IDS vs IPS, 한 글자 차이가 만드는 모든 것 — 탐지부터 차단까지 완벽 정리

안녕하세요, 도담인사이트입니다. 😊
지난 글에서 방화벽을 다루며 IPS·IDS를 잠깐 언급했었죠. "방화벽이 있는데 IPS는 왜 또 필요해요?", "IDS랑 IPS는 글자 하나 차이인데 뭐가 다른가요?"라는 질문을 정말 많이 받습니다.

이번 글에서는 IDS와 IPS의 개념·차이, 탐지 방식, 배치 구조, 방화벽과의 관계, 그리고 Snort·FortiGate 기본 설정까지 네트워크 입문자 눈높이에서 비유와 함께 정리해 드리겠습니다.

📑 목차
  1. IDS·IPS란? — CCTV와 경비원 이야기
  2. IDS vs IPS 핵심 차이 한 방에 정리
  3. 탐지 방식 — 시그니처 기반 vs 이상행위 기반
  4. 배치 구조 — 인라인 / 미러링, NIDS / HIDS
  5. 방화벽 · IDS/IPS · NGFW는 어떤 관계?
  6. 주요 IPS/IDS 벤더와 제품
  7. 기본 CONFIG 예제 (Snort & FortiGate)
  8. 함께 알아두면 좋은 연관 기능 (SIEM·EDR·NDR)
  9. Q&A — 초보자가 자주 묻는 질문

1. IDS·IPS란? — CCTV와 경비원 이야기 🎥

두 장비 모두 네트워크에서 일어나는 공격(침입)을 찾아내는 보안 장비입니다. 차이는 딱 하나, "발견한 다음 무엇을 하느냐"입니다.

🎥 IDS
Intrusion Detection System (침입 탐지 시스템)

침입을 발견하면 경보(알림)를 울리는 장비. 직접 막지는 못함. 관찰자에 가까움. 		🛡️ IPS
Intrusion Prevention System (침입 방지 시스템)

침입을 발견하면 그 자리에서 즉시 차단하는 장비. 실행자에 가까움.
🏠 비유로 한 번에 이해하기

IDS = 건물의 CCTV + 경보기 입니다. 도둑이 들면 화면에 잡히고 경보가 울리지만, CCTV가 직접 도둑을 붙잡진 못하죠. 사람(보안 담당자)이 보고 대응해야 합니다.

IPS = 통로를 지키는 무장 경비원 입니다. 수상한 사람을 발견하면 그 즉시 문을 닫아 길을 막아 버립니다. 그래서 IPS는 트래픽이 반드시 지나가는 길목 한가운데에 서 있어야 합니다.

2. IDS vs IPS 핵심 차이 한 방에 정리 📊

구분 IDS (탐지) IPS (방지)
목적발견 → 알림발견 → 즉시 차단
위치(배치)트래픽을 복사해서 관찰
(미러링/TAP, Out-of-band)		트래픽 경로 한가운데
(인라인, In-line)
차단 능력❌ (사후 대응)✅ (실시간 차단)
지연(성능 영향)거의 없음(옆에서 구경)약간 있음(모두 통과시켜야)
장애 시 영향통신엔 지장 없음설계 중요 (Fail-open/close)
오탐의 위험불필요한 알림이 늘 뿐정상 통신을 끊을 수 있음
🔑 한 줄 요약: 같은 탐지 엔진을 써도, "옆에서 보기만 하면 IDS, 길 위에서 막으면 IPS" 입니다. 실제로 오늘날 많은 장비는 한 제품으로 두 모드를 모두 지원합니다(IDS/IPS 겸용).

3. 탐지 방식 — 어떻게 공격을 알아챌까? 🔍

① 시그니처 기반 (Signature-based)

  • 알려진 공격의 특징(패턴)을 DB로 만들어 두고, 들어오는 트래픽과 대조.
  • 장점: 알려진 공격은 정확하게, 오탐 적게 잡음.
  • 단점: DB에 없는 신종/변종 공격(제로데이)은 놓침. DB를 꾸준히 업데이트해야 함.
🪪 비유: 경찰서 입구의 지명수배 전단. 전단에 얼굴이 있는 범인은 바로 알아보지만, 전단에 없는 처음 보는 범인은 그냥 지나칠 수 있습니다.

② 이상행위 기반 (Anomaly-based)

  • 평소의 정상 패턴(기준선, Baseline)을 학습해 두고, 거기서 벗어나는 행동을 의심.
  • 장점: DB에 없던 미지의 공격도 잡아낼 가능성이 있음.
  • 단점: 오탐(False Positive)이 많음. "평소와 다르다 ≠ 무조건 공격"이라서 정상 트래픽을 의심하기도 함.
📈 비유: "평소 새벽엔 조용하던 사무실에 갑자기 불이 켜지고 사람이 들락거린다?" → 이름은 모르지만 "평소와 다르니 일단 의심" 하는 방식입니다.

📖 꼭 알아둘 용어: 오탐과 미탐

오탐 (False Positive)정상인데 공격으로 잘못 판단. → IPS라면 멀쩡한 통신이 끊김 (운영 사고).
미탐 (False Negative)공격인데 못 잡음. → 보안 구멍이 됨.

📌 실무의 핵심은 이 둘의 균형 맞추기(튜닝)입니다. 특히 IPS는 오탐 한 건이 서비스 장애로 이어질 수 있어, 처음엔 탐지(모니터) 모드로 운영하며 룰을 다듬은 뒤 차단 모드로 전환하는 경우가 많습니다.

4. 배치 구조 — 어디에, 어떻게 두나? 🗺️

인라인(In-line) vs 미러링(TAP/SPAN)

  • 인라인: 트래픽이 반드시 통과하는 길목에 장비를 끼워 넣음. 차단 가능 → IPS의 기본 구조. 단, 장비가 멈추면 통신에 영향.
  • 미러링(SPAN/TAP): 지나가는 트래픽을 복사본으로 받아 관찰. 통신엔 영향 없음. 차단 불가 → IDS의 기본 구조.
🚦 비유: 인라인은 모든 차가 반드시 거쳐야 하는 고속도로 톨게이트(검문소), 미러링은 도로 옆에서 지나가는 차를 찍는 과속 단속 CCTV 입니다.
⚠️ Fail-open vs Fail-close (IPS의 중요한 선택)
인라인 IPS 장비가 고장 나면? Fail-open은 "그냥 통과시켜 통신을 살림(가용성 우선)", Fail-close는 "다 막아 안전을 우선(보안 우선)". 환경에 따라 무엇을 우선할지 미리 정해야 합니다.

NIDS vs HIDS — 네트워크용 vs 호스트용

NIDS
(Network)		네트워크 길목에서 오가는 트래픽 전체를 감시. 넓게 본다. (예: Snort, Suricata)
HIDS
(Host)		서버/PC 안에 설치되어 그 호스트의 파일 변조·로그·프로세스를 감시. 깊게 본다. (예: OSSEC, Wazuh)

📌 비유: NIDS는 단지 정문 CCTV, HIDS는 각 세대 현관에 달린 개별 CCTV라고 보면 됩니다. 둘은 보완 관계예요.

5. 방화벽 · IDS/IPS · NGFW는 어떤 관계? 🔗

입문자가 가장 헷갈리는 부분입니다. 정리하면 이렇습니다.

  • 방화벽: "이 통신을 허용할지/막을지"를 IP·포트·정책으로 결정. (출입 통제)
  • IDS/IPS: 허용되어 통과하는 트래픽 안에 공격이 숨어 있는지를 검사. (내용물 검사)
  • NGFW: 위 둘을 한 장비에 통합. 즉 NGFW 안에 IPS 기능이 내장되어 있음.
🛂 비유: 방화벽이 "초대장 있는 사람만 입장"이라면, IPS는 "입장한 사람의 가방 속에 위험물이 있는지 X-ray로 검사"하는 단계입니다. 둘 다 필요하죠. NGFW는 이 둘을 한 부스에서 처리하는 통합 검색대입니다.

그래서 요즘은 별도 IPS 장비 대신 NGFW의 IPS 기능을 켜서 쓰는 경우가 많고, 대규모·고성능 환경에선 전용 IPS를 따로 두기도 합니다.

6. 주요 IPS/IDS 벤더와 제품 🏢

제품 / 벤더 특징
Snort (오픈소스)IDS/IPS의 사실상 표준. 룰 문법이 업계 기준이 됨. Cisco가 인수해 FTD 엔진으로 사용.
Suricata (오픈소스)멀티스레드로 고성능. Snort 룰과 상당 부분 호환.
Cisco Firepower / FTD방화벽+IPS 통합(NGFW). 내부적으로 Snort 엔진 사용. FMC로 중앙관리.
Palo Alto Threat PreventionNGFW에 IPS 기능 통합. 위협 인텔리전스 연동 강점.
Fortinet FortiGate IPS전용 칩 기반 고성능. 정책에 IPS 센서를 붙이는 방식.
WINS SNIPER (국산)국내 IPS 점유율 상위. 고속 트래픽 처리. 공공/통신사 다수 도입.

7. 기본 CONFIG 예제 ⌨️

① Snort — 룰(Rule) 문법 기초

Snort 룰은 동작 + 프로토콜 + 출발지 → 목적지 + (옵션) 구조입니다. alert는 탐지만(IDS), drop은 차단(IPS 모드)입니다.

# 룰 구조: action proto src_ip src_port -> dst_ip dst_port (options)

# [IDS 모드] 탐지만 하고 경보 -> 내부망 웹서버로 SQL Injection 의심 패턴
alert tcp any any -> $HOME_NET 80 (msg:"WEB SQL Injection 시도 의심"; content:"union select"; nocase; sid:1000001; rev:1;)

# [IPS 모드] 탐지 + 즉시 차단 -> SSH 무차별 대입(brute force) 의심
drop tcp any any -> $HOME_NET 22 (msg:"SSH Brute Force 의심"; flow:to_server; detection_filter:track by_src, count 5, seconds 30; sid:1000002; rev:1;)

# 변수 정의 예시 (snort.conf)
# var HOME_NET 192.168.10.0/24
# var EXTERNAL_NET !$HOME_NET
🔎 읽는 법: msg는 경보에 표시될 설명, content는 찾을 공격 패턴, sid는 룰 고유번호(1,000,000 이상은 사용자 정의), rev는 룰 버전입니다. 같은 룰이라도 action만 alert↔drop으로 바꾸면 IDS↔IPS가 됩니다.

② FortiGate — IPS 센서를 정책에 적용

FortiGate는 IPS 센서(ips sensor)를 만들고, 이를 방화벽 정책에 붙이는 방식입니다. (지난 방화벽 글에서 본 보안 프로파일 결합과 동일한 패턴)

# ===== IPS 센서 정의 (심각도 높음/위험 등급은 차단) =====
config ips sensor
    edit "dodam-ips"
        config entries
            edit 1
                set severity high critical
                set status enable
                set action block
            next
            edit 2
                set severity medium
                set status enable
                set action pass
                set log enable
            next
        end
    next
end

# ===== 방화벽 정책에 IPS 센서 연결 =====
config firewall policy
    edit 1
        set name "Internal-to-WAN"
        set srcintf "internal"
        set dstintf "wan1"
        set action accept
        set utm-status enable
        set ips-sensor "dodam-ips"
    next
end

# 적용된 IPS 시그니처/세션 확인
# diagnose ips ... (운영 시 확인용)
🔎 운영 팁: 위 예시처럼 심각도 높음/위험은 차단(block), 중간은 일단 탐지만(pass+log) 으로 시작해 오탐을 관찰한 뒤 단계적으로 차단 범위를 넓히는 게 안전합니다.

※ Cisco Firepower(FTD)는 CLI보다 FMC(GUI) 중앙관리로 IPS 정책을 운영하는 것이 일반적이며, 탐지 엔진으로 Snort를 사용합니다.

8. 함께 알아두면 좋은 연관 기능 🧩

SIEMIDS·방화벽·서버 등 여러 장비의 로그를 한곳에 모아 분석. IDS의 경보가 가장 빛을 발하는 곳. "보안 관제실의 종합 상황판".
EDR단말(PC·서버) 안에서 위협을 탐지·대응. HIDS의 진화형. "각 PC에 붙은 보안 요원".
NDR네트워크 트래픽을 AI/행위 분석으로 깊게 탐지. NIDS의 발전형.
WAF웹 공격(SQLi·XSS) 특화 방어. 범용 IPS가 놓치는 웹 전용 공격을 보완.
UTM/NGFW방화벽+IPS+백신 등을 통합. 중소 규모에서 IPS를 별도 장비 없이 사용.

❓ Q&A — 초보자가 자주 묻는 질문

Q1. 방화벽이 있는데 IPS가 또 필요한가요?
네. 방화벽은 "허용/차단"을 결정할 뿐, 허용된 통신 안에 숨은 공격은 못 걸러냅니다. 예를 들어 80번 포트(웹)는 열어둬야 하는데, 그 정상 통신을 가장해 들어오는 공격은 IPS가 검사해 막습니다. 역할이 다릅니다.
Q2. 그럼 IDS는 차단도 못 하는데 왜 쓰나요?
통신에 영향을 주지 않고 폭넓게 감시할 수 있고, ② 차단으로 인한 오탐 사고 위험이 없으며, ③ 공격 시도 자체를 기록·분석해 보안 정책을 개선하는 데 유용합니다. 가시성(모니터링)이 목적인 곳에서 강점이 있습니다.
Q3. IPS를 켰더니 멀쩡한 서비스가 끊겼어요!
전형적인 오탐(False Positive) 상황입니다. 그래서 IPS는 처음에 탐지(모니터) 모드로 운영하며 로그를 보고, 정상 트래픽을 막는 룰을 예외 처리(튜닝)한 뒤 단계적으로 차단 모드로 올리는 것이 정석입니다.
Q4. 암호화된 HTTPS 안의 공격도 IPS가 볼 수 있나요?
기본적으로는 암호화되어 내용이 안 보입니다. NGFW/IPS의 SSL 복호화 검사를 켜야 내부를 볼 수 있는데, 성능 부하와 개인정보 이슈가 있어 적용 대상을 신중히 정합니다.
Q5. 시그니처 기반과 이상행위 기반, 뭘 써야 하나요?
보통 둘 다 씁니다. 알려진 공격은 시그니처가 정확하게 잡고, 미지의 공격은 이상행위 탐지가 보완합니다. 현대 장비는 두 방식을 함께 적용하는 경우가 많습니다.
📝 오늘의 핵심 정리
  • IDS = 발견·알림(CCTV), IPS = 발견·차단(경비원). 차이는 "막느냐 마느냐".
  • 배치: IDS는 미러링(옆에서 관찰), IPS는 인라인(길목 한가운데).
  • 탐지: 시그니처(알려진 공격) + 이상행위(미지의 공격)를 함께.
  • 방화벽=출입통제, IPS=내용물 검사. NGFW엔 IPS가 내장되어 있다.
  • IPS는 오탐=서비스 장애이므로, 모니터 모드 → 튜닝 → 차단의 단계가 정석.

#IDS #IPS #침입탐지시스템 #침입방지시스템 #IntrusionDetection #IntrusionPrevention #네트워크보안 #NetworkSecurity #Snort #Suricata #FortiGate #CiscoFirepower #시그니처기반 #이상행위탐지 #NIDS #HIDS #SIEM #EDR #NGFW #방화벽 #CCNA #네트워크기초 #NetworkBasics #도담인사이트 #DodamInsight

댓글

댓글 쓰기

이 블로그의 인기 게시물

네이버 아이디 탈퇴, "서비스 해지 후 가능"이라고 뜨는 이유 (2026년 최신)

이미지
네이버 회원탈퇴 버튼을 눌렀더니 " 이용 중인 서비스를 해지한 후 탈퇴가 가능합니다 "라는 문구가 뜨신 적 있으신가요? 이 글에서는 왜 그런 문구가 뜨는지, 어떤 서비스를 어떻게 정리해야 하는지, 그리고 탈퇴 전 꼭 확인해야 할 체크리스트까지 한 번에 정리해드립니다.  🤔 "서비스 해지 후 탈퇴 가능"이 무슨 뜻인가요? 쉽게 말하면 현재 사용 중인 유료 서비스나 진행 중인 거래가 남아 있어서, 그것들을 먼저 정리해야 계정을 닫을 수 있다 는 안내 문구입니다. 생각해보면 당연한 조치입니다. 네이버페이에 잔액이 남아 있는 상태에서 탈퇴해버리면 그 돈은 어디로 갈까요? 스마트스토어에 미배송 주문이 있는데 판매자가 사라지면 구매자는요? 이런 분쟁을 막기 위해 네이버는 "활성 상태의 서비스가 있으면 탈퇴를 막는" 안전장치 를 걸어둔 것입니다. 마치 이사 가기 전에 가스·전기·인터넷 해지하고, 우편물 주소 변경하고, 관리비 정산까지 마쳐야 정식으로 전출 신고가 끝나는 것과 같은 개념입니다. 📋 탈퇴 전 해지해야 하는 서비스 총정리 네이버 계정에는 생각보다 많은 서비스가 연결되어 있습니다. 아래 표를 보면서 본인이 사용 중인 서비스를 체크해보세요. 💳 유료 구독 서비스 서비스 해지 방법 네이버플러스 멤버십  멤버십 관리 페이지 → 해지하기 넷플릭스·티빙 제휴 구독 멤버십 내 제휴 서비스 해지 웨일북·MYBOX 유료 플랜 각 서비스 설정 → 구독 해지 💰 금융 관련 서비스 항목 처리 방법 네이버페이 머니 잔액 본인 계좌로 출금 신청 네이버페이 포인트 모두 사용 또는 자동 소멸 대기 자동충전 설정 자동충전 해제 미완료 결제·환불 건 처리 완료까지 대기 🛒 커머스·비즈니스 서비스 서비스 처리 방법 스마트스토어 판매자 판매자센터에서 폐업 처리 (단순 휴면 ❌) 진행 중인 주문·배송 수령...
자세한 내용 보기

VPN이란 무엇인가? 사용 이유와 장단점 쉽게 설명

이미지
  인터넷을 사용하다 보면  VPN 이라는 단어를 자주 보게 됩니다. 해외 콘텐츠 이용, 회사 보안 접속, 공용 와이파이 보호, 개인정보 보호 등 다양한 상황에서 등장합니다. 하지만 처음 접하는 분들에게는 VPN이 정확히 무엇인지, 왜 사용하는지, 꼭 필요한지 헷갈릴 수 있습니다. 오늘은  VPN이란 무엇인지 ,  사용 이유 ,  장단점 , 그리고 사용할 때 주의할 점까지 쉽게 설명해보겠습니다. VPN이란 무엇인가? VPN은  Virtual Private Network 의 약자로, 우리말로는  가상 사설망 이라고 부릅니다. 쉽게 말하면 인터넷 연결 구간을 암호화해 보다 안전하게 사용할 수 있도록 도와주는 기술입니다. 평소 인터넷에 접속하면 내 기기와 웹사이트 사이의 정보가 일반 경로를 통해 이동합니다. 반면 VPN을 사용하면 중간에  암호화된 터널 을 만들어 데이터를 보호하고, 외부에서는 접속 위치를 VPN 서버 위치로 보이게 할 수 있습니다. 쉽게 비유하면, 일반 도로 대신 보안이 강화된 전용 통로를 이용하는 방식이라고 이해하면 됩니다. VPN을 사용하는 이유 VPN은 특정 사용자만 쓰는 전문 도구가 아니라 일반 사용자도 활용하는 경우가 많습니다. 1. 개인정보 보호 카페, 공항, 호텔처럼 공용 와이파이를 사용할 때는 보안이 약한 경우가 있습니다. VPN은 데이터 전송 내용을 암호화해 제3자가 보기 어렵게 만듭니다. 2. 회사 내부망 접속 재택근무 시 회사 서버, 내부 시스템, 업무 프로그램에 접속할 때 VPN을 사용하는 기업이 많습니다. 외부에서도 안전하게 사내망에 접속할 수 있기 때문입니다. 3. 지역 제한 콘텐츠 이용 일부 서비스는 국가별로 접속 제한이 있습니다. VPN을 사용하면 다른 국가 서버를 통해 접속하는 방식으로 이용하는 사례가 있습니다. 다만 서비스 약관 위반 여부는 각 플랫폼 정책을 확인해야 합니다. 4. IP 주소 노출 최소화 일반 접속 시에는 내 공인 IP 주소가 웹사...
자세한 내용 보기

듀얼모니터 연결 및 설정 방법 초보자 가이드

이미지
  재택근무, 주식 차트 확인, 영상 편집, 문서 작업, 게임 방송까지 듀얼모니터 환경은 생산성을 크게 높여주는 대표적인 PC 업그레이드 방법입니다. 한 화면에서는 문서를 띄우고 다른 화면에서는 인터넷 검색이나 메신저를 사용할 수 있어 작업 효율이 확실히 좋아집니다. 하지만 처음 설치하는 분들은 모니터가 안 잡힌다 , 화면이 복제만 된다 , 해상도가 이상하다 같은 문제를 자주 겪습니다. 오늘은 듀얼모니터 연결 및 설정 방법 을 초보자도 쉽게 따라 할 수 있도록 순서대로 정리해보겠습니다. 1. 듀얼모니터 사용 전 준비물 확인 먼저 컴퓨터가 모니터 2대를 연결할 수 있는지 확인해야 합니다. 체크할 항목 본체 그래픽카드 또는 메인보드 영상 출력 포트 2개 이상 모니터 2대 연결 케이블(HDMI, DP, DVI, USB-C 등) 전원 케이블 노트북도 HDMI 또는 USB-C 영상 출력 포트가 있다면 듀얼모니터 구성이 가능합니다. 2. 연결 단자 종류 확인하기 모니터와 PC의 단자가 서로 맞아야 정상 연결됩니다. 대표 단자 종류 HDMI : 가장 많이 사용, 설치 쉬움 DisplayPort(DP) : 고해상도, 고주사율에 유리 DVI : 구형 모니터에서 사용 VGA : 오래된 아날로그 방식 USB-C : 최신 노트북에서 자주 사용 단자가 다르면 변환 젠더 또는 변환 케이블이 필요합니다. 3. 듀얼모니터 연결 방법 데스크톱 PC 연결 첫 번째 모니터를 HDMI 또는 DP로 연결 두 번째 모니터를 남은 포트에 연결 모니터 전원 켜기 PC 부팅 그래픽카드가 있다면 메인보드 포트보다 그래픽카드 포트에 연결하는 것이 원칙 입니다. 노트북 연결 노트북 HDMI 또는 USB-C 포트 확인 외부 모니터 연결 모니터 입력 소스 HDMI 또는 DP 선택 4. 윈도우 듀얼모니터 설정 방법 연결 후 화면이 제대로 나오지 않으면 설정을 확인해야 합니다. 설정 경로 바탕화면 우클...
자세한 내용 보기