Brain994. IDS / IPS - 침입 탐지 시스템 침입 차단 시스템 오탐 미탐 탐지율 차단율 긍정 오류 부정 오류 컷오프 보안 지표 모델 시그니처 휴리스틱망
핵심 인사이트 (3줄 요약)
- **IDS(침입 탐지)**는 네트워크 패킷을 모니터링하여 공격 패턴 발견 시 경고 알람만 울리는 사후 대응 시스템입니다.
- **IPS(침입 차단)**는 네트워크 길목에 인라인으로 배치되어 악성 트래픽을 실시간으로 차단하는 능동형 방어 시스템입니다.
- 탐지 지표에서 오탐(FP)은 정상 트래픽을 공격으로 오인하여 업무를 방해하고, 미탐(FN)은 실제 해킹을 놓쳐 치명적인 보안 사고를 유발합니다.
Ⅰ. IDS (Intrusion Detection System, 침입 탐지 시스템)
- 개념: 스위치 옆에 몰래 빨대(미러링 포트)를 꽂아두고, 사내망을 지나다니는 모든 패킷의 복사본을 조용히 지켜보다가, 해킹 공격 패턴이 발견되면 "해커 침입!"이라고 경고 알람(Log)만 울려주는 모니터링 시스템입니다. (대표 툴: Snort)
- 한계 (사후 약방문): 랜선 바깥에서 지켜보는 구조(Out-of-path)이기 때문에, 해커의 패킷은 이미 1초 전에 진짜 서버로 쑥 들어가 버렸습니다. IDS가 알람을 울렸을 때는 이미 DB가 다 털리고 난 후입니다.
📢 섹션 요약 비유: **IDS(침입 탐지 시스템)**는 은행 벽에 달린 'CCTV 경보기'입니다. 복면강도(해커)가 돈을 털어갈 때 사이렌(경고)만 미친 듯이 울릴 뿐 강도를 물리적으로 막지는 못합니다.
Ⅱ. IPS (Intrusion Prevention System, 침입 차단 시스템)
IDS의 답답함을 참지 못해 탄생한 능동형 처형인입니다.
- 개념: 네트워크 랜선이 지나가는 메인 길목 정중앙(In-line)에 길막을 하고 서 있습니다.
- 패킷이 통과할 때마다 실시간으로 몸수색을 하고, 만약 해커의 냄새가 1%라도 나면 경비원에게 알람을 울릴 것도 없이 그 자리에서 패킷을 갈기갈기 찢어서 버려버립니다(Drop, 차단).
- 부작용 (망 마비): 무조건 길목을 지키고 서 있기 때문에, IPS 기계가 고장 나면 회사 인터넷 자체가 통째로 멈춰버리는 끔찍한 사태(SPOF)가 터집니다.
📢 섹션 요약 비유: **IPS(침입 차단 시스템)**는 은행 정문 회전문 앞에 서 있는 '무장 터미네이터'입니다. 강도가 문에 들어서는 순간 멱살을 잡고 문밖으로 던져버려 즉각 차단하지만, 고장나면 길막이 되어 정상 손님도 못 들어옵니다.
Ⅲ. 해커의 냄새를 맡는 2가지 뇌 (탐지 기법)
1. 오용 탐지 (Misuse Detection / 시그니처 기반) - "지명수배자 전단지"
- 경찰이 벽에 붙여둔 수배 전단지(알려진 해킹 패턴, 시그니처) 얼굴과 100% 똑같이 생긴 놈이 지나가면 잡습니다.
- 장점: 정확도가 100%입니다. 애먼 정상인을 잡을 일이 절대 없습니다.
- 단점: 세상에 처음 나온 신종 공격(제로데이 공격)은 수배 전단지에 얼굴이 없으므로, 눈앞으로 대놓고 걸어 들어가도 웃으면서 문을 열어줍니다(미탐 폭발).
2. 이상 탐지 (Anomaly Detection / 휴리스틱 기반) - "관상으로 때려잡기"
- 평소 우리 회사 직원들의 출퇴근 패턴(정상 상태 트래픽)을 1년 치 인공지능(AI)으로 외워둡니다.
- 갑자기 평소에 본 적 없는 아랍 IP에서 생전 처음 보는 이상한 춤(기괴한 트래픽 패턴)을 추며 들어오면 "넌 얼굴은 모르지만 관상이 범죄자 관상이야!" 라며 일단 때려잡습니다.
- 장점: 신종 해킹(제로데이)도 귀신같이 잡아낼 수 있습니다.
- 단점: 정상 직원이 야근하느라 평소랑 다르게 새벽에 로그인했는데 "이 새끼 해커다!" 하고 회사 문을 닫아버리는 미친 부작용(오탐)이 엄청 터집니다.
📢 섹션 요약 비유: 터미네이터가 강도를 잡는 방식은 2가지입니다. 전과자 머그샷과 대조하는 것(오용 탐지: 정확하지만 신종 수법에 취약)과, 평범하게 입었어도 행동이 수상하면 패고 보는 것(이상 탐지: 제로데이는 막지만 선량한 시민을 팰 수 있음)입니다.
Ⅳ. 탐지율/차단율의 4대 보안 지표 (오탐과 미탐의 딜레마)
암 검진 판정의 원리와 100% 똑같습니다. (True/False의 말장난 극복하기)
- 정탐 (True Positive, TP): 해커를 "너 해커 맞네!" 하고 100% 정확하게 잡음. (최고)
- 정상 (True Negative, TN): 정상인을 "너 정상이네" 하고 잘 보내줌. (최고)
- 오탐 (False Positive, FP, 긍정 오류): 정상인 직원이 로그인했는데, 시스템이 오바해서 "너 해커지!" 라고 **잘못 탐지(알람 울림)**하여 직원을 잘라버림. (보안팀 피로도 폭발, 욕먹음)
- 미탐 (False Negative, FN, 부정 오류) 🌟 가장 치명적 🌟: 진짜 흉악범 해커가 당당하게 걸어 들어왔는데, 시스템이 바보처럼 "너 정상이네~" 하고 탐지하지 못하고 놓쳐버림(스루패스). 회사가 털리고 뉴스에 대문짝만하게 나옵니다(보안 사고).
📢 섹션 요약 비유: 시스템이 예민하면 평범한 손님이 뛰어올 때 몽둥이로 때리는 일(오탐, FP)이 잦아지고, 너무 무던하면 양복 입은 사기꾼을 귀빈으로 모셔 금고가 털리는 대참사(미탐, FN)가 발생합니다. 이 민감도 조율이 보안의 핵심입니다.
┌─────────────────────────────────────────────────────────┐
│ [ Internet / External Network ] │
└────────────────────────┬────────────────────────────────┘
│
▼
┌─────────────┐
│ Router │
└──────┬──────┘
│
=================▼=================
│ 네트워크 경계 (Perimeter) │
=================▼=================
│
┌─────────────┐ (In-line 방어)
│ IPS │ ◀── 패킷을 직접 차단/통과
│ (침입 차단) │ (Drop / Pass)
└──────┬──────┘
│
▼
┌─────────────┐ (Out-of-path 탐지)
│ Switch ├─────▶ ┌─────────────┐
└──────┬──────┘ 미러링 │ IDS │
│ (복사본)│ (침입 탐지) │
▼ └──────┬──────┘
┌─────────────┐ │ 경보
│ Servers │ ▼ (Alert)
│ & Users │ [보안 관리자]
└─────────────┘
👶 어린이를 위한 3줄 비유 설명
- **IDS(탐지)**는 도둑이 들어오면 "애엥!" 하고 사이렌만 울려주는 똑똑한 경보기예요. 도둑을 쫓아내지는 못해요.
- **IPS(차단)**는 문 앞에서 지키고 있다가 도둑이 보이면 멱살을 잡고 바깥으로 내쫓아버리는 힘센 로봇 경비원이에요.
- 오탐/미탐은 로봇이 너무 예민해서 택배 아저씨를 도둑으로 오해하고 내쫓거나(오탐), 너무 멍청해서 양복 입은 진짜 도둑을 손님인 줄 알고 들여보내 주는(미탐) 실수랍니다!