Brain693. NIDS (Network Intrusion Detection System) - 분산 탐지 아키텍처
핵심 인사이트: 방화벽(Firewall)이 성문의 '경비원'이라면, IDS(침입 탐지 시스템)는 성벽 안팎을 돌아다니는 수상한 사람을 잡아내는 'CCTV 시스템'이다. 경비원은 출입증이 없으면 문을 안 열어주지만, 합법적인 출입증을 달고 들어온 첩자(악성코드)가 성 안에서 폭탄을 설치하는 짓까지는 막지 못한다. NIDS는 네트워크 길목 전체를 복사해서 훔쳐보며 해킹 징후를 발견하고 알람을 울려주는 정찰병이다.
Ⅰ. IDS (Intrusion Detection System)의 개념
- 개념: 컴퓨터 시스템이나 네트워크에서 발생하는 모든 이벤트를 실시간으로 모니터링하고 분석하여, 해킹, 악성코드 감염, 비정상적인 접근 등 보안 정책을 위반하는 침입(Intrusion) 행위를 '탐지(Detection)'하고 관리자에게 '경고(Alert)'를 보내는 보안 시스템입니다.
- 방화벽이 '사전 접근 제어(문단속)'라면, IDS는 '사후 감시 및 탐지(순찰)'를 담당합니다.
Ⅱ. 탐지 위치에 따른 IDS의 2가지 분류 🌟
어디에 CCTV를 설치하느냐에 따라 NIDS와 HIDS로 나뉩니다.
1. NIDS (Network IDS, 네트워크 침입 탐지 시스템)
- 설치 위치: 서버나 PC 내부가 아니라, **네트워크 길목(스위치 미러 포트, 라우터 뒷단)**에 독자적인 장비로 설치됩니다.
- 원리 (도청 장치): 회사 랜선을 돌아다니는 모든 패킷을 스위치의 포트 미러링(Port Mirroring) 기능을 이용해 전부 '복사'해서 자기 쪽으로 가져옵니다. 그리고 그 패킷 뭉치 속에 포트 스캐닝, 디도스(DDoS) 공격, 웜 바이러스 징후가 있는지 샅샅이 뒤집니다.
- 장점 (은폐성): 해커가 서버를 뚫고 들어와도, NIDS 장비는 투명 인간처럼 네트워크 밖에서 도청만 하고 있으므로 해커가 NIDS의 존재를 눈치채거나 장비를 꺼버리기가 매우 힘듭니다. (공격자에게 IP가 보이지 않는 Promiscuous 모드로 동작)
- 단점: 요즘처럼 모든 웹 통신이 HTTPS(SSL)로 암호화되어 버리면, NIDS는 겉 껍데기만 볼 뿐 알맹이(Payload)의 내용을 풀지 못해 해킹 여부를 알 수 없는 까막눈이 됩니다.
2. HIDS (Host IDS, 호스트 침입 탐지 시스템)
- 설치 위치: 윈도우, 리눅스 같은 개별 서버나 중요 PC '내부'에 백신 소프트웨어처럼 직접 설치됩니다.
- 원리: 밖에서 날아오는 네트워크 패킷이 아니라, 서버 내부의 상태(누가 로그인 실패를 5번 했나?, 누가 윈도우 시스템 레지스트리 파일을 갑자기 바꿨나?)를 감시합니다.
- 장점: 암호화된 트래픽(HTTPS)이라도, 어차피 서버 내부에 도착하면 평문으로 풀리므로 암호화를 무력화하고 정확한 탐지가 가능합니다. 트로이 목마나 백도어 탐지에 탁월합니다.
- 단점: 서버 CPU를 잡아먹어 서버를 느려지게 만들며, 해커가 서버 관리자 권한(Root)을 탈취하면 HIDS 소프트웨어부터 강제로 꺼버릴 수 있습니다.
Ⅲ. NIDS의 한계점 (탐지만 할 뿐 막지는 못함)
- NIDS의 가장 큰 약점은 이름 그대로 '탐지(Detection)'만 할 뿐 '차단(Prevention)'을 하지 못한다는 점입니다.
- 네트워크에 해커가 SQL 인젝션 공격을 던지면, NIDS는 그걸 보고 "삐용삐용! 해커가 들어왔습니다!"라고 알람 메일만 보냅니다. 알람이 울린 순간 이미 해커의 악성 코드는 서버에 도달해 버린 뒤입니다. (이 수동성을 극복하기 위해 나온 방어 장비가 다음 695번의 IPS입니다.)
📢 섹션 요약 비유: NIDS는 고속도로 톨게이트 옥상에 달린 '과속 단속 카메라'입니다. 방화벽(톨게이트 바리케이드)이 정상 요금을 낸 트럭을 통과시키면, 이 트럭이 도로 위에서 과속을 하거나 난폭운전을 하는지 지켜보는 것은 카메라(NIDS)의 역할입니다. NIDS는 얌전하게 위장한 트럭(해킹 패킷)이 갑자기 폭주하는 것을 발견하면 "저 차 미쳤음!" 하고 사진을 찍어 본부에 경고 알람을 보내주지만, 직접 도로로 뛰어들어 트럭을 멈춰 세울 권한(차단)은 없습니다.