침입 방지 시스템의 정의

침입 방지 시스템(IPS)은 네트워크에서 악의적인 활동을 지속적으로 모니터링하고 이러한 활동이 발생할 경우 보고, 차단, 제거 등의 예방 조치를 취하는 네트워크 보안 도구(하드웨어 기기 또는 소프트웨어)입니다.

악의적인 활동을 탐지하지만 관리자에게 알리는 것 외의 조치는 취할 수 없는 침입 탐지 시스템(IDS)보다 발전된 시스템입니다. 침입 방지 시스템은 차세대 방화벽(NGFW) 또는 통합 위협 관리(UTM) 솔루션의 일부로 포함되기도 합니다. 다른 네트워크 보안 기술과 마찬가지로, 이 시스템 또한 네트워크 성능을 저하시키지 않으면서도 대용량 트래픽을 스캔할 수 있을 만큼 강력해야 합니다.

자세한 정보

침입 방지 시스템의 작동 방식

침입 방지 시스템은 소스와 대상 사이의 네트워크 트래픽 흐름에 일렬로 배치되며, 방화벽 바로 뒤에 있는 경우가 일반적입니다. 침입 방지 시스템에서는 위협을 파악하기 위해 다음과 같은 다양한 기법을 사용합니다.

시그니처 기반: 이 방식은 활동을 잘 알려진 위협의 시그니처와 비교합니다. 이 방식의 단점 중 하나는 이전에 알려진 공격만 차단할 수 있고 새로운 공격을 인식할 수 없다는 것입니다.
이상 기반: 이 방식은 네트워크 활동의 무작위 샘플을 기준선 표준에 대해 비교하여 이상 행동을 모니터링합니다. 시그니처 기반 모니터링에 비해 강력하지만 간혹 허위 오류가 발생할 수 있습니다. 한층 발전된 최신 침입 방지 시스템에서는 인공 지능과 머신 러닝 기술을 사용하여 이상 기반 모니터링을 지원하기도 합니다.
정책 기반: 이 방식은 시그니처 기반 또는 이상 기반 모니터링에 비해 널리 사용되지 않는 편입니다. 기업에서 정의한 보안 정책을 채택하여 이를 위반하는 활동을 차단합니다. 이 방식을 사용하려면 관리자가 보안 정책을 설정하고 구성해야 합니다.

IPS는 악의적인 활동을 감지하면 관리자 알림, 패킷 삭제, 소스 주소에서 오는 트래픽 차단 또는 연결 재설정과 같이 자동화된 조치를 다양하게 취할 수 있습니다. 일부 침입 방지 시스템에서는 '허니팟' 또는 높은 가치를 지닌 미끼 데이터를 사용하여 공격자를 유인한 뒤에 목표물에 도달하지 못하도록 차단하기도 합니다.

침입 방지 시스템의 유형

다음과 같이 저마다 다른 목적을 가진 다양한 유형의 IPS가 있습니다.

네트워크 침입 방지 시스템(NIPS): 이 유형의 IPS는 모든 네트워크 트래픽을 모니터링하고 위협을 사전 예방적으로 스캔하기 위해 전략적 지점에만 설치됩니다.
호스트 침입 방지 시스템(HIPS): NIPS와 달리 HIPS는 PC와 같은 엔드포인트에 설치되며 해당 머신의 인바운드 및 아웃바운드 트래픽만을 모니터링합니다. HIPS는 NIPS를 통과하는 위협의 최후 방어선 역할을 하므로 NIPS와 함께 사용할 때 가장 효과가 좋습니다.
네트워크 동작 분석(NBA): 네트워크 트래픽 분석을 통해 DDoS(분산형 서비스 거부) 공격과 같이 비정상적인 트래픽 흐름을 감지합니다.
무선 침입 방지 시스템(WIPS): 이 유형의 IPS는 Wi-Fi 네트워크에서 무단 액세스를 스캔하여 승인받지 않은 기기의 네트워크 연결을 차단합니다.

침입 방지 시스템의 장점

침입 방지 시스템에는 다음과 같은 다양한 장점이 있습니다.

추가 보안: IPS는 다른 보안 솔루션과 함께 작동하며 다른 솔루션이 감지하지 못하는 위협을 파악할 수 있습니다. 이는 특히 이상 기반 감지를 사용하는 시스템의 장점으로 손꼽힙니다. 또한 높은 수준의 애플리케이션 인식 기능을 통해 우수한 애플리케이션 보안을 제공합니다.
다른 보안 관리의 효율성 향상: IPS는 악성 트래픽을 다른 보안 기기에 도달하기 전에 필터링하고 제어하므로, 관리할 워크로드의 양이 줄이고 성능 효율성도 향상할 수 있습니다.
시간 절감: IPS는 많은 부분이 자동화되어 있으므로 IT 팀에서 투자해야 할 시간을 절감할 수 있습니다.
규정 준수: IPS는 PCI DSS, HIPAA 등에서 제시하는 다양한 규정 준수 요구 사항을 충족합니다. 또한, 중요한 감사 데이터도 제공합니다.
사용자 지정: 사용자에 맞게 수정된 보안 정책으로 IPS를 설정하여 이를 사용할 기업에 알맞은 보안 관리를 제공할 수 있습니다.

침입 방지 시스템이 중요한 이유

IPS가 기업 보안 시스템의 핵심인 이유에는 여러 가지가 있습니다. 최신 네트워크에는 다양한 액세스 포인트가 있으며 대용량 트래픽을 처리하므로, 수동적인 모니터링과 대응은 실질적으로 비현실적입니다. (특히 환경이 고도로 연결되어 공격 표면이 넓게 펼쳐져 있고 이로 인해 위협에 더 취약한 클라우드 보안의 경우에는 더 그렇습니다.) 또한, 기업 보안 시스템에서는 점점 더 많고 더 정교한 위협에 직면하고 있습니다. 이러한 상황에서는 IT 팀에 부담을 주지 않고도 기업이 위협에 신속하게 대응할 수 있도록 자동화된 IPS 기능이 가장 중요합니다. 기업 보안 인프라의 일부인 IPS는 가장 심각하고도 정교한 공격 중 일부를 방지하는 데 결정적인 방식입니다.

기존 보안 인프라 내에 침입 방지 시스템을 도입하는 방법

IPS가 단지 강력한 보안 솔루션의 일부라는 사실을 기억해야 합니다. IPS는 다른 기술과 함께 작동함으로써 최대의 효율성을 발휘합니다. 실제로, 독립 실행형 제품으로도 제공되는 침입 방지 시스템이 통합 위협 관리 또는 차세대 방화벽 솔루션의 기능 중 하나로 포함되는 경우가 많습니다. 일반적인 보안 아키텍처에서 IPS는 보통 방화벽 바로 뒤에서 방화벽과 함께 작동하여 추가적인 보안 수준을 제공하고 방화벽만으로는 포착할 수 없는 위협을 잡아냅니다. 또한, IPS는 다른 보안 관리를 공격으로부터 보호하고, 악성 트래픽이 보안 관리에 도달하기 전에 걸러내어 이러한 관리의 성능도 향상시켜 줍니다 무엇보다도, IPS는 보안 인프라의 다른 부분에서는 감지할 수 없는 위협을 파악하고 필터링함으로써 추가적인 보안 계층을 제공합니다.