1. Firewall(방화벽)
먼저, 방화벽(Firewall)은 외부 네트워크로부터 내부 네트워크로의 패킷이 이동할 때 허가된 IP 주소나 포트 번호에 따라 접근을 허용하거나 차단하는 도구입니다.
방화벽은 주로 공격에 대한 1차 방어선으로써 접근제어기능(Access Control)을 수행합니다. 또한 방화벽에 접근이 허용되거나 차단된 패킷들을 기록(Logging)하고 추적하는 기능(Auditing)을 수행합니다.
방화벽을 구성하는 방법은 라우터가 방화벽 역할을 하는 스크리닝 라우터로 구성하는 것과, 방화벽 전용 하드웨어로 구성하는 방법이 있습니다.
하지만 방화벽에도 한계가 있습니다.
첫째, 방화벽은 IP 주소와 포트 번호에 의존하여 액세스를 관리하는 솔루션이기 때문에, 만약 공격자가 우회한 IP 주소와 포트 번호를 사용한다면 방화벽을 우회할 수 있습니다. 둘째, 방화벽은 외부에서 내부로 들어오는 트래픽만 차단하기 때문에 내부에서 감염된 바이러스는 막을 수 없습니다. 이러한 한계를 개선하기 위해 IDS, IPS와 같은 도구들이 등장했습니다.
2. IDS(Intrusion Detection System, 침입탐지 시스템)
IDS는 네트워크에 비정상적인 트래픽이나 의심스러운 활동이 있는지 탐지(detection)하고, 경고메세지를 보냅니다.
IDS 침입을 탐지하는 방법은 두 가지로 오용 탐지(Misuse Detection)과 이상 탐지(Anomaly Detection)이 있습니다.
오용탐지는 Signature Base나 Knowledege Base라고도 불리며 이미 발견되고 적립된 공격패턴을 미리 입력해두고, 해당 패턴이 탐지되면 알리는 방식입니다.
이상탐지는 Behavior나 Detection이라고도 불리며 정상적인 패턴을 기준으로 이에 벗어나는 패턴이 탐지되면 알리는 방식입니다.
IDS의 등장으로 방화벽만 활용할 때보다 보안 강도가 높아졌지만, IDS도 한계가 있습니다.
IDS는 탐지를 목적으로 하기 때문에 실제 보안적인 조치는 수동으로 해결해야 한다는 특징이 있습니다. 따라서 실시간으로 공격을 차단하는 것은 불가능하다는 한계가 있습니다. 이러한 한계 때문에 실무에서는 해당 장비를 선택적으로 사용합니다.
3. IPS(Intrusion Prevention System, 침입방지시스템)이란?
마지막으로, IPS(Intrusion Prevention System)는 비정상적인 트래픽이나 의심스러운 활동을 탐지하고 즉각적으로 액세스를 차단하는 도구입니다.
IDS가 탐지만 하고 알리는 도구라면, IPS는 탐지와 동시에 즉각적인 대응이 가능합니다. IPS는 실시간 모니터링과 자동화된 위협 차단 기능을 제공하며, 이를 통해 신속한 대응으로 피해를 최소화할 수 있습니다.
그러나 IPS도 완벽한 솔루션은 아닙니다. 오탐(False Positive)으로 인해 정상적인 트래픽을 차단할 가능성이 있어, 초기 설정과 지속적인 튜닝이 필요합니다.
출처