[Security] IDS와 IPS의 차이
1. 이 주제를 정리하게 된 이유
이전 글에서 방화벽의 역할에 대해 정리하면서, 방화벽은 네트워크 접근을 통제하는 중요한 보안 장치이지만 모든 공격을 막을 수는 없다는 점을 알게 되었다.
예를 들어 허용된 포트를 통해 들어오는 공격이나 정상적인 요청처럼 보이는 공격은 단순 방화벽 규칙만으로 탐지하기 어려울 수 있다.
그래서 방화벽과 함께 자주 언급되는 보안 장비가 IDS와 IPS이다. 두 용어는 이름도 비슷하고 모두 침입을 탐지한다는 공통점이 있어 헷갈리기 쉽다.
이번 글에서는 IDS와 IPS가 무엇인지, 그리고 두 장비가 어떤 차이가 있는지 정리해보려고 한다.
2. IDS란?
IDS는 Intrusion Detection System의 약자로, 우리말로는 침입 탐지 시스템이라고 한다.
IDS는 네트워크나 시스템에서 발생하는 트래픽과 로그를 분석하여 비정상적인 행위나 공격 의심 행위를 탐지하는 역할을 한다.
예를 들어 특정 IP에서 짧은 시간 동안 여러 번 로그인 실패가 발생하거나, 알려진 공격 패턴과 유사한 요청이 감지된다면 IDS는 이를 이상 행위로 판단하고 관리자에게 알림을 보낼 수 있다.
IDS의 핵심은 탐지와 알림이다. 수상한 징후를 감시하고 알려주지만, 기본적으로 직접 트래픽을 차단하지는 않는다.
3. IPS란?
IPS는 Intrusion Prevention System의 약자로, 우리말로는 침입 방지 시스템이라고 한다.
IPS는 IDS처럼 공격이나 이상 행위를 탐지하는 기능을 가지고 있다. 하지만 IDS와 달리 탐지한 공격을 차단하거나 패킷을 폐기하는 등 능동적인 대응까지 수행할 수 있다.
예를 들어 악성 트래픽이 탐지되면 IPS는 해당 트래픽을 차단하거나, 특정 IP의 접근을 막거나, 연결을 종료하는 방식으로 공격이 내부 시스템에 도달하지 못하게 할 수 있다.
IPS의 핵심은 탐지와 차단이다. 공격을 발견하는 것에서 그치지 않고, 공격이 실제 피해로 이어지지 않도록 중간에서 막는 역할을 한다.
4. IDS와 IPS의 차이
IDS는 일반적으로 통신 경로 바깥에서 복사된 트래픽을 분석하고, IPS는 통신 경로 중간에서 트래픽을 직접 검사하고 차단할 수 있다.
IDS와 IPS는 모두 침입이나 이상 행위를 탐지한다는 공통점이 있다.
하지만 가장 큰 차이는 차단 기능의 유무와 네트워크 상의 배치 방식이다.
| 구분 | IDS | IPS |
|---|---|---|
| 의미 | 침입 탐지 시스템 | 침입 방지 시스템 |
| 핵심 역할 | 탐지 및 알림 | 탐지 및 차단 |
| 배치 방식 | Out-of-band | In-line |
| 동작 방식 | 통신 경로 바깥에서 복사본 분석 | 실제 통신 경로 중간에서 검사 및 차단 |
| 장점 | 서비스 트래픽에 직접적인 영향을 주지 않음 | 공격을 실시간으로 차단 가능 |
| 주의점 | 차단은 별도 대응 필요 | 오탐 시 정상 트래픽도 차단될 수 있음 |
Out-of-band는 실제 통신 경로 바깥에서 복사된 트래픽을 분석하는 방식이고, In-line은 트래픽이 지나가는 경로 중간에 장비가 위치해 직접 검사하고 차단하는 방식이다.
쉽게 비유하면 IDS는 CCTV와 비슷하다. 수상한 행동을 발견하고 알려주지만, 직접 막지는 않는다.
반면 IPS는 출입 통제 시스템에 가깝다. 수상한 접근을 발견하면 알릴 뿐만 아니라, 필요에 따라 출입 자체를 막을 수 있다.
4-1. IDS/IPS는 어떻게 공격을 탐지할까?
IDS와 IPS는 공격을 탐지할 때 대표적으로 시그니처 기반 탐지와 이상 행위 기반 탐지 방식을 사용할 수 있다.
-
시그니처 기반 탐지
이미 알려진 공격 패턴을 기준으로 탐지하는 방식이다. 백신 프로그램이 악성코드 패턴을 비교해 탐지하는 것과 비슷하다. -
이상 행위 기반 탐지
평소와 다른 비정상적인 행위를 기준으로 탐지하는 방식이다. 예를 들어 로그인 실패가 갑자기 많아지거나 특정 트래픽이 급격히 증가하는 경우를 이상 행위로 볼 수 있다.
5. IPS가 있으면 IDS는 필요 없을까?
IPS는 탐지뿐만 아니라 차단까지 수행할 수 있기 때문에, IDS보다 더 강력한 장비처럼 보일 수 있다. 하지만 IPS가 IDS를 완전히 대체한다고 보기는 어렵다.
IPS는 트래픽 경로 중간에 위치해 공격을 실시간으로 차단할 수 있다는 장점이 있다. 다만 오탐이 발생하면 정상 트래픽까지 차단될 수 있고, 장비 장애나 과부하가 발생하면 서비스 흐름에 영향을 줄 수 있다.
반면 IDS는 복사된 트래픽을 분석하므로 직접 차단은 어렵지만, 서비스 흐름에 영향을 주지 않고 이상 행위를 모니터링하는 데 유용하다.
따라서 IDS와 IPS는 우열 관계라기보다 역할이 다른 보안 장비라고 볼 수 있다. IPS는 차단에 강점이 있고, IDS는 탐지와 분석에 강점이 있기 때문에 실제 환경에서는 목적에 따라 함께 사용되기도 한다.
6. 방화벽과 IDS/IPS는 어떻게 다를까?
방화벽, IDS, IPS는 모두 네트워크 보안을 위해 사용되지만 역할은 조금씩 다르다.
방화벽은 미리 정해진 규칙에 따라 트래픽의 통과 여부를 결정한다. (예: 특정 IP 차단, 특정 포트만 허용)
반면 IDS와 IPS는 단순히 IP나 포트만 보는 것이 아니라, 트래픽 내부의 패턴이나 행위 자체를 분석한다. 방화벽이 “22번 포트 접근을 허용할지”를 판단한다면, IDS/IPS는 “허용된 22번 포트 안에서 비정상적인 로그인 시도가 반복되는지”를 감시하는 식이다.
따라서 방화벽은 문지기 역할을 하는 접근 제어의 기본 장치이고, IDS/IPS는 문을 통과한 뒤의 이상 행위를 감시하고 대응하는 보완 장치라고 볼 수 있다.
7. 정리
IDS와 IPS는 모두 침입이나 이상 행위를 탐지하기 위한 보안 시스템이다.
- IDS: 네트워크나 시스템을 모니터링하며 이상 행위를 탐지하고 관리자에게 알림
- IPS: 이상 행위를 탐지한 뒤 필요하면 실시간으로 트래픽을 차단
이번 글을 정리하면서 방화벽, IDS, IPS는 모두 보안을 위한 장치이지만 각각의 역할이 다르다는 점을 알 수 있었다. 방화벽은 정해진 규칙으로 접근을 통제하고, IDS는 이상 행위를 탐지하며, IPS는 탐지한 공격을 차단한다.
따라서 실제 보안 환경에서는 하나의 장비만으로 모든 공격을 막기보다는, 여러 보안 장치를 함께 사용해 다층적인 방어 체계를 구성하는 것이 중요하다고 느꼈다.
