침입 탐지 시스템(IDS)이란 무엇인가요?
IDS는 네트워크 트래픽을 모니터링하고 의심스러운 활동을 인시던트 대응 팀 및 사이버 보안 툴에 보고합니다
IBM 뉴스레터 구독하기 IBM Security QRadar 살펴보기
IBM Security를 사용하는 다양한 사무실 직원을 보여주는 등척 도면
침입 탐지 시스템(IDS)이란 무엇인가요?

침입 탐지 시스템(IDS)은 네트워크 트래픽과 디바이스에서 알려진 악성 활동, 의심스러운 활동 또는 보안 정책 위반이 있는지 모니터링하는 네트워크 보안 툴입니다.

IDS는 보안 관리자에게 알려진 위협 또는 잠재적 위협을 경고하거나 보안 정보 및 이벤트 관리(SIEM) 시스템과 같은 중앙 집중식 보안 툴로 경고를 보내 다른 소스의 데이터와 결합하여 보안 팀이 다른 보안 조치로 놓칠 수 있는 사이버 위협을 식별하고 대응할 수 있도록 지원함으로써 네트워크 위협 탐지를 가속화하고 자동화하는 데 도움이 될 수 있습니다.

IDS는 규정 준수 노력도 지원할 수 있습니다. 지불 카드 산업 데이터 보안 표준(PCI-DSS)과 같은 특정 규정에서는 조직이 침입 탐지 조치를 구현하도록 요구합니다.

IDS는 자체적으로 보안 위협을 차단할 수는 없습니다. 오늘날 IDS 기능은 일반적으로 보안 위협을 탐지하고 이를 방지하기 위한 조치를 자동으로 취할 수 있는 침입 방지 시스템(IPS)과 통합되거나 통합되어 있습니다.

침입 탐지 시스템의 작동 방식

IDS는 엔드포인트에 설치된 소프트웨어 애플리케이션 또는 네트워크에 연결된 전용 하드웨어 디바이스일 수 있습니다. 일부 IDS 솔루션은 클라우드 서비스로 제공됩니다. 어떤 형태를 취하든 IDS는 시그니처 기반 탐지 또는 이상 징후 기반 탐지라는 두 가지 주요 위협 탐지 방법 중 하나 또는 둘 모두를 사용합니다.

시그니처 기반 탐지 

시그니처 기반 탐지는 네트워크 패킷을 분석하여 공격 시그니처(특정 위협과 관련된 고유한 특성 또는 행동)를 찾아내는 방법입니다. 특정 멀웨어 변종에 나타나는 일련의 코드는 공격 시그니처의 예입니다.

시그니처 기반 IDS는 네트워크 패킷을 비교하는 공격 시그니처 데이터베이스를 유지 관리합니다. 패킷이 시그니처 중 하나와 일치하는 것을 트리거하면 IDS가 플래그를 지정합니다.효과적이려면 새로운 사이버 공격이 출현하고 기존 공격이 진화함에 따라 시그니처 데이터베이스는 새로운 위협 인텔리전스로 정기적으로 업데이트되어야 합니다. 아직 시그니처가 분석되지 않은 새로운 공격은 시그니처 기반 IDS를 회피할 수 있습니다. 

이상 징후 기반 탐지

이상 징후 기반 탐지 방법은 머신 러닝을 사용하여 정상적인 네트워크 활동의 기준 모델을 생성하고 지속적으로 개선합니다. 그런 다음 네트워크 활동을 모델과 비교하여 일반적으로 사용하는 대역폭보다 더 많은 대역폭을 사용하는 프로세스나 일반적으로 닫혀 있는 포트를 여는 디바이스와 같은 편차를 표시합니다.

이상 징후 기반 IDS는 비정상적인 동작을 보고하기 때문에 시그니처 기반 탐지를 회피할 수 있는 새로운 사이버 공격을 포착할 수 있는 경우가 많습니다. 예를 들어, 이상 징후 기반 IDS는 소프트웨어 개발자가 소프트웨어 취약점을 인지하거나 패치를 적용할 시간을 갖기 전에 소프트웨어 취약점을 악용하는 공격인 제로데이 익스플로잇을 탐지할 수 있습니다.

그러나 이상 징후 기반 IDS는 오탐이 발생할 가능성이 더 높을 수 있습니다. 권한이 부여된 사용자가 민감한 네트워크 리소스에 처음으로 액세스하는 것과 같은 정상 활동도 이상 징후 기반 IDS를 트리거할 수 있습니다.

덜 일반적인 탐지 방법

평판 기반 탐지는 악의적이거나 의심스러운 활동과 관련된 IP 주소 및 도메인의 트래픽을 차단합니다. 스테이트풀 프로토콜 분석은 프로토콜 동작에 중점을 둡니다. 예를 들어, 단일 IP 주소가 단기간에 여러 개의 TCP 연결을 동시에 요청하는 것을 감지하여 서비스 거부(DoS) 공격을 식별할 수 있습니다.

어떤 방법을 사용하든 IDS가 잠재적인 위협이나 정책 위반을 감지하면 인시던트 대응 팀에 경고를 보내 조사하도록 합니다. 또한 IDS는 자체 로그에 기록하거나 보안 정보 및 이벤트 관리(SIEM) 도구에 기록하여 보안 인시던트를 보관합니다(아래의 'IDS 및 기타 보안 솔루션' 참조). 이러한 인시던트 로그는 새로운 공격 시그니처를 추가하거나 네트워크 행동 모델을 업데이트하는 등 IDS의 기준을 개선하는 데 사용할 수 있습니다.  

침입 방지 시스템의 유형

IDS는 시스템 내 배치 위치와 모니터링하는 활동의 종류에 따라 분류됩니다. 

네트워크 침입 탐지 시스템(NIDS)은 네트워크 전반의 디바이스에 대한 인바운드 및 아웃바운드 트래픽을 모니터링합니다. NID는 네트워크의 전략적 지점에 배치됩니다. 이들은 침입하는 악성 트래픽에 플래그를 지정할 수 있도록 네트워크 경계의 방화벽 바로 다음에 위치하는 경우가 많습니다. NIDS는 내부자 위협이나 사용자 계정을 가로챈 해커를 잡기 위해 네트워크 내부에 배치될 수도 있습니다. 예를 들어 NIDS는 서브넷 간에 흐르는 트래픽을 모니터링하기 위해 분할된 네트워크의 각 내부 방화벽 뒤에 배치될 수 있습니다.

합법적인 트래픽의 흐름을 방해하지 않기 위해 NIDS는 종종 "대역 외"로 배치되며, 이는 트래픽이 직접 통과하지 않음을 의미합니다. NIDS는 패킷 자체가 아닌 네트워크 패킷의 복사본을 분석합니다. 이렇게 하면 합법적인 트래픽은 분석을 기다릴 필요가 없지만 NIDS는 여전히 악성 트래픽을 포착하고 플래그를 지정할 수 있습니다.

호스트 침입 탐지 시스템 (HIDS)은 랩톱, 라우터 또는 서버와 같은 특정 엔드포인트에 설치됩니다. HIDS는 해당 디바이스로 들어오고 나가는 트래픽을 포함하여 해당 디바이스의 활동만 모니터링합니다. HIDS는 일반적으로 중요한 운영 체제 파일의 스냅샷을 주기적으로 생성하고 시간 경과에 따라 이러한 스냅샷을 비교하는 방식으로 작동합니다. HIDS에서 로그 파일 편집 또는 구성 변경과 같은 변경 사항을 발견하면 보안 팀에 알립니다.

보안 팀은 네트워크 기반 침입 탐지 시스템과 호스트 기반 침입 탐지 시스템을 결합하는 경우가 많습니다. NIDS는 전반적인 트래픽을 살펴보는 반면, HIDS는 고부가가치 자산에 대한 추가 보호를 추가할 수 있습니다. 또한 HIDS는 감염된 디바이스에서 확산되는 랜섬웨어와 같이 손상된 네트워크 노드에서 발생하는 악성 활동을 탐지하는 데 도움이 될 수 있습니다. 

NIDS와 HIDS가 가장 일반적이지만 보안 팀은 특수 목적으로 다른 IDS를 사용할 수 있습니다. 프로토콜 기반 IDS(PIDS)는 서버와 디바이스 간의 연결 프로토콜을 모니터링합니다. PIDS는 HTTP 또는 HTTPS 연결을 모니터링하기 위해 웹 서버에 배치되는 경우가 많습니다. 애플리케이션 프로토콜 기반 IDS(APIDS)는 애플리케이션 계층에서 작동하여 애플리케이션별 프로토콜을 모니터링합니다. APIDS는 종종 SQL 인젝션을 탐지하기 위해 웹 서버와 SQL 데이터베이스 사이에 배포되는 경우가 많습니다.

 

IDS 회피 전술

IDS 솔루션은 많은 위협을 탐지할 수 있지만 해커는 이를 우회할 수 있는 방법을 개발했습니다. IDS 공급업체는 이러한 전술에 대응하기 위해 솔루션을 업데이트합니다. 그러나 이로 인해 해커와 IDS가 서로 한 발 앞서 나가려고 하는 일종의 군비 경쟁이 발생했습니다. 

몇 가지 일반적인 IDS 회피 전술은 다음과 같습니다:

  • 분산 서비스 거부(DDoS) 공격 - 여러 소스로부터 명백히 악의적인 트래픽을 넘쳐나게 하여 IDS를 오프라인 상태로 만드는 공격입니다. 미끼 위협으로 인해 IDS의 리소스가 과부하되면 해커가 몰래 침투합니다.

  • 스푸핑— IP 주소와 DNS 레코드를 위조하여 신뢰할 수 있는 출처에서 트래픽이 발생한 것처럼 보이게 합니다.

  • 조각화 -멀웨어 또는 기타 악성 페이로드를 작은 패킷으로 분할하여 서명을 모호하게 하고 탐지를 피합니다. 해커는 전략적으로 패킷을 지연시키거나 순서를 어긋나게 전송함으로써 IDS가 패킷을 재조립하여 공격을 알아차리지 못하게 할 수 있습니다.

  • 암호화 -IDS에 해당 암호 해독 키가 없는 경우 암호화된 프로토콜을 사용하여 IDS를 우회합니다.

  • 운영자의 피로 가중- 인시던트 대응 팀의 실제 활동을 방해하기 위해 의도적으로 많은 IDS 알림을 생성합니다.

IDS 및 기타 보안 솔루션

IDS는 독립형 툴이 아닙니다. 이 솔루션은 전체적인 사이버 보안 시스템의 일부로 설계되었으며, 다음 보안 솔루션 중 하나 이상과 긴밀하게 통합되는 경우가 많습니다.

IDS 및 SIEM(보안 정보 및 이벤트 관리)

IDS 알림은 종종 조직의 SIEM으로 전달되며, 여기서 다른 보안 툴의 알림 및 정보와 결합하여 중앙 집중식 단일 대시보드로 통합될 수 있습니다. IDS와 SIEM을 통합하면 보안 팀은 다른 툴의 위협 인텔리전스 및 데이터로 IDS 알림을 강화하고, 허위 알림을 필터링하고, 인시던트의 조치 우선순위를 지정할 수 있습니다.

IDS 및 IPS(침입 방지 시스템)

위에서 언급한 바와 같이 IPS는 IDS와 같은 의심스러운 활동이 있는지 네트워크 트래픽을 모니터링하고 자동으로 연결을 종료하거나 다른 보안 툴을 트리거하여 위협을 실시간으로 차단합니다. IPS는 사이버 공격을 막기 위한 것이므로 일반적으로 인라인으로 배치됩니다. 즉, 모든 트래픽이 네트워크의 나머지 부분에 도달하기 전에 IPS를 통과해야 한다는 의미입니다.

일부 조직에서는 IDS와 IPS를 별도의 솔루션으로 구현합니다. 침입을 탐지하고, 기록하고, 보안 팀에 경고하고, 자동으로 대응하는 단일 침입 탐지 및 방지 시스템(IDPS)에 IDS와 IPS를 결합하는 경우가 많습니다. 

IDS 및 방화벽

IDS와 방화벽은 상호 보완적인 기능을 합니다. 방화벽은 네트워크 외부를 향하고 있으며 사전 정의된 규칙 세트를 사용하여 트래픽을 허용하거나 허용하지 않는 장벽 역할을 합니다. IDS는 방화벽 근처에 위치하여 방화벽을 통과하는 모든 것을 포착하는 데 도움을 줍니다. 특히 차세대 방화벽을 비롯한 일부 방화벽에는 IDS 및 IPS 기능이 내장되어 있습니다.

관련 솔루션
IBM Security® QRadar® NDR

너무 늦기 전에 네트워크에 숨겨진 위협을 포착하세요. IBM Security QRadar 네트워크 탐지 및 대응(NDR)은 실시간으로 네트워크 활동을 분석하여 보안을 강화합니다. 넓고 깊은 가시성을 고품질 데이터 및 분석과 결합하여 실행 가능한 인사이트와 반응을 촉진합니다.

QRadar MDR 알아보기

X-Force 인시던트 대응 팀

IBM Security의 인시던트 대응 보유자 구독을 통해 조직의 침해 대비 능력을 향상하는 데 필요한 보안 보호를 받으세요. 당사의 IR 컨설턴트로 구성된 엘리트 팀과 협력하면 신뢰할 수 있는 대기 중인 파트너를 통해 인시던트 대응에 소요되는 시간을 단축하고 그 영향을 최소화하며 사이버 보안 인시던트가 의심되기 전에 더 빠르게 복구할 수 있습니다.

X-Force 인시던트 대응 살펴보기

랜섬웨어 보호 솔루션

랜섬웨어를 더 빠르게 탐지 및 대응하고 랜섬웨어 공격의 영향을 최소화하는 제로 트러스트 접근 방식을 통해 랜섬웨어로 인해 비즈니스 연속성이 중단되는 것을 방지하고 공격이 발생하면 신속하게 복구할 수 있습니다.

랜섬웨어 보호 솔루션 살펴보기
자원 인시던트 대응이란 무엇인가요?

공식적인 인시던트 대응 계획을 통해 사이버 보안 팀은 사이버 공격이나 보안 침해로 인한 피해를 제한하거나 예방할 수 있습니다.

네트워크 탐지 및 대응(NDR)이란 무엇인가요?

NDR은 인공 지능, 머신 러닝 및 행동 분석을 사용하여 의심스러운 네트워크 활동을 감지하고 대응합니다.

보안 정보 및 이벤트 관리(SIEM)란 무엇인가요?

SIEM은 보안 관련 이벤트를 실시간으로 모니터링 및 분석하고 규정 준수 또는 감사 목적으로 보안 데이터를 기록합니다.

다음 단계 안내

사이버 보안 위협은 점점 더 지능적이고 집요하게 진화하고 있습니다. 이에 따라 보안 분석가는 수많은 경보와 인시던트를 선별하는 작업에 엄청난 노력을 기울여야 합니다.IBM Security QRadar SIEM은 수익을 유지하면서도 위협을 쉽게 그리고 더욱 신속하게 해결할 수 있도록 지원합니다. QRadar SIEM은 신뢰도 높은 경보에 우선순위를 두어 쉽게 놓칠 수 있는 위협을 포착하도록 지원합니다.

QRadar SIEM에 대해 자세히 알아보기 QRadar SIEM 데모 요청하기