695. IPS (Network Intrusion Prevention System) 차단 아키텍처

핵심 인사이트: 도둑이 담벼락을 넘고 있다. NIDS(탐지 시스템)는 방범 카메라다. 카메라에 도둑이 찍히면 112에 신고 알람만 울려줄 뿐 도둑을 막지 못해 도둑은 이미 거실로 들어와 버린다. 빡친 경비업체는 아예 담벼락 위에 전기 충격기(IPS)를 달아버렸다. 도둑이 감지되는 그 0.1초 찰나의 순간에 패킷을 잿더미로 태워버리고 접속을 완전히 차단하는 능동형 보안 장비가 바로 IPS다.

Ⅰ. IPS (Intrusion Prevention System)의 탄생 배경

  • 기존 방화벽은 IP와 포트만 보는 멍청이였고, NIDS(침입 탐지)는 해커의 악성 코드를 기가 막히게 찾아냈지만 경고(Alert)만 울릴 뿐, 악성 패킷이 서버로 쏟아져 들어가는 것을 '물리적'으로 막아내지 못하는 사후 약방문 장비였습니다.
  • "탐지하는 순간, 관리자를 기다릴 필요 없이 기계가 알아서 스스로(능동적으로) 악성 패킷의 숨통을 끊어버리고 연결을 폐기(Drop)해 버릴 수는 없을까?" 이 완벽한 방패의 꿈이 IPS를 탄생시켰습니다.

Ⅱ. 핵심 아키텍처: 인라인(In-line) 구조 배치 🌟

NIDS가 탐지만 하고 막지 못했던 이유는 네트워크 밖에서 남의 패킷을 구경만 하는 '미러 포트(Mirror Port)'에 연결되어 있었기 때문입니다. IPS는 배치 구조 자체가 다릅니다.

  • 인라인 (In-line) 배치: 인터넷 선이 들어와서 서버로 가는 메인 골목 한가운데(In-line)를 싹둑 자르고 IPS 장비를 그 사이에 직렬로 꽂아버립니다.
  • 즉, 외부에서 들어오는 모든 택배(패킷)는 무조건 IPS 장비의 배때기 속을 관통해서 지나가야만 합니다. IPS가 엑스레이를 찍어보고 악성코드가 있으면 문을 꽝 닫고 패킷을 그 자리에서 쓰레기통에 버려(Drop) 서버로 1바이트도 넘어가지 못하게 원천 차단합니다.

Ⅲ. IPS 도입의 치명적 부작용 2가지 (극복 과제) 🌟

방화벽보다 똑똑하고 NIDS보다 강력한 완전체 같지만, 현실에 적용하면 어마어마한 부작용이 터집니다.

1. 단일 장애점 (SPOF) 병목 현상

  • 모든 트래픽이 IPS 배때기를 통과해야 하므로, 만약 해커가 100기가짜리 디도스(DDoS) 쓰레기 트래픽을 쏟아부어 IPS 장비 CPU가 타버리거나 기계가 고장 나면? 그 즉시 회사 인터넷 전체가 단절되어 서버가 오프라인이 되는 **SPOF(Single Point of Failure)**의 주인공이 됩니다.
  • 해결책: 장비가 죽더라도 전기 신호는 무조건 바이패스(Bypass)로 통과시켜 서버가 뻗는 것은 막는 'Fail-Open' 설계가 필수입니다.

2. 폴스 포지티브 (False Positive, 오탐)의 대재앙 🌟🌟

  • IPS의 가장 무서운 적입니다. 정상적인 고객의 패킷인데, IPS 엔진이 오해해서 "해킹이다!"라고 차단해 버리는(오탐) 경우입니다.
  • 탐지 장비(NIDS)는 오탐이 나도 "삐용삐용" 알람만 울려서 좀 귀찮고 말지만, 차단 장비(IPS)에서 오탐이 나면 수강신청을 하던 정상 학생들의 수만 개 패킷을 모조리 해커로 오인하여 싹 다 차단해 버리는, 자사 서버를 스스로 디도스(DDoS)하는 대참사가 일어납니다.
  • 해결책: IPS를 사자마자 차단(Block) 모드로 켜면 절대 안 됩니다. 처음 한두 달은 NIDS처럼 탐지(Alert) 모드로만 돌리면서, "아, 우리 회사는 이런 이상한 트래픽도 정상 고객이구나" 하고 예외 규칙(Tuning)을 수만 번 깎아서 오탐률을 0%에 수렴하게 만든 뒤에야 조심스럽게 차단 모드를 켭니다.

📢 섹션 요약 비유: NIDS가 길가에 앉아서 훔쳐보다가 테러범을 발견하면 무전기로 112에 신고만 하는 '잠복경찰'이라면, IPS는 톨게이트 좁은 차로 한가운데 우뚝 서서 모든 차의 트렁크를 뜯어보는 '무장 헌병대(In-line)'입니다. 테러범의 폭탄을 그 자리에서 압수(Drop)하는 최고의 방어력을 자랑하지만, 검사 속도가 느리면 톨게이트 뒤로 차가 수십 킬로미터 밀리고(병목 현상), 선량한 시민의 밀가루를 폭탄으로 오해해서 압수해 버리면(오탐지, False Positive) 엄청난 민원 폭탄을 맞게 되는 까다로운 장비입니다.