IPS (Intrusion Prevention System) 침입 방지 시스템

IPS (Intrusion Prevention System)는 네트워크 또는 호스트 레벨에서 악의적인 트래픽과 공격 패턴을 실시간으로 분석하고, 위협이 감지되면 즉시 차단하는 보안 시스템입니다.

IPS는 네트워크 경로의 인라인(Inline)에 위치하여 모든 트래픽이 IPS를 거쳐 가도록 구성됩니다. 이를 통해 의심스러운 패킷을 탐지하는 즉시 차단할 수 있습니다.

업무 환경에서 자주 등장하는 이유는 방화벽만으로는 막을 수 없는 애플리케이션 레벨 공격(SQL Injection, XSS, 제로데이 취약점 등)을 방어하기 위해서입니다.

1. IDS (Intrusion Detection System) - 침입 탐지 시스템

IPS를 이해하려면 먼저 IDS를 알아야 합니다. IDS는 침입을 탐지만 하고 관리자에게 알림을 보냅니다. 실제 차단은 관리자가 수동으로 처리해야 합니다.

2. 방화벽 (Firewall)

방화벽은 IP, 포트, 프로토콜 기반으로 트래픽을 차단합니다. 하지만 정상적인 HTTP 요청 안에 숨어있는 SQL Injection 같은 공격은 탐지하지 못합니다. IPS는 이런 애플리케이션 레벨 공격을 방어합니다.

3. 시그니처 vs 이상 탐지

• 시그니처 기반: 알려진 공격 패턴(시그니처)을 데이터베이스에 등록하고 매칭
• 이상 탐지 기반: 정상 트래픽 패턴을 학습하고, 벗어난 행위를 탐지 (AI/ML 활용)

IPS의 동작 원리

1. 트래픽 캡처: 네트워크 인라인에서 모든 패킷을 캡처
2. 프로토콜 디코딩: HTTP, SMTP, FTP 등 프로토콜별로 패킷 해석
3. 패턴 매칭: 시그니처 DB와 비교하여 공격 여부 판단
4. 행위 분석: 비정상적인 트래픽 패턴 탐지 (예: 짧은 시간 내 대량 요청)
5. 차단 결정: 위협도에 따라 DROP, RESET, BLOCK 수행
6. 로깅 및 알림: SIEM 시스템에 로그 전송 및 관리자 알림

IPS의 주요 탐지 기법

• 패턴 매칭: SQL Injection, XSS, Command Injection 등의 공격 문자열 탐지
• 프로토콜 이상 탐지: RFC 표준을 위반하는 패킷 차단
• 레이트 제한: 동일 IP에서 초당 요청 수 제한 (DDoS 방어)
• 지리적 차단: 특정 국가 IP 대역 차단
• 평판 기반 차단: 알려진 악성 IP 블랙리스트 활용

실제 업무에서의 활용

카카오 API 서버처럼 외부에 노출된 서비스는 IPS를 통해 다음과 같은 공격을 방어합니다:

• API 남용 공격: 비정상적으로 많은 API 호출 차단
• Bot 트래픽: 자동화된 크롤러나 스크래퍼 차단
• 취약점 스캐닝: Nikto, Nessus 같은 스캐너 탐지 및 차단
• 제로데이 공격: 행위 기반 분석으로 알려지지 않은 공격 방어

IPS 운영의 핵심 과제

IPS는 강력하지만 오탐(False Positive)이 발생하면 정상 서비스가 차단됩니다. 따라서:

• 초기에는 Monitor Mode로 운영하며 오탐률 조정
• 화이트리스트를 통해 신뢰할 수 있는 IP/도메인 예외 처리
• 시그니처를 지속적으로 업데이트 (보안 업체에서 제공)
• SIEM과 연동하여 전체 보안 이벤트 상관 분석

다이어그램 해석:

• IPS (녹색)는 트래픽 경로에 인라인으로 위치하여 모든 패킷을 검사하고 차단
• IDS (노란색)는 미러링된 트래픽만 수동으로 분석 (탐지만, 차단 불가)
• 방화벽은 IP/Port 레벨에서 차단, IPS는 HTTP 요청 내용까지 분석
• SQL Injection 같은 애플리케이션 공격은 IPS가 실시간으로 차단