694. 스노트 (Snort), Suricata 와 오용 탐지(Misuse) vs 이상 탐지(Anomaly) 엔진

핵심 인사이트: 도둑을 잡는 두 가지 방법이 있다. 하나는 "얼굴 흉터, 키 180cm인 놈을 잡아라!"라는 수배 전단지(오용 탐지)를 보고 잡는 것. 다른 하나는 평소 동네 사람들의 걸음걸이를 기억해 뒀다가, "어? 저놈은 걸음걸이가 평소 동네 사람이랑 너무 달라서 수상한데?"(이상 탐지)라고 잡아내는 것이다. NIDS는 이 두 가지 엔진을 돌려 해커를 잡아내는 수사관이다.

Ⅰ. 침입 탐지 시스템(IDS)의 심장: 탐지 기법 🌟

NIDS가 패킷을 가져와서 해커인지 정상인인지 구별하는 뇌(알고리즘)는 크게 두 가지 방식으로 나뉩니다.

1. 오용 탐지 (Misuse Detection / 지식 기반, 시그니처 기반)

  • 개념: 과거에 이미 발생했던 해킹 공격들의 패턴(지문, 시그니처)을 데이터베이스에 수배 전단지처럼 쫙 저장해 두고, 새로 들어온 패킷이 이 수배 전단지와 100% 일치하면 "해커다!"라고 차단하는 방식입니다. 백신 프로그램의 바이러스 검사 원리와 같습니다.
  • 장점 (정확성): 오탐지(정상인데 해커로 오인하는 것, False Positive) 확률이 거의 제로에 가깝습니다. 빠르고 정확합니다.
  • 단점 (신종 해킹에 무방비): 세상에 처음 나온 신종 공격(Zero-day Attack)이나, 기존 공격 코드를 살짝 변형한 돌연변이가 들어오면 수배 전단지에 없으므로 그냥 통과시켜버리는 치명적 한계(미탐, False Negative)가 있습니다.

2. 이상 탐지 (Anomaly Detection / 행위 기반, 통계 기반)

  • 개념: 정상적인 네트워크 상태(평소 우리 회사 서버는 1초에 10명 접속함)의 통계적 평균을 인공지능이나 머신러닝으로 미리 학습해 둡니다. 그리고 평소와 너무 다르게 갑자기 1초에 1만 명이 접속하거나, 야밤에 엄청난 트래픽이 튀는 등 '이상한 행동(비정상)'을 보이면 무조건 "해커다!"라고 잡아내는 방식입니다.
  • 장점: 수배 전단지에 없는 완전 새로운 신종/변종 공격(Zero-day)도 패턴의 이상함만으로 기가 막히게 탐지해 냅니다.
  • 단점 (양치기 소년): 정상적인 이벤트(예: 수강 신청 날 갑자기 트래픽이 몰림)를 해킹으로 착각해서 "삐용삐용!" 알람을 울려대는 오탐지(False Positive)가 너무 심합니다. 관리자가 알람 끄기에 지쳐버립니다.

Ⅱ. 대표적인 오픈소스 NIDS 엔진 삼국지

1. Snort (스노트) - NIDS의 영원한 할아버지

  • 1998년 마틴 로시가 개발한 **전 세계에서 가장 유명한 오픈소스 네트워크 침입 탐지 시스템(NIDS)**이자 사실상 표준입니다.
  • 특유의 직관적이고 쉬운 룰(Rule) 문법을 사용합니다. 전 세계 보안 장비들이 "방화벽 룰 스노트 문법으로 맞춰줘"라고 할 정도로 생태계를 장악했습니다. (전형적인 오용 탐지, 시그니처 기반 시스템)

2. Suricata (수리카타) - 병렬 처리의 신흥 강자

  • 스노트의 치명적 단점은 '싱글 스레드(Single Thread)'로만 돈다는 것입니다. 10G 이상의 엄청난 트래픽이 쏟아지는 현대망에서는 혼자 패킷을 다 검사하다가 코피를 쏟고 뻗어버립니다.
  • 이를 타파하기 위해 등장한 Suricata는 멀티 코어(Multi-threading)를 완벽히 지원하여 수십 기가의 트래픽을 여러 CPU로 쪼개어 병렬로 미친 듯이 고속 탐지해 내는 차세대 엔진입니다. 스노트의 룰(Rule) 문법을 100% 호환해서 스노트 유저를 그대로 흡수하며 대세로 자리 잡았습니다.

3. Zeek (지크, 구 Bro)

  • 위 두 개가 해커의 '지문(시그니처)'을 찾는 데 특화되었다면, Zeek는 통신의 '흐름(행위)'을 기록하고 분석하는 이상 탐지(Anomaly) 및 네트워크 메타데이터 분석에 훨씬 더 특화된 강력한 도구입니다.

📢 섹션 요약 비유: 오용 탐지는 공항의 '지명 수배자 AI 인식 카메라'입니다. 범죄자 명단(시그니처 DB)에 있는 얼굴과 똑같은 사람이 지나가면 100% 확률로 체포하지만, 명단에 없는 처음 보는 테러범은 유유히 빠져나갑니다. 이상 탐지는 노련한 '공항 마약 탐지견'입니다. 평범해 보여도 유독 식은땀을 많이 흘리거나 안절부절못하는 이상한 낌새(Anomaly)를 보이면 일단 짖어서 잡아 세웁니다. 신종 마약범도 기가 막히게 잡지만, 가끔 그냥 배가 아파서 땀을 흘리는 일반 여행객(False Positive)에게도 짖어대는 피곤한 부작용이 있습니다.