침입 탐지 시스템(IDS; Intrusion Detection System)

• 개요
  • 보안은 방어(Protect), 탐지(Detect), 그리고 대응(React)으로 적용되어야 하며, IDS는 단순한 접근 제어 기능을 뛰어 넘어 네트워크 시스템을 실시간으로 모니터링하고 비정상적인 침입을 탐지하는 보안 시스템
  • 보안 제품으로 널리 알려져 있으며, 국내에서 많은 기관들이 이용하여 보안을 강화하고 있으나 모든 보안 제품을 100% 신뢰할 수 없으며, 침입 탐지 시스템만으로 완벽한 보안을 구축하는 것은 불가능
  • 기존의 방화벽을 건물의 담장 또는 수위로 비유한다면 침입 탐지 시스템은 감시 카메라라고 할 수 있음
       
• 보안의 4단계 프로세스
  • 예방(Protect)
    공격을 미리 막는 조치를 의미하며, 대표적인 제품으로 방화벽이 있음
  • 탐지(Detect)
    예방을 해도 그 예방 조치를 뚫고 들어오는 공격자가 있기 마련이므로, 탐지는 이러한 공격자를 모니터링하는 일을 의미하며, 탐지의 대표적인 제품으로는 침입탐지 시스템이 있음
  • 대응(React)
    예방과 탐지를 했음에도 공격을 당할 우려가 있으므로, 공격자를 찾아내고 공격자에게 이메일을 보내거나 공격자로부터 오는 패킷을 막는 행위
  • 포렌식(Forensics)
    공격당한 컴퓨터의 증거를 보존하고 수집하는 절차로, 포렌식의 목적은 재판의 증거물을 만드는 과정이기에, 일반 범죄의 증거 수집과 같이 컴퓨터 포렌식의 독특한 방법으로 컴퓨터의 증거를 수집하는 과정
     
• ISD의 분류
  • 네트워크 백본을 모니터링하여 공격을 찾아내는 네트워크 기반 IDS
  • 로컬 호스트의 운영체제와 파일 시스템에서 공격을 찾아내는 호스트 기반의 IDS
  • 여러 원격지 센서가 중앙 관리 스테이션에 탐지 정보를 보내는 형태의 분산 IDS
       
• IDS의 위치
  • 각 네트워크의 세그먼트에 위치해서 공격을 모니터링하는데, 방화벽의 앞과 뒤에 모두 설치하면 효과가 높음
  • 각 시스템의 앞단에 설치하는 것도 정보 보호의 효과가 있음