보안 솔루션 IPS, WAF, DDOS 개념

이eun·2025년 1월 22일

IPS (Instrusion Prevention System)

네트워크 또는 시스템에 대한 악성 트래픽과 침입 시도를 실시간으로 탐지하고 차단.

작동 방식

  • 네트워크 트래픽을 시그니처 기반 또는 행위 기반으로 분석
  • 악의적인 활동이 감지되면 차단하거나 네트워크 관리자에게 알림
  • 일반적으로 방화벽과 함께 사용

보호 대상

  • 네트워크 전반
  • 예: 데이터 유출, 악성 코드 배포, 시스템 취약점 공격

특징

  • 실시간 탐지와 차단
    - 알려진 공격(signature)과 비정상적인 패턴(Behavior)을 탐지
  • 일반 네트워크 계층 보호
    - OSI 모델의 3계층 (Network Layer)와 4계층 (Transport Layer)중식

한계

  • L7공격 (예: SQL Injection, XSS)에는 취약
  • 트래픽이 암호화되어 있으면 탐지가 어려움

WAF (Web Application Firewall)

웹 애플리케이션을 대상으로 한 애플리케이션 계층(7계층) 공격을 방어

작동 방식

  • 웹 요청(HTTP/HTTPS)을 분석하여 악의적인 요청(예: SQL injection, XSS)을 차단
  • 주로 특정 웹 애플리케이션을 보호

보호 대상

  • 웹 애플리케이션 및 API
  • 예: 전자상거래 웹사이트, 포털 사이트, 클라우드 API

특징

  • 웹 보안 전문성
    - SQL Injection, XSS, CSRF 같은 웹 공격 방어
  • 사용자 정의 규칙
    - 특정 애플리케이션의 보안 요구사항에 맞게 규칙 작성 가능
  • SSL/TLS 암호화 트래픽 처리
    - HTTPS를 복호화하여 악성 요청 탐지

한계

  • 네트워크 레벨 공격 (예: DDoS, 포트 스캔)은 방어하지 못함
  • 규칙 설정이 복잡할 수 있으며, 잘못 설정하면 오탐(overblocking)이 발생

DDoS 방어 솔루션

대량의 트래픽으로 네트워크나 서버를 마비시키는 DDoS(Distributed Denial of Service) 공격을 방어

작동 방식

  • 정상 트래픽과 DDoS 트래픽을 구분하여 악성 트래픽을 차단
  • 트래픽 패턴, 소스 IP, 요청 빈도 등을 분석

보호 대상

  • 네트워크와 서비스 가용성(Availability)
  • 예: 웹사이트, API 서버, 네트워크 백본

특징

  • 트래픽 필터링
    - 비정상적으로 높은 트래픽을 필터링하여 정상적인 사용자가 서비스에 접근 가능
  • 확장 가능한 방어
    - 클라우드 기반 솔루션은 대규모 DDoS 공격에도 대응 가능
  • 레이어 3~7 보호
    - Layer 3,4,7 공격 모두 방어

한계

  • DDoS 방어 솔루션은 악의적인 대규모 트래픽 방어에 초점이 맞춰져 있어, 세부적인 보안 위협(SQL Injection 등)에는 적합하지 않음

비교: IPS, WAF, DDoS 방어 솔루션

특징IPSWAFDDoS 방어 솔루션
보호 계층네트워크 계층(3/4)애플리케이션 계층(7)네트워크 및 애플리케이션 계층(3~7)
보호 대상네트워크 전반웹 애플리케이션서비스 가용성(DoS/DDoS 방어)
주요 방어 유형악성 트래픽, 침입 시도SQL Injection, XSS, CSRF대규모 트래픽 기반 DoS/DDoS
작동 방식시그니처/행위 기반 탐지HTTP/HTTPS 요청 분석트래픽 패턴 분석 및 비정상 트래픽 차단
장점실시간 침입 방지애플리케이션 공격 방어대규모 공격 방어
단점애플리케이션 공격 방어 어려움네트워크 공격 방어 어려움세부 보안 위협 방어 불가
주요 사용 사례네트워크 보안, 데이터 유출 방지웹 애플리케이션 보호서비스 중단 방지

사용 사례에 따른 선택

  1. IPS:

    • 네트워크 전반의 보안을 강화하고, 시스템 침투 시도를 차단하고자 할 때.
    • 예: 내부 네트워크 보호, 악성 트래픽 방어.

  2. WAF:

    • 웹 애플리케이션을 통한 데이터 유출, 악성 요청을 방어.
    • 예: 전자상거래, API 보안.

  3. DDoS 방어 솔루션:

    • 대규모 트래픽 공격으로 인한 서비스 중단을 방지.
    • 예: 게임 서버, 대규모 웹 서비스 보호.

결론

  • IPS: 네트워크의 일반적인 침입과 악성 트래픽 방어.
  • WAF: 웹 애플리케이션 레벨의 공격 방어.
  • DDoS 방어 솔루션: 서비스 가용성을 유지하며 대규모 트래픽 공격 방어.
    서로 다른 위협에 대응하기 위해 이 세 가지를 함께 사용하면 보다 강력한 보안 환경을 구축할 수 있습니다.
profile
이eun
이전 포스트

AWS IAM과 IAM Center 차이

다음 포스트

CDN

0개의 댓글