네트워크 보안 기본

IDS / IPS 이해하기 — 탐지(IDS)와 차단(IPS)의 차이, 그리고 ‘튜닝’이 전부인 이유

IDS/IPS는 설치가 끝이 아니라, 룰/예외/업데이트를 지속 운영하는 체계입니다. ‘차단’은 특히 신중해야 합니다.

핵심 탐지 vs 차단관점 오탐/튜닝실무 룰 관리암호화 TLS 메타데이터

이 글의 목표
IDS/IPS를 ‘박아두면 끝’인 장비가 아니라, 탐지 룰 + 튜닝 + 예외 관리가 필요한 운영 시스템으로 정리합니다. 특히 IDS(탐지)와 IPS(차단)의 차이를 실무 관점에서 구분해 보겠습니다.

1) IDS와 IPS, 한 줄로 구분하면?

IDS(Intrusion Detection System): 공격 징후를 탐지하고 경고/증거를 남깁니다.
IPS(Intrusion Prevention System): 공격 징후를 탐지한 뒤, 가능한 경우 차단까지 수행합니다.

초보자 포인트
운영 난이도는 보통 IPS가 더 높습니다. ‘차단’은 곧 정상 트래픽을 막을 위험(오탐)을 의미하기 때문입니다.

IDS(패시브)와 IPS(인라인)의 차이, 그리고 배치 방식을 비교

2) IDS/IPS는 어떤 방식으로 ‘수상함’을 판단하나요?

시그니처(Signature): 알려진 공격 패턴(문자열/바이트 패턴, 프로토콜 이상 등)을 매칭
이상 징후(Anomaly): 평소와 다른 트래픽/행위를 기준선(Baseline) 대비 탐지
평판/컨텍스트: 악성 IP/도메인, 비정상 국가/ASN, 서비스 맥락(업무시간 등) 활용

3) 가장 흔한 실패 원인: ‘룰을 켜기만 하고 튜닝을 안 함’

IDS/IPS는 초기에는 오탐이 나오는 것이 정상입니다. 그래서 일반적으로 다음 순서가 안전합니다.

탐지(모니터링) 모드로 기준선 확보
오탐 원인 분석(업무 트래픽/특정 앱/취약한 서버 등)
예외는 최소 범위로(특정 서버/URI/포트로 좁히기)
검증된 룰만 단계적으로 차단 적용

4) (예시) 룰 한 줄이 ‘무엇을’ 잡는지 이해하기

※ 아래는 개념 이해를 위한 예시입니다(실제 운영 룰은 룰셋/버전/환경에 맞게 검증이 필요합니다).

# 예시(탐지 룰): 특정 HTTP 패턴을 감지하면 alert 발생(차단 아님)
alert http any any -> any any (
  msg:"Suspicious HTTP pattern (example)";
  flow:to_server,established;
  content:"/etc/passwd"; http_uri;
  classtype:attempted-recon;
  sid:1000001; rev:1;
)

5) 암호화 트래픽(TLS) 시대의 현실

오늘날 트래픽 대부분이 TLS(HTTPS)로 암호화되면서, ‘내용(payload)’을 직접 보지 못하는 구간이 많습니다.

가능하면 가시성이 필요한 구간에서 적절한 방식의 복호화(정책/개인정보/법적 요건 고려)가 필요합니다.
복호화가 어려운 구간은 SNI/인증서 정보/JA3 지문 같은 메타데이터 기반 탐지가 보완책이 됩니다.

마무리 체크리스트

탐지/차단(IDS/IPS) 정책이 섞여서 운영되고 있지는 않나요? (우선은 탐지부터)
오탐 처리 프로세스(예외 등록 기준, 만료일, 검증 방식)가 있나요?
룰 업데이트(서명 업데이트)와 변경 이력 관리가 되나요?
성능(대역폭/지연/세션) 한계치를 측정해 두셨나요?
로그는 SIEM/티켓과 연동되어 ‘대응’으로 이어지나요?

참고 레퍼런스

'Tech Note > 네트워크보안 기본' 카테고리의 다른 글

5. 주요 네트워크 공격 기법 정리 (0)	2026.01.12
4. NGFW와 SASE 이해하기 (0)	2026.01.12
3. WAF(Web Application Firewall) 이해하기 (0)	2026.01.12
1. 방화벽(Firewall) 이해 (0)	2026.01.12