###0. [문제]방화벽, IDS, IPS, 웹방화벽의 개념과 기능에 관하여 설명하시오
###1. 서론* 정의: 기업의 정보 자산을 외부의 불법적인 침입으로부터 보호하기 위해 OSI 7 계층별로 특화된 기능을 수행하는 네트워크 보안 시스템의 집합.
- 배경: 초기 단순 접속 제어(L3/L4) 중심의 보안에서, 애플리케이션 취약점(L7) 공격 및 지능형 지속 위협(APT) 등 공격 기법의 고도화 및 다변화로 인해 단계별 방어 체계가 요구됨.
- 목적: 심층 방어(Defense in Depth) 원칙에 따라 네트워크 경계부터 애플리케이션단까지 다계층 보안을 구축하여 기밀성, 무결성, 가용성을 보장함.
###2. 본론####2.1. 다계층 보안 아키텍처 및 위치각 보안 솔루션은 보호하려는 계층과 목적에 따라 네트워크상 위치가 다릅니다.
(도식 설명: 인터넷 -> [방화벽] -> [IPS] -> [WAF] -> [Web/WAS/DB 서버] 순으로 배치되며, IDS는 스위치의 미러링 포트에 연결되어 트래픽을 감시함)
####2.2. 각 솔루션별 상세 개념 및 핵심 기능1) 방화벽 (Firewall)
- 개념: 서로 다른 네트워크(신뢰/비신뢰) 간의 트래픽을 정책(Rule) 기반으로 허용하거나 차단하는 관문.
- 주요 기능:
- 패킷 필터링: IP 주소, Port 번호(L3/L4) 기반의 단순 차단.
- Stateful Inspection: 세션 상태를 추적하여 응답 패킷의 정당성 검증.
- NAT: 사설 IP 주소 변환을 통한 내부 망 은닉.
2) IDS (Intrusion Detection System, 침입 탐지 시스템)
- 개념: 네트워크 트래픽을 실시간으로 모니터링(Mirroring)하여 비인가 행위나 이상 징후를 탐지하고 관리자에게 경보를 알리는 시스템.
- 주요 기능:
- 오용 탐지(Misuse): 이미 알려진 공격 시그니처와 비교 (정확도 높음, 새로운 공격 취약).
- 이상 탐지(Anomaly): 평소 트래픽 패턴과 다른 이상 행위 탐지 (Zero-day 탐지 가능, 오탐률 높음).
- 수동적 감시: 네트워크 흐름에 직접 개입하지 않음 (단선 시에도 통신 영향 없음).
3) IPS (Intrusion Prevention System, 침입 차단 시스템)
- 개념: 공격 탐지 시 실시간으로 패킷을 능동적으로 차단(Inline)하여 시스템을 보호하는 솔루션. IDS의 탐지 기능에 차단 기능을 결합.
- 주요 기능:
- 실시간 차단: 악성 패킷 Drop, 세션 Reset.
- 가상 패치: 취약점 발견 시 엔진 업데이트를 통해 서버 패치 전까지 임시 방어.
- 고려사항: 오탐(False Positive) 발생 시 정상 서비스가 차단될 수 있으므로 정교한 튜닝 필요.
4) 웹방화벽 (WAF, Web Application Firewall)
- 개념: 일반 방화벽이 탐지하지 못하는 웹 애플리케이션(HTTP/HTTPS, L7) 상의 취약점 공격을 탐지 및 차단하는 특화 솔루션.
- 주요 기능:
- OWASP Top 10 방어: SQL Injection, XSS, CSRF 등 웹 공격 방어.
- 정보 유출 방지: 개인정보(주민번호, 카드번호) 패턴 탐지 및 마스킹.
- 부정 로그인 방지: Brute Force Attack 차단.
| ####2.3. 솔루션 간 비교 분석 (기술사 시각) | 구분 | 방화벽 (FW) | IDS | IPS |
|---|---|---|---|---|
| 대응 계층 | Network (L3/L4) | Network ~ App (L3~L7) | Network ~ App (L3~L7) | Application (L7) |
| 주요 목적 | 접근 제어 (Access Control) | 침입 탐지 및 감사 | 침입 차단 (실시간) | 웹 해킹 방어 |
| 설치 모드 | Inline (경로 상) | Mirror/Tap (복제) | Inline (경로 상) | Proxy / Inline |
| 장점 | 처리 속도 빠름, 기본 보안 | 네트워크 부하 없음 | 공격 즉시 무력화 | 웹 로직 이해, 데이터 보호 |
| 단점/한계 | 패킷 내용 검사 불가 | 차단 불가, 사후 대응 | 오탐 시 서비스 장애(가용성) | 암호화 트래픽 처리 부하 |
####2.4. 실무 적용 시 고려사항 및 제언1. SSL/TLS 트래픽 가시성 확보: 현재 웹 트래픽의 90% 이상이 암호화되어 있음. IPS나 WAF 앞단에 SSL Offloading 장비를 두거나, 자체 복호화 기능을 활성화해야 공격 탐지가 가능함.
2. 성능과 보안의 Trade-off: IPS와 WAF는 Inline 구성이므로 장비 장애 시 서비스 중단(SPOF) 위험이 있음. 이를 방지하기 위해 Bypass 모드 지원 및 HA(이중화) 구성이 필수적임.
3. 통합 보안 솔루션(UTM/NGFW) 도입 검토: 최근에는 방화벽, IPS, VPN 등이 통합된 차세대 방화벽(NGFW)이 주류이나, 고성능 처리가 필요한 대규모 환경에서는 전용 WAF를 별도 구축하는 것이 안정성 측면에서 유리함.
###3. 결론* 요약: 보안 위협은 단일 솔루션으로 방어할 수 없으며, 방화벽(접근제어) \rightarrow IPS(침입차단) \rightarrow WAF(웹보호)로 이어지는 다단계 방어 체계(Multi-Layered Security) 구축이 필수적임. 특히 클라우드 전환 가속화에 따라 WAAP(Web Application and API Protection)로의 기술 확장이 요구됨.
- 어린이버전 요약: 방화벽은 '대문', IDS는 'CCTV', IPS는 '경비원', 웹방화벽은 우편물을 검사하는 '세관원'입니다.
