침입 탐지 시스템이란?

침입 탐지 시스템(IDS)은 원래 표적 애플리케이션이나 컴퓨터에 대한 취약점 익스플로잇을 탐지하기 위해 구축된 네트워크 보안 기술입니다.

IDS는 청취 전용 디바이스이기도 합니다. IDS는 트래픽을 모니터링하고 관리자에게 결과를 보고합니다. 탐지된 익스플로잇이 시스템을 장악하지 못하도록 하는 조치를 자동으로 취할 수는 없습니다.

공격자는 네트워크에 진입하고 나면 취약점을 빠르게 익스플로잇할 수 있습니다. 따라서 IDS는 차단용으로 적합하지 않습니다. 침입 탐지 및 침입 예방 시스템은 모두 보안 정보와 이벤트 관리에 필수적입니다.

침입 탐지 시스템과 침입 예방 시스템의 비교

다음 표에서는 IPS와 IDS 구축의 차이점을 요약하여 보여줍니다.

  침입 예방 시스템 IDS 구축
네트워크 인프라에 배치 통신의 직접 회선의 일부(인라인) 통신의 직접 회선의 외부(대역 외)
시스템 유형 활성(모니터링 및 자동 방어) 및/또는 수동 수동(모니터링 및 알림)
탐지 메커니즘 1. 통계적 이상 기반 탐지
2. 시그니처 탐지:
- 익스플로잇 대상 시그니처
- 취약점 대상 시그니처
1. 시그니처 탐지:
- 익스플로잇 대상 시그니처

 

IPS와 IDS 간 차이점을 보여주는 다이어그램
IPS와 IDS 간 차이점을 보여주는 다이어그램

IDS의 작동 방식

침입 탐지 시스템의 기능을 보여주는 다이어그램
침입 탐지 시스템의 기능을 보여주는 다이어그램

IDS는 잠재적 위협을 탐지하기만 하면 됩니다. IDS는 네트워크 인프라의 대역 외에 배치됩니다. 따라서 정보의 발신자와 수신자 사이의 실시간 통신 경로에 있지 않습니다.

IDS 솔루션은 종종 TAP 또는 SPAN 포트의 이점을 활용하여 인라인 트래픽 스트림의 복사본을 분석합니다. 즉 IDS는 인라인 네트워크 성능에 영향을 미치지 않습니다.

IDS가 개발되었을 때는 침입 탐지에 필요한 심층적인 분석을 신속하게 수행할 수 없습니다. 따라서 네트워크 인프라의 직접 통신 경로의 구성 요소에 그 속도를 맞출 수 없었습니다.

네트워크 침입 탐지 시스템은 네트워크에 피해가 발생하기 전에 해커를 포착하기 위해 의심스러운 활동을 탐지하는 데 사용됩니다. 네트워크 기반과 호스트 기반 침입 탐지 시스템이 있습니다. 호스트 기반 IDS는 클라이언트 컴퓨터에 설치되고, 네트워크 기반 IDS는 네트워크 자체에 설치됩니다.

IDS는 정상적인 활동과 알려진 공격 시그니처로부터의 편차를 찾으며 작동합니다. 이상 패턴은 스택을 전송하여 프로토콜 및 애플리케이션 레이어에서 검사됩니다. 이를 통해 DNS 포이즈닝, 잘못된 정보 패킷과 크리스마스 트리 검색과 같은 이벤트를 탐지할 수 있습니다.

IDS는 네트워크 보안 디바이스 또는 소프트웨어 애플리케이션으로 구현됩니다. 클라우드 환경의 데이터와 시스템을 보호하기 위해 클라우드 기반 IDS 또한 사용 가능합니다.

IDS 탐지의 유형

IDS에는 네트워크 기반, 호스트 기반, 프로토콜 기반, 애플리케이션 프로토콜 기반과 하이브리드 등 5가지 유형이 있습니다.

가장 흔한 두 가지 유형의 IDS는 다음과 같습니다.

  1. 네트워크 기반 침입 탐지 시스템(NIDS)
    네트워크 IDS가 완전히 보호되는 네트워크를 모니터링합니다. 가장 취약한 서브넷과 같이 전략적 지점의 인프라 전반에 구축됩니다. NIDS는 네트워크의 디바이스에서 송수신되는 모든 트래픽을 모니터링하여 패킷 내용과 메타데이터를 기반으로 결정합니다.
  2. 호스트 기반 침입 탐지 시스템(HIDS)
    호스트 기반 IDS는 설치된 컴퓨터 인프라를 모니터링합니다. 다시 말해, 내부 및 외부 위협으로부터 보호할 특정 엔드포인트에 구축됩니다. IDS는 트래픽 분석, 악의적인 활동 로깅, 지정 당국에 대한 통보를 통해 이를 수행합니다.

나머지 세 유형은 다음과 같이 설명할 수 있습니다.

  1. 프로토콜 기반(PIDS)
    프로토콜 기반 침입 탐지 시스템은 일반적으로 웹 서버에 설치됩니다. 그리고 사용자/디바이스와 서버 간 프로토콜을 모니터링 및 분석합니다. PIDS는 일반적으로 서버의 프런트 엔드에 위치하며 프로토콜의 동작 및 상태를 모니터링합니다.
  2. 애플리케이션 프로토콜 기반(APIDS)
    APIDS는 일반적으로 서버 측의 내부에 위치하는 시스템 또는 에이전트입니다. AIPDS는 애플리케이션별 프로토콜에 대한 대응을 추적하고 해석합니다. 예를 들어, 웹 서버와 거래하는 동안 미들웨어에 대한 SQL 프로토콜을 모니터링할 수 있습니다.
  3. 하이브리드 침입 탐지 시스템
    하이브리드 침입 탐지 시스템은 두 가지 이상의 침입 탐지 접근 방식을 결합합니다. 이 시스템을 사용하면 시스템 또는 호스트 에이전트 데이터를 네트워크 정보와 결합하여 시스템을 종합적으로 파악할 수 있습니다. 하이브리드 침입 탐지 시스템은 다른 시스템과 비교하여 더 강력합니다. 하이브리드 IDS의 한 가지 예는 Prelude입니다.

IDS 탐지 방법의 하위 그룹 또한 존재하며, 가장 흔한 두 가지 변형은 다음과 같습니다.

  1. 시그니처 기반
    시그니처 기반 IDS는 인바운드 네트워크 트래픽을 모니터링하여 알려진 공격 시그니처와 일치하는 특정 패턴과 시퀀스를 찾습니다. 이러한 목적에는 효과적이지만 알려진 패턴이 없는 미확인 공격을 탐지할 수는 없습니다.
  2. 이상 기반
    이상 기반 IDS는 알려지지 않은 공격을 탐지하도록 설계된 상대적으로 더 새로운 기술이며, 공격 시그니처의 식별 이상의 기능을 제공합니다. 대신 이 유형의 탐지는 머신 러닝을 사용하여 대용량의 네트워크 데이터와 트래픽을 분석합니다.

    이상 기반 IDS는 정상적인 활동의 정의된 모델을 생성하고 이를 사용하여 이상 동작을 식별합니다. 그러나 오탐이 발생하기 쉽습니다. 예를 들어, 시스템이 드물지만 정상적인 동작을 보이는 경우 이상으로 식별됩니다. 이는 잘못된 알림으로 이어집니다.

IDS와 방화벽의 비교

IDS와 차세대 방화벽은 모두 네트워크 보안 솔루션입니다. 이는 IDS를 방화벽과 구분 짓는 것이 목적입니다.

IDS 디바이스는 수동적으로 모니터링하여 의심되는 위협이 발생하면 이를 설명하고 알림 신호를 보냅니다. IDS는 이동 중인 네트워크 패킷을 주시합니다. 이를 통해 인시던트 대응으로 위협을 평가하고 필요에 따라 조치를 취합니다. 그러나 엔드포인트 또는 네트워크를 보호하지는 않습니다.

방화벽은 적극적인 모니터링을 하며 인시던트가 되기 전에 위협을 찾아 차단합니다. 방화벽은 트래픽을 필터링하고 차단할 수 있습니다. 포트, 대상 주소 및 소스에 의존하여 사전 구성된 규칙을 기반으로 트래픽을 허용합니다.

방화벽은 방화벽 규칙을 따르지 않는 트래픽을 거부합니다. 그러나 공격이 네트워크 내부에서 비롯되는 경우 IDS는 알림을 생성하지 않습니다.

침입 탐지 시스템과 방화벽의 기능을 보여주는 다이어그램
침입 탐지 시스템과 방화벽의 기능을 보여주는 다이어그램

IDS 회피 기법

침입자가 IDS의 탐지를 피하기 위해 사용하는 많은 기법이 있습니다. 이러한 방법은 다음과 같이 기존 탐지 방법을 회피하기 위한 것이기 때문에 IDS에 문제를 일으킬 수 있습니다.

  • 단편화
    단편화는 패킷을 더 작고 단편화된 패킷으로 나눕니다. 이로 인해 탐지될 공격 시그니처가 없기 때문에 침입자는 숨어있는 상태를 유지할 수 있습니다.

    단편화된 패킷은 이후에 IP 레이어의 수신자 노드에 의해 재구성됩니다. 그 후 애플리케이션 레이어로 포워드됩니다. 단편화 공격은 단편화된 패킷 구성의 데이터를 새로운 데이터로 대체하여 악성 패킷을 생성합니다.
  • 플러딩
    이 공격은 탐지기에 과도한 부담을 주어 제어 메커니즘의 장애를 일으키도록 설계되었습니다. 탐지기가 장애를 일으키면 모든 트래픽이 허용됩니다.

    널리 알려진 플러딩 유발 방법은 합법적인 UDP(User Datagram Protocol)와 ICMP(Internet Control Message Protocol)를 스푸핑하는 것입니다. 트래픽 플러딩은 이후에 가해자의 이상 활동을 위장하는 데 사용됩니다. 그 결과, IDS는 지나치게 과도한 양의 트래픽 내에서 악성 패킷을 찾는 데 큰 어려움을 겪게 됩니다.
  • 난독화
    난독화는 이해하기 어려운 메시지를 만들어 공격을 숨김으로써 탐지를 피하는 데 사용됩니다. 난독화 용어는 기능적으로 구별할 수 없도록 프로그램 코드를 변경하는 것을 의미합니다.

    목적은 이를 모호하게 하고 가독성을 저해함으로써 엔지니어링이나 정적 분석 프로세스를 역으로 탐지할 가능성을 줄이는 것입니다. 예를 들어, 멀웨어 난독화를 사용하면 IDS를 회피할 수 있습니다.
  • 암호화
    암호화는 데이터 기밀성, 무결성 및 개인 정보 보호를 포함한 여러 보안 기능을 제공합니다. 안타깝게도, 멀웨어 개발자는 보안 속성을 사용하여 공격을 숨기고 탐지를 회피합니다.

    예를 들어, 암호화된 프로토콜에 대한 공격은 IDS가 읽을 수 없습니다. IDS가 암호화된 트래픽을 기존 데이터베이스 시그니처에 일치시킬 수 없는 경우 암호화된 트래픽은 암호화되지 않습니다. 이로 인해 탐지기의 공격 식별이 매우 어려워집니다.

침입 탐지 시스템이 중요한 이유

사이버공격은 나날이 복잡하고 정교해지고 있으며, 제로데이 공격은 흔하게 나타납니다. 따라서 네트워크 보호 기술은 기업이 높은 수준의 보안을 유지할 수 있도록 새로운 위협과 속도를 맞추어야 합니다.

그 목표는 정보의 안전하고 신뢰할 수 있는 통신을 보장하는 것입니다. 따라서 IDS는 보안 에코시스템에 중요합니다. 다른 기술이 실패할 경우 시스템 보안을 위한 방어 수단으로 작동합니다.

  • 보안 인시던트를 식별합니다.
  • 공격의 양과 유형을 분석합니다.
  • 디바이스 구성의 버그 또는 문제를 식별하는 데 도움이 됩니다.
  • 규정 준수를 지원합니다(더 우수한 네트워크 가시성과 IDS 로그 문서화를 통해).
  • 보안 대응을 개선합니다(시스템의 수동 인구 조사 대신 네트워크 패킷 내의 데이터를 검사하여).

IDS는 유용하지만 IPS와 결합하면 그 영향이 더욱 확대됩니다. 침입 예방 시스템(IPS)은 위협을 차단하는 기능을 더합니다. 이는 IDS/IPS 기술의 대표적인 구축 옵션이 되었습니다.

더 좋은 것은 여러 위협 방지 기술을 혼합하여 완벽한 솔루션을 형성하는 것입니다. 효과적인 접근 방식은 다음을 결합하는 것입니다.

  • 취약점 보호
  • 안티 멀웨어
  • 안티-스파이웨어

이러한 기술은 결합을 통해 지능형 위협 방지를 구성합니다. 이 서비스는 모든 트래픽에서 위협을 스캔합니다(포트, 프로토콜, 암호화된 트래픽 포함). 지능형 위협 방지 솔루션은 위협이 네트워크에 진입했을 때뿐만 아니라 사이버공격 주기 내에서 위협을 찾습니다. 이는 모든 지점에서 예방 기능을 갖춘 제로 트러스트 접근 방식인 다계층 방어를 형성합니다.