1. Firewall (방화벽)
네트워크에 들어오거나 나가는 트래픽을 필터링하여, 신뢰할 수 잇는 네트워크는 허용하고 신뢰할 수 없는 네트워크는 차단하는 보안 장비 또는 소프트웨어이다.
1.1 작동 방식
- IP 주소, 포트 번호, 프로토콜(TCP/UDP) 등 을 기반으로 설정된 정책(rule)에 따라 트래픽을 제어 - 허용할지, 차단할지 - 한다.
- 패킷 필터링 방식 또는 상태 기반 검사(Stateful Inspection)를 통해 동작한다.
1.2 주요 역할
-
접근 제어 (Access Control)
: 허용된 IP/포트/프로토콜만 통과시키고, 나머지는 차단함 -
트래픽 필터링
: 각 패킷의 출발지, 목적지, 포트, 프로토콜을 기반으로 정책 적용 -
네트워크 분리
: 내부망, 외부망, DMZ(비무장지대) 등을 분리하여 위험을 최소화 -
보안 로그 기록
: 차단/허용된 트래픽에 대한 기록을 남겨 침해 사고 분석에 활용
등등 방화벽은 많은 역할을 하나 대표적인 것은 접근 통제이다.
1.3 기능
방화벽은 4계층(전송 계층)과 3계층(네트워크 계층)에서 주로 작동하며, 7계층(응용 계층)에서도 작동한다. 여러 계층에서 작동하며, 네트워크를 보호한다.
패킷 필터링 (Packet Filtering)
- OSI 3계층(IP), 4계층(TCP/UDP 포트) 기반으로 동작
- 예: 포트 80만 허용, 포트 21은 차단
- 장점: 빠르고 단순함
- 단점: 애플리케이션 계층 공격은 탐지 어려움
상태 기반 검사 (Stateful Inspection)
- 연결의 상태(예: TCP 3-way handshake 등)를 추적하며 합법적인 연결인지 확인
- 단순히 패킷의 헤더 정보를 기반으로 패킷을 필터링하는 것이 아닌, 패킷의 상태를 기억하고 추적 및 모니터링함
- 예: 외부에서 들어오는 응답은 기존 연결에 기반할 때만 허용
- 패킷 필터링보다 더 높은 수준의 보안을 제공함
프록시 서버(Proxy Server)
- HTTP, FTP, DNS 등 응용 계층 프로토콜 수준에서의 검사 및 제어 수행
- 클라이언트는 프록시 서버에 요청을 보내고, 프록시 서버가 대신 서버에 연결하여 응답을 받아 클라이언트에게 전달함
- 이로써 양쪽의 직접적인 연결을 차단하고, 중간에서 트래픽을 필터링 및 검사할 수 있다.
1.4 방화벽의 장점과 한계
장점
- 네트워크 기반 보안의 기본 구성요소
- 접근 제어 및 트래픽 제어 가능
- 외부 공격자와 내부 자원 간 차단 가능
한계
- 애플리케이션 내부 취약점 탐지는 어려움
- 제로데이 공격(알려지지 않은 공격)은 탐지 못할 수 있음
외적인 수단을 통해서 이루어지는 침입 시도는 방화벽 필터에 한계가 있다. 이는 다른 보안 장비나 도구인 IDS, IPS등과 함께 사용함으로써 한계를 보완한다.
1.5 요약 및 추가
2. IDS (Intrusion Detection System, 침입 탐지 시스템)
IDS는 네트워크 또는 시스템에서 발생하는 이상 행위나 공격을 탐지하고 식별한다.
그러나 실시간으로 공격이나 위협을 차단하지 않고 경고 발생하고, 기록을 작성하여 관리자에게 알려준다.
2.1 작동 방식
IDS는 배치 위치와 모니터링 대상에 따라 두 가지로 나뉠 수 있다.
(1) NIDS (네트워크 기반 침입 탐지 시스템)
NIDS는 네트워크 구간(예: 내부망과 외부망 사이)에서 흐르는 트래픽을 모니터링하여 침입 시도를 탐지하는 방식이다.
- 장점
- 여러 시스템을 동시에 감시 가능
- 네트워크 전반에 대한 가시성 확보
- 한계
- 암호화된 트래픽(예: HTTPS)은 내용을 분석하기 어려움
(2) HIDS (호스트 기반 침입 탐지 시스템)
각 호스트(서버나 PC 등)에 직접 설치되어, 해당 시스템 내부의 이상 행위를 탐지하는 방식이다.
- 장점
- 암호화된 공격도 탐지 가능 (복호화 후 내부에서 동작하므로)
- 시스템 단위의 상세 정보 확인 가능 (사용자 행위, 파일 접근 등)
- 한계
- 시스템 리소스 소모 (CPU, 메모리 등)- 호스트 성능에 의존적이며, 비용 ↑
- 네트워크 전체는 볼 수 없음 (호스트 단위 탐지에 그침)
| 항목 | NIDS | HIDS |
|---|---|---|
| 위치 | 네트워크 중간 (게이트웨이 부근 등) | 개별 호스트 내부 |
| 감시 범위 | 전체 네트워크 트래픽 | 해당 호스트의 시스템 이벤트 |
| 데이터 소스 | 패킷, 트래픽 | 로그 파일, 파일 변경, 프로세스 활동 등 |
| 암호화 트래픽 탐지 | 어려움 (헤더만 분석 가능) | 가능 (호스트 내부에서 발생하므로) |
| 장점 | 여러 시스템을 동시에 감시 가능 | 상세하고 정확한 호스트 정보 확인 가능 |
| 단점 | 암호화, 로컬 이벤트는 탐지 어려움 | 네트워크 전체는 감시 불가, 리소스 부담 |
2.2 탐지 방법
작동 방식과 마찬 가지로 두 가지로 나눌 수 있다.
(1) 시그니처 기반 탐지 (Signature-based Detection)
이미 알려진 공격 패턴(시그니처, 규칙)과 비교해서 트래픽이나 행위가 일치하는지 확인하는 방식이다.
- 작동 방식
- 침입 탐지/차단 시스템에는 공격 패턴(시그니처)가 저장됨.
- 들어오는 트래픽을 실시간으로 분석해 DB에 있는 패턴과 일치하면 경고 또는 차단.
- 장점
- 알려진 공격은 거의 정확히 탐지 가능
-> 오탐률이 낮다.
- 알려진 공격은 거의 정확히 탐지 가능
- 한계
- 새롭게 등장한 공격은 시그니처가 없어 탐지 불가
- 공격자가 패턴을 변형하면 탐지 못할 수 있음
- 지속적인 DB 업데이트가 필수
(2) 이상 탐지 기반 (Anomaly-based Detection)
정상적인 시스템/트래픽의 기준(Baseline)을 학습해두고,
그와 다른 비정상적인 행위가 나타나면 탐지하는 방식이다.
- 작동 방식
- 초기에는 정상 트래픽/행위에 대한 통계 및 프로파일링 수행
- 실시간으로 수집된 데이터와 비교하여 기준을 벗어나면 경고
- 장점
- 제로데이 공격 탐지 가능. 새로운 공격이라도 정상과 다르면 감지한다.
- 시그니처가 없어도 이상한 행위는 걸러낸다. 알려지지 않은 위협 탐지 가능한다.
- 한계
- 오탐률 ↑, 정상 활동도 기준 밖이면 이상 활동으로 인식할 수 있다.
- 정확한 기준 설정 전까지는 탐지 효율이 떨어진다.
- 패턴 분석, 비교 등 연산량이 많아서 리소스 소모가 크다.
(3) IDS/IPS 비교
| 항목 | 시그니처 기반 | 이상 탐지 기반 |
|---|---|---|
| 탐지 대상 | 알려진 공격 패턴 | 정상 기준에서 벗어난 모든 비정상 행위 |
| 탐지 가능 범위 | 한정적 (DB에 있는 공격만 탐지) | 넓음 (신종/변종 공격 포함) |
| 정확성 | 높음 (False Positive 낮음) | 낮을 수 있음 (오탐 가능성 있음) |
| 유지관리 | 시그니처 업데이트 필요 | 기준 데이터 재학습 필요 |
| 탐지 속도 | 빠름 | 상대적으로 느림 |
3. IPS (Intrusion Prevention System, 침입 방지 시스템)
IPS는 IDS와 유사하지만, 탐지한 공격을 실시간으로 차단하는 보안 시스템이다.
침입을 탐지할 뿐만 아니라,
발견된 침입에 대해 자동화된 조치를 통해 대응하여 사전에 차단하는 시스템이다.
3.1 작동 방식
- IDS처럼 시그니처/이상 기반 분석 가능
- 악성 트래픽 탐지 시, 즉시 패킷을 드롭하거나 세션 종료함
3.2 장점
위협을 실시간으로 차단하여 피해를 예방할 수 있다.
3.3 단점
- 정상적인 서비스도 차단될 위험이 있다.
- 트래픽이 지연될 가능성이 있다.
4. DDoS (Distributed Denial of Service)
DDoS는 분산된 여러 시스템에서 동시에 특정 대상 서버나 네트워크에 대량의 트래픽을 보내서, 서비스를 마비시키는 공격 방식이다.
DOS (Denial of Service)
단일 공격자가 하나의 시스템(서버, 웹사이트 등)에 과도한 요청을 보내 서비스를 마비시키는 공격 방식
작동 방식
- 과도한 요청을 반복적으로 보내 CPU, 메모리, 네트워크 자원을 고갈시킴
- 서버는 정상적인 사용자 요청을 처리하지 못하고 다운되거나 응답 지연이 발생
4.1 작동 방식
- 봇넷(Botnet)을 활용하여 많은 좀비 PC에서 트래픽을 전송
- 서버의 CPU, 메모리, 네트워크 대역폭 등을 고갈시킨다.
4.2 공격 유형
| 구분 | 설명 |
|---|---|
| Volumetric 공격 | 대량의 트래픽을 발생시켜 대역폭을 소모 |
| Protocol 공격 | 네트워크 또는 프로토콜의 자원 고갈 유도 |
| Application 공격 | 애플리케이션 계층(예: 웹서버)을 대상으로 고성능 처리 자원 고갈 |
(1) Volumetric 공격 - 대역폭 고갈
정상적으로 보이는 트래픽을 대규모로 생성하여 네트워크 대역폭을 마비시키는 공격이다.
대표적인 예로 DNS 서버를 사용하여 DNS 응답 트래픽으로 표적을 마비시키는 DNS(Domain Name Server) 증폭을 들 수 있다.
트래픽 양(Gbps,Mbps,PPS 등)으로 공격의 규모를 측정할 수 있다.
특징
- 트래픽 양으로 상대를 마비시킴
- 증폭
- 방화벽만으로 막기 힘들다.
| 공격 종류 | 설명 |
|---|---|
| UDP Flood | UDP 패킷을 무작위 포트로 발송하여 대상이 ICMP 응답을 반복하게 함 |
| ICMP Flood | Ping(에코 요청)을 대량 전송해 응답으로 시스템 자원을 고갈시킴 |
| DNS Amplification | 작은 요청 → 큰 응답으로 증폭, 대상에게 폭탄처럼 전달 (증폭 비율이 50~100배 이상) |
| NTP Amplification | NTP 서버를 악용해 트래픽 증폭, 수백~수천 배 이상 응답 유도 |
(2) Protocol 공격 - 자원 고갈
네트워크 장비나 프로토콜의 취약한 동작 원리를 악용해 자원을 고갈시키는 공격
특징
- 장비의 CPU, 세션 테이블 등 리소스를 소진
- 흔히 방화벽/라우터/서버 다운으로 이어짐
| 공격 종류 | 설명 |
|---|---|
| SYN Flood | TCP 3-way 핸드셰이크 요청만 보내고 응답 안 함 → 연결 대기열 고갈 |
| ACK Flood | 대량의 ACK 패킷을 보내 방화벽/라우터의 상태 추적 기능을 마비 |
| Ping of Death | 비정상적으로 큰 Ping 패킷으로 버퍼 오버플로 유발 (과거에 유행) |
| Smurf Attack | 브로드캐스트 주소에 spoofed Ping 요청 → 다수 응답이 희생자에게 몰림 |
(3) Resource layer 공격 (Application Layer 공격)
웹서버, 데이터베이스, 애플리케이션 레이어에 직접 과부하를 일으켜 서비스 중단을 유도
특징
- 정상 요청처럼 보여 탐지 어려움
- 웹서버, 데이터베이스 등 고성능 장비도 쉽게 마비됨
- 보통 레이트 리미팅, CAPTCHA, WAF로 방어
| 공격 종류 | 설명 |
|---|---|
| HTTP GET/POST Flood | 웹 페이지 요청을 무한 반복하여 웹 서버를 마비 |
| Slowloris | HTTP 연결을 천천히 전송하여 연결을 끊지 않음 → 자원 고갈 |
| DNS Query Flood | DNS 서버에 다수의 요청을 보내 서비스 불능 유도 |
| VoIP 공격 (SIP Flood) | VoIP 서비스 프로토콜에 대량 요청을 보내 마비 |
(4) DDoS 공격 유형 요약
| 구분 | 공격 예시 | 대상 | 특징 |
|---|---|---|---|
| Volumetric | UDP Flood, DNS/NTP Amplification | 네트워크 대역폭 | 대량 트래픽으로 대역폭 소모 |
| Protocol | SYN Flood, ACK Flood, Smurf | 라우터, 서버 자원 | 프로토콜 취약점 이용, 리소스 고갈 |
| Application | HTTP Flood, Slowloris, SIP Flood | 웹서버, DB | 정상처럼 보이는 요청으로 서비스 마비 |
하나의 네트워크를 대상으로 여러가지 유형의 공격 방법을 사용할 수 있다.
네트워크가 공격을 받고 있다고 생각되면 빠르게 대응하는 것이 중요하다. DDoS 공격은 다운타임을 유발할 뿐 아니라 조직을 다른 해커, 맬웨어 또는 사이버 위협에 취약한 상태로 만들 수 있기 때문이다.
4.3 공격 탐지 및 대응 방법
(1) 신호
- 동일한 IP 주소 등에서 보낸 웹 트래픽이 갑자기 증가한다.
- 네트워크 성능이 느려지거나 불규칙하게 변한다.
- 웹 사이트, 온라인 스토어 또는 서비스가 완전히 오프라인 상태로 전환된다.
(2) 대응 및 예방
| 대응 방식 | 보호 계층 | 설명 |
|---|---|---|
| Rate Limiting | L7 | 요청 속도 제한 |
| IP 필터링 | L3 | 특정 IP/국가 차단 |
| 방화벽/IPS 설정 | L3/L4 | 트래픽 기반 탐지 및 차단 |
| WAF | L7 | 웹 공격 탐지/차단 |
| CDN | 전 계층 분산 | 트래픽 분산 및 캐싱 |
| 클라우드 DDoS 방어 | 전 계층 | 대규모 공격 완화 |
| Blackhole Routing | 네트워크 단 | 공격 트래픽 드랍 |
| 모니터링/경보 | 전 계층 | 이상 탐지 후 자동 대응 |
Rate Limiting (요청 속도 제한)
- IP당 일정 시간 내 요청 횟수를 제한하여 봇 트래픽을 줄임
- 간단하고 효과적이나, 정상 사용자도 제한될 수 있음
ACL (Access Control List) / IP 필터링
- 악성 트래픽이 유입되는 IP, 국가, 지역을 차단. 방화벽이나 라우터에서 설정 가능
- 특정 공격에 빠르게 대응 가능하지만, IP 위조에는 취약
방화벽 및 IPS 강화
- L3/L4 트래픽 필터링 기능을 갖춘 방화벽과 IPS를 이용해 비정상 트래픽을 차단
- SYN Flood, UDP Flood 등을 차단할 수 있는 룰 설정
- 기본적인 네트워크 방어선, 다만 대규모 DDoS에는 한계 있음
WAF (웹 애플리케이션 방화벽)
- HTTP 기반의 애플리케이션 계층 공격(GET/POST Flood 등) 방어
- SQL Injection, XSS, Slowloris도 탐지 가능
- Layer 7 공격에 효과적, 웹서버와 함께 사용하면 좋음
클라우드 기반 DDoS 방어 서비스
- 전문 보안 업체가 제공하는 대규모 트래픽 완화 서비스
- 예) Cloudflare DDoS Protection, AWS Shield / Shield Advanced 등
모니터링 및 자동 경보 시스템
- 시간 트래픽 패턴을 감시하고 이상 징후 시 자동 알림/조치
DDoS는 사전 준비가 핵심이다.
단일 기술보다 여러 대응 전략을 조합하는 다층 보안(Multi-layered Security)이 가장 효과적이다.
출처 및 참고
- https://www.google.com/search?q=Firewall%2C+DDoS%2C+IDS+%EC%99%80+IPS+%EC%9D%98+%ED%8A%B9%EC%A7%95+%EB%B0%8F+%EC%B0%A8%EC%9D%B4%EC%A0%90&oq=Firewall%2C+DDoS%2C+IDS+%EC%99%80+IPS+%EC%9D%98+%ED%8A%B9%EC%A7%95+%EB%B0%8F+%EC%B0%A8%EC%9D%B4%EC%A0%90&gs_lcrp=EgZjaHJvbWUyBggAEEUYOTIHCAEQABjvBTIHCAIQABjvBTIKCAMQABiABBiiBNIBCjEzMTk5ajBqMTWoAgKwAgE&sourceid=chrome&ie=UTF-8
- https://itcase.tistory.com/entry/7-Firewall-IDS-IPS-DDOS
- https://velog.io/@secloud/6.-Firewall-IDS-IPS-DDoS%EC%9D%98-%ED%8A%B9%EC%A7%95-%EB%B0%8F-%EC%B0%A8%EC%9D%B4%EC%A0%90
- https://www.microsoft.com/ko-kr/security/business/security-101/what-is-a-ddos-attack
