (ex. HTTPS)
  • 내부 공격 탐지 취약
  • 고속 네트워크 환경에서 성능 저하 가능성

3. 기타 IDS 유형

3.1 하이브리드 IDS (Hybrid IDS)

  • HIDS와 NIDS의 기능을 통합한 구조
  • 네트워크 트래픽과 호스트 정보를 함께 분석
  • 복합적인 탐지 능력 제공

3.2 시그니처 기반 IDS

  • 이미 알려진 공격 패턴(시그니처)을 기반으로 탐지
  • 빠르고 정확하지만, 신종 공격(Zero-day) 탐지에 취약

3.3 이상행위 기반 IDS (Anomaly-based IDS)

  • 정상 행위 프로파일을 기반으로 이상 징후 탐지
  • Zero-day 공격, 내부자 위협 탐지에 유리
  • 오탐(False Positive) 가능성 존재

4. 구성도

[ 외부 네트워크 ]  →  [ NIDS 센서 ]  →  [ 방화벽 ]  →  [ 내부 시스템 ]

                                   (HIDS 설치됨)
  • 외부에서 유입되는 트래픽은 NIDS가 감시
  • 내부 시스템에 설치된 HIDS는 로컬 이벤트를 감시

5. IDS vs IPS

구분IDSIPS (Intrusion Prevention System)
기능탐지 및 경고탐지 + 차단 (능동 방어)
위치네트워크 모니터링 지점 등트래픽 경로 중간
행위로그 기록 및 관리자 경고공격 차단, 트래픽 드롭
반응 속도실시간 감지실시간 감지 및 대응 필요
적용 대상모니터링 중심의 환경실시간 보안 통제가 필요한 환경

6. IDS의 장단점 정리

장점:

  • 알려진 공격 및 일부 알려지지 않은 이상 징후 탐지
  • 로그 기반 포렌식 용이
  • 기존 보안 장비와 병행 사용 가능

단점:

  • 오탐(False Positive) 가능성
  • 트래픽 폭증 시 성능 저하 가능
  • 차단 기능은 제한적 (IPS와 차별됨)

7. IDS 관련 기술 및 연계 방안

  • SIEM(Security Information and Event Management): IDS의 이벤트 로그를 수집·분석·상관 관계를 분석해 통합 보안 관리
  • EDR(Endpoint Detection and Response): HIDS의 고도화 형태로, 침해 흔적 분석, 행위 기반 탐지 강화
  • SOAR(Security Orchestration, Automation, and Response): IDS의 탐지 결과를 기반으로 자동화된 대응 프로세스 수행

8. 최종 정리

  • IDS는 네트워크 또는 시스템에서 발생하는 공격 시도를 탐지하여 관리자에게 경고를 제공하는 보안 시스템
  • HIDS는 호스트 내부를, NIDS는 네트워크 외부를 중점 감시
  • 정적 시그니처 기반 탐지와 동적 이상행위 기반 탐지를 조합하면 탐지율 향상
  • IDS는 SIEM, EDR, IPS 등 보안 인프라와 통합하여 운영 시 효과 극대화

Leave a Comment