침입 탐지 시스템(IDS)은 네트워크 트래픽과 디바이스에서 알려진 악의적 활동, 의심스러운 활동 또는 보안 정책 위반이 있는지 모니터링하는 네트워크 보안 도구입니다.
IDS는 보안 관리자에게 알려진 위협 또는 잠재적 위협을 경고하거나 중앙 집중식 보안 도구로 경고를 보내 네트워크 위협 탐지를 가속화하고 자동화하는 데 도움이 될 수 있습니다. 보안 정보 및 이벤트 관리(SIEM) 시스템과 같은 중앙 집중식 보안 도구는 다른 소스의 데이터와 결합하여 보안 팀이 다른 보안 조치로 놓칠 수 있는 사이버 위협을 식별하고 대응할 수 있도록 지원합니다.
IDS는 규정 준수를 위한 활동을 지원할 수도 있습니다. 결제 카드 산업 데이터 보안 표준(PCI-DSS)과 같은 일부 규정은 조직이 침입 탐지 조치를 구현할 것을 요구합니다.
IDS는 자체적으로 보안 위협을 차단할 수는 없습니다. 오늘날 IDS 기능은 일반적으로 보안 위협을 탐지하고 이를 방지하기 위한 조치를 자동으로 수행할 수 있는 침입 방지 시스템(IPS)에 통합되거나 포함되어 있습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
IDS는 엔드포인트에 설치된 소프트웨어 애플리케이션 또는 네트워크에 연결된 전용 하드웨어 디바이스일 수 있습니다. 일부 IDS 솔루션은 클라우드 서비스로 제공됩니다. 어떤 형태를 취하든 IDS는 시그니처 기반 탐지 또는 이상 징후 기반 탐지라는 두 가지 주요 위협 탐지 방법 중 하나 또는 둘 모두를 사용합니다.
시그니처 기반 탐지는 특정 위협과 연관된 공격 시그니처, 고유한 특성 또는 행위를 식별하기 위해 네트워크 패킷을 분석합니다. 특정 멀웨어 변종에서 나타나는 일련의 코드가 대표적인 공격 시그니처 예시입니다.
시그니처 기반 IDS는 공격 시그니처를 저장한 데이터베이스를 유지하며, 네트워크 패킷을 이와 비교합니다. 패킷이 시그니처 중 하나와 일치할 경우 IDS가 해당 항목을 표시합니다. 효과적인 탐지를 위해서는 새로운 사이버 공격이 등장하고 기존 공격이 진화함에 따라 시그니처 데이터베이스는 최신 위협 인텔리전스로 정기적으로 업데이트되어야 합니다. 아직 시그니처 분석이 이루어지지 않은 신규 공격의 경우 시그니처 기반 IDS를 우회할 수 있습니다.
이상 징후 기반 탐지 방법은 머신러닝을 사용하여 정상적인 네트워크 활동의 기준선을 만들고 지속적으로 개선합니다. 그 후 네트워크 활동을 모델과 비교하여 평소보다 많은 대역폭을 사용하는 프로세스나, 일반적으로 닫혀 있는 포트를 여는 디바이스와 같은 비정상적 편차를 표시합니다.
이상 징후 기반 IDS는 비정상적인 동작을 보고하기 때문에 시그니처 기반 탐지를 회피할 수 있는 새로운 사이버 공격을 포착할 수 있는 경우가 많습니다. 예를 들어, 이상 징후 기반 IDS는 소프트웨어 개발자가 취약점을 인지하거나 패치를 적용할 시간을 갖기 전에 소프트웨어 취약점을 악용하는 제로데이 공격을 탐지할 수 있습니다.
그러나 이상 징후 기반 IDS는 오탐이 발생할 가능성이 더 높을 수 있습니다. 권한이 부여된 사용자가 민감한 네트워크 리소스에 처음으로 액세스하는 것과 같은 정상 활동도 이상 징후 기반 IㅇS를 트리거할 수 있습니다.
평판 기반 탐지는 악의적이거나 의심스러운 활동과 관련된 IP 주소 및 도메인의 트래픽을 차단합니다. 상태 기반 프로토콜 분석은 프로토콜 동작에 중점을 둡니다. 예를 들어, 단일 IP 주소가 단기간에 여러 개의 TCP 연결을 동시에 요청하는 것을 감지하여 서비스 거부(DoS) 공격을 식별할 수 있습니다.
어떤 방법을 사용하든 IDS가 잠재적인 위협이나 정책 위반을 감지하면 인시던트 대응 팀에 경고를 보내 조사하도록 합니다. 또한 IDS는 자체 로그에 기록하거나 보안 정보 및 이벤트 관리(SIEM) 도구에 기록하여 보안 인시던트를 보관합니다(아래의 'IDS 및 기타 보안 솔루션' 참조). 이러한 인시던트 로그는 새로운 공격 시그니처를 추가하거나 네트워크 행동 모델을 업데이트하는 등 IDS의 기준을 개선하는 데 사용할 수 있습니다.
IDS는 시스템 내 배치 위치와 모니터링하는 활동의 종류에 따라 분류됩니다.
네트워크 침입 탐지 시스템(NIDS)은 네트워크 전반의 디바이스에 대한 인바운드 및 아웃바운드 트래픽을 모니터링합니다. NIDS는 침입하는 악성 트래픽에 플래그를 지정할 수 있도록 네트워크의 전략적 지점(많은 경우 네트워크 경계의 방화벽 바로 다음)에 배치되는 경우가 많습니다.
NIDS는 내부자 위협이나 사용자 계정을 가로챈 해커를 잡기 위해 네트워크 내부에 배치될 수도 있습니다. 예를 들어 NIDS는 서브넷 간에 흐르는 트래픽을 모니터링하기 위해 분할된 네트워크의 각 내부 방화벽 뒤에 배치될 수 있습니다.
합법적인 트래픽의 흐름을 방해하지 않기 위해 NIDS는 종종 "대역 외"로 배치되며, 이는 트래픽이 직접 통과하지 않음을 의미합니다. NIDS는 패킷 자체가 아닌 네트워크 패킷의 복사본을 분석합니다. 이렇게 하면 합법적인 트래픽은 분석을 기다릴 필요가 없지만 NIDS는 여전히 악성 트래픽을 포착하고 플래그를 지정할 수 있습니다.
호스트 침입 탐지 시스템 (HIDS)은 랩톱, 라우터 또는 서버와 같은 특정 엔드포인트에 설치됩니다. HIDS는 해당 디바이스로 들어오고 나가는 트래픽을 포함하여 해당 디바이스의 활동만 모니터링합니다. HIDS는 일반적으로 중요한 운영 체제 파일의 스냅샷을 주기적으로 생성하고 시간 경과에 따라 이러한 스냅샷을 비교하는 방식으로 작동합니다. HIDS에서 로그 파일 편집 또는 구성 변경과 같은 변경 사항을 발견하면 보안 팀에 알립니다.
보안 팀은 네트워크 기반 침입 탐지 시스템과 호스트 기반 침입 탐지 시스템을 결합하는 경우가 많습니다. NIDS는 전체 트래픽을 살펴보는 반면, HIDS는 중요 자산 주변에 추가적인 보호를 제공합니다. 또한 HIDS는 감염된 디바이스에서 확산되는 랜섬웨어와 같이 손상된 네트워크 노드에서 발생하는 악성 활동을 탐지하는 데 도움이 될 수 있습니다.
NIDS와 HIDS가 가장 일반적이지만 보안 팀은 특수 목적으로 다른 IDS를 사용할 수 있습니다. 프로토콜 기반 IDS(PIDS)는 서버와 디바이스 간의 연결 프로토콜을 모니터링합니다. PIDS는 HTTP 또는 HTTPS 연결을 모니터링하기 위해 웹 서버에 배치되는 경우가 많습니다.
애플리케이션 프로토콜 기반 IDS(APIDS)는 애플리케이션 계층에서 작동하여 애플리케이션별 프로토콜을 모니터링합니다. APIDS는 종종 SQL 인젝션을 탐지하기 위해 웹 서버와 SQL 데이터베이스 사이에 배포되는 경우가 많습니다.
IDS 솔루션은 많은 위협을 탐지할 수 있지만 해커는 이러한 위협을 우회할 수 있습니다. IDS 공급업체는 이러한 전술에 대응하기 위해 솔루션을 업데이트합니다. 그러나 이러한 솔루션 업데이트로 인해 해커와 IDS가 서로 한 발 앞서 나가려고 하는 일종의 군비 경쟁이 발생했습니다.
몇 가지 일반적인 IDS 회피 전술은 다음과 같습니다:
분산 서비스 거부(DDoS) 공격: 여러 소스로부터 명백히 악의적인 트래픽을 넘쳐나게 하여 IDS를 오프라인 상태로 만드는 공격입니다. 미끼 위협으로 인해 IDS의 리소스가 과부하되면 해커가 몰래 침투합니다.
스푸핑: IP 주소와 DNS 레코드를 위조하여 신뢰할 수 있는 출처에서 트래픽이 발생한 것처럼 보이게 합니다.
단편화: 멀웨어 또는 기타 악성 페이로드를 작은 패킷으로 분할하여 시그니처를 숨기고 탐지를 회피합니다. 해커는 전략적으로 패킷을 지연시키거나 순서를 어긋나게 전송함으로써 IDS가 패킷을 재조립하여 공격을 알아차리지 못하게 할 수 있습니다.
암호화: IDS에 해당 복호화 키가 없는 경우 암호화된 프로토콜을 사용하여 IDS를 우회합니다.
운영자의 피로 가중: 의도적으로 대량의 IDS 알림을 생성하여 인시던트 대응 팀이 실제 악의적 활동을 놓치도록 주의를 분산시킵니다.
IDS는 독립형 툴이 아닙니다. 이 솔루션은 전체적인 사이버 보안 시스템의 일부로 설계되었으며, 다음 보안 솔루션 중 하나 이상과 긴밀하게 통합되는 경우가 많습니다.
IDS 알림은 종종 조직의 SIEM으로 전달되며, 여기서 다른 보안 툴의 알림 및 정보와 결합하여 중앙 집중식 단일 대시보드로 통합될 수 있습니다. IDS와 SIEM을 통합하면 보안 팀은 다른 툴의 위협 인텔리전스 및 데이터로 IDS 알림을 강화하고, 허위 알림을 필터링하고, 인시던트의 조치 우선순위를 지정할 수 있습니다.
위에서 언급한 바와 같이 IPS는 IDS와 같은 의심스러운 활동이 있는지 네트워크 트래픽을 모니터링하고 자동으로 연결을 종료하거나 다른 보안 도구를 트리거하여 위협을 실시간으로 차단합니다 IPS는 사이버 공격을 막기 위한 것이므로 일반적으로 인라인으로 배치됩니다. 즉, 모든 트래픽이 네트워크의 나머지 부분에 도달하기 전에 IPS를 통과해야 한다는 의미입니다.
일부 조직에서는 IDS와 IPS를 별도의 솔루션으로 구현하기도 합니다. 더 일반적으로는 IDS와 IPS를 결합한 단일 침입 탐지 및 방지 시스템(IDPS)을 사용하여 침입을 감지하고 기록하며, 보안팀에 경고하고 자동으로 대응합니다.
IDS와 방화벽은 상호 보완적인 기능을 합니다. 방화벽은 네트워크 외부를 향하고 있으며 사전 정의된 규칙 세트를 사용하여 트래픽을 허용하거나 허용하지 않는 장벽 역할을 합니다. IDS는 방화벽 근처에 위치하여 방화벽을 통과하는 모든 것을 포착하는 데 도움을 줍니다. 특히 차세대 방화벽을 비롯한 일부 방화벽에는 IDS 및 IPS 기능이 내장되어 있습니다.