[Network] IDS & IPS (침입 탐지/방지 시스템) 차이점

 

 

1. IDS & IPS란?

IDS(Intrusion Detection System)과 IPS(Intrusion Prevention System)는 네트워크 보안을 강화하기 위한 침입 탐지 및 방지 시스템이다.

• IDS: 네트워크 또는 시스템에서 의심스러운 활동을 탐지하고 경고를 발생
• IPS: IDS 기능 + 탐지한 위협을 자동으로 차단하는 기능 포함

---

 

 

2. IDS vs IPS 비교

 

항목 IDS (침입 탐지 시스템) IPS (침입 방지 시스템)

기능	보안 위협을 감지하고 알림	보안 위협을 감지하고 자동 차단
위협 대응 방식	수동 대응 (관리자가 조치 필요)	자동 대응 (탐지 후 즉시 차단)
배포 위치	네트워크 내부 또는 엔드포인트	게이트웨이(방화벽 근처) 또는 네트워크 엣지
트래픽 흐름	트래픽 감시만 수행	트래픽을 차단하거나 수정 가능
보안 성능	탐지 능력은 뛰어나지만 방어 불가능	탐지 및 실시간 차단 가능

---

 

 

3. IDS 유형

IDS는 **네트워크 기반(NIDS)과 호스트 기반(HIDS)**으로 나뉜다.

 

🔹 NIDS (Network-based IDS)

• 네트워크 트래픽을 분석하여 공격 탐지
• 브리지, 스위치, 라우터 근처에서 작동
• 장점: 전체 네트워크에 대한 가시성 확보
• 단점: 암호화된 트래픽 분석 어려움

 

🔹 HIDS (Host-based IDS)

• 개별 호스트(서버, PC)에 설치하여 시스템 로그 및 활동 분석
• 파일 무결성 검사 및 OS 이벤트 모니터링 가능
• 장점: 내부 공격 및 시스템 변조 탐지
• 단점: 개별 장치에서만 작동 (네트워크 전체 가시성 부족)

---

 

 

4. IPS 유형

IPS는 트래픽을 분석하고 공격을 차단하는 방식에 따라 다음과 같이 분류된다.

 

🔹 네트워크 기반 IPS (NIPS)

• 네트워크 경로에서 실시간 패킷 분석 후 공격 차단
• 방화벽과 함께 배치하여 외부 공격 방어 강화
• 예제: Cisco FirePOWER, Palo Alto Networks IPS

 

🔹 호스트 기반 IPS (HIPS)

• 서버 또는 단말기에 설치되어 애플리케이션 활동을 감시하고 악의적 동작 차단
• 엔드포인트 보안 솔루션과 함께 사용됨
• 예제: Windows Defender Exploit Guard, Symantec HIPS

---

 

 

5. IDS & IPS 배포 시 고려 사항

 

✅ 네트워크 환경 분석: 대규모 네트워크라면 NIDS/NIPS 적용, 엔드포인트 보안이 중요하면 HIDS/HIPS 적용

✅ 보안 정책 연계: 방화벽, VPN, ACL 등과 통합하여 사용

✅ 오탐(False Positive) 최소화: 잘못된 탐지로 인해 정상 트래픽이 차단되지 않도록 조정 필요

✅ 성능 영향 고려: IPS는 실시간 트래픽을 검사하므로 네트워크 성능 저하 가능성 존재

---

 

 

6. 결론

 

IDS와 IPS는 네트워크 보안을 강화하는 필수적인 보안 솔루션이다.

• IDS는 탐지 및 알림 기능이 강점이지만, 자동 차단 기능이 없음
• IPS는 실시간 보안 위협 차단이 가능하지만, 네트워크 성능 영향을 줄 수 있음

기업 환경에서는 IDS와 IPS를 함께 사용하여 보안성을 극대화하는 것이 일반적이다.