[PART5] 운영체제/시스템/보안 - TERMS 09

[ TERMS 09 ]  IDS/IPS/WAF

IDS, IPS, Firewall의 차이를 설명하는 이미지(출처 : https://ipwithease.com/firewall-vs-ips-vs-ids/)

 

1. IDS(Intruction Detection System) / IPS(Intrucsion Prevention System) / WAF(Web Application Firewall)의 정의

 IDS, IPS, WAF는 외부 침입을 탐지하고 방지하는 시스템들이다. IDS(침입 탐지 시스템)은 방화벽이 탐지할 수 없는 악의 적인 네트워크 트래픽을 탐지하는 시스템이고, IPS(침입 방지 시스템)은 침입을 탐지하고 탐지에 대한 방지도 할 수 있는 시스템이다. WAF(웹 방화벽)는 웹 앱 앞에서 네트워크 트래픽을 분석해 모니터링하고 제어하는 시스템이다.

  2000년대에 인터넷이 상용화되면서 IP를 통해 서버로 접속해 해킹하는 사례가 발생했고, F/W(방화벽) 시스템이 출현했다. F/W는 IP, 포트 접근 관련 해킹을 막는 네트워크 트래픽 방지 시스템이다. 이후 해킹 및 악의적 접근이 다양해지면서 방화벽이 탐지할 수 없는 시스템을 탐지하는 IDS가 출현했다. 이후 탐지만 가능한 IDS의 기능에 방어 기능이 추가된 IPS가 출현했고, 웹 서비스가 대중화되면서 서버 정보, 개인 정보 보호의 중요도가 상승해 WAF가 등장했다.

F/W와 WAF의 차이를 설명하는 이미지(출처 : https://de.radware.com/cyberpedia/application-security/waf-vs-firewall-comparison-and-differences/)

 IT 해킹 및 침해 방식이 고도화됨에 따라 DDoS, SQL Injection 등 다양한 보안 시스템이 출현했고, 앞으로도 더 다양한 방법들이 생겨날 것이다.

 

2. IDS / IPS / WAF 알아보기

> IDS의 정의

 방화벽 이후 진화하는 해커들에 대응하여 만들어진 방화벽의 업그레이드 버전이다. 방화벽은 OSI 4계층(물리, 데이터 링크, 네트워크 계층, 전송 계층)까지만 검사가 가능한 반면, IDS는 OSI 7계층 전부를 확인할 수 있다. 

 방화벽은 어디서 네트워크 트래픽이 오는지 확인만 가능하지만, IDS는 공격 내용까지 감지할 수 있다. 외부 침입을 근본적으로 해결하지는 못하지만 IPS가 출현하기 이전 외부 침입에 대응했던 네트워크 보안 시스템이다. IDS는 탐지 방법에 따라 여러 종류로 나뉜다.

 

> IDS의 특징

• 탐지 방법에 의한 분류

 행위 기반 : Input, Output의 사용량, 로그인 횟수, 패킷 양 등 정량적이고 통계적인 분석을 통해 일탈 행위를 식별하는 과정이다. 전문적인 수치로 판단할 수 있어 알려지지 않은 공격(Zero-Day Attack)도 바로 탐지 가능하다.

 지식 기반 : '규칙 기반 침입 탐지', '오용 침입 탐지' 라고도 표현한다. 가장 일반적인 방법으로서 사전에 기존 침입 방법을 DB에 저장하고, 차후 저장된 침입 패턴과 상이할 경우 침입으로 인지한다. 만약, 새로운 침입 방법이 발견된다면 해당 공격 패턴을 DB에 추가해야 한다.

 

• 대응 방법

 수동적 방법 : 대부분의 IDS가 사용하는 방식으로, 권한을 가진 사람에게 더 엄격한 대응을 하는 방식이다. 만약 해커가 내부 직원의 계쩡을 해킹하여 접근하였을때 더 큰 피해를 유발 가능하기 때문에 권한을 가진 사람에게 더 엄격한 대응을 실시한다.

 능동적 방법 : 침입에 가장 빨리 대응할 수 있는 행동이며, 침입에 의한 손실을 줄일 수 있다.

 

• 데이터 수집원

 호스트 로그 파일 : 서버에 직접 설치되어 공격을 탐지하며 호스트 시스템으로부터 생성되고 수집된 자료를 침입 탐지에 사용하는 시스템이다. 따라서 정확한 탐지가 가능하다.

 네트워크 패킷 : 네트워크를 통해 전송되는 정보(패킷 헤더, 데이터 양, 트래픽 양, 로그 등)를 분석해 침입 여부를 판단한다. 초기 구축 비용은 저렴하지만 암호화된 패킷은 분석할 수 없다는 단점이 있다.

 

• 탐지 시점

 사후 분석 : 수집된 데이터를 정해진 시간에만 분석해 침입 여부를 판단하는 방법으로 즉시 대응이 어렵다.

 실시간 탐지 시스템 : 정보 수집과 데이터 발생 탐지가 동시에 실시간으로 이루어진다.

 

> IPS의 정의

 IPS는 침입을 탐지하며 탐지에 대한 방지도 할 수 있는 시스템이다. IDS보다 업그레이드 된 서비스로 침입이 일어나기 전에 실시간으로 침입을 막고, 유해 트래픽을 차단하는 등 더 능동적인 보안 시스템이다.

 

> IPS의 특징

 IPS는 공격 패턴 인지 방식에 따라 지식 기반과 행위 기반으로 구분할 수 있다.

 지식 기반 : 각각의 공격에 대한 Signature를 정의하고, 해당 공격 패턴에 매칭되어 있어야 차단을 실행한다.

 행위 기반 : 알려지지 않은 공격을 수집하고, 해당 정보를 이용해 능동적으로 대처한다.

 

> WAF의 정의

 WAF는 웹 앱 앞에서 네트워크 트래픽을 분석해 모니터링하고 제어하는 보안 시스템이다. IP, 포트만을 탐지하는 Firewall과 달리 웹 앱에 특화되어 있다. WAF는 특정 IP만을 유입시켜 DDoS, SQL Injection 등 다양한 보안 사고로부터 앱을 보호하는 중요한 역할을 담당한다.

 

> WAF의 특징

 웹 공격 탐지 및 차단 : SQL Injection(악의적인 사용자가 입력 값을 변경해 악의적인 SQL문을 실행함으로써 DB를 비정상적으로 조작하는 방법), XSS(웹 페이지에 악성 스크립트를 삽입하는 방법) 등과 같은 웹 공격을 탐지 및 차단한다.

개인 정보 유출 방지 및 탐지 : 개인 정보가 웹을 통해 게시되거나 개인 정보가 포함된 문서를 업로드, 다운로드 하는 경우 탐지하고 대응한다.

 부정 로그인 방지 : 웹 사이트 로그인 시 추정 가능한 모든 경우의 수를 생각해 비정상적인 접근을 제어한다.

 위변조 발생 시 탐지 : 해킹으로 위변조 발생 시 즉시 탐지하고 대응한다.

즉, WAF는 사전에 발견하지 못한 내부의 위험 요소를 지켜 낸다.

 

3. IDS / IPS 비교하기

구분	IDS	IPS
목적	침입 여부 감지	침입 이전 방지 및 감지
특징	로그, Signature 기반 패턴 매칭	정책, 규칙 등 비정상 행위 탐지
장점	실시간 탐지 사후 분석 대응 기술	실시간 즉각 대응 세션 기반 탐지 가능
단점	변형된 패턴 탐지 어려움	오작동 감지 현상 발생 가능 비싼 비용

 

4. IDS / IPS / WAF 더 알아보기

>  함께 알면 좋은 용어

• Firewall
• SQL Injection
• XSS
• DDoS
• OSI 7계층