침입탐지시스템(IDS, Intrusion Detection System)

침입탐지시스템(IDS, Intrusion Detection System)은 네트워크나 시스템에서 발생하는 비정상적이거나 악의적인 행위를 감시하고 탐지하는 보안 시스템이다. 핵심은 차단이 아니라 ‘탐지와 경보’에 있다는 점이다.

IDS는 트래픽이나 시스템 활동을 지속적으로 모니터링하면서, “이 행동이 정상적인가, 공격 징후인가”를 분석한다. 공격으로 판단되면 관리자가 인지할 수 있도록 로그를 남기고 경고(Alert)를 발생시킨다. 직접 패킷을 막지는 않기 때문에, 침입이 발생했는지를 빠르게 알아차리는 역할을 한다.

IDS는 설치 위치와 감시 대상에 따라 두 가지로 나뉜다.
네트워크 기반 IDS(NIDS)는 네트워크 구간에 설치되어 패킷을 분석한다. 스위치 미러링이나 TAP 장비를 통해 트래픽을 받아 DoS, 스캔, 스푸핑 같은 네트워크 공격을 탐지한다.
호스트 기반 IDS(HIDS)는 서버나 PC 내부에 설치되어 로그, 시스템 콜, 파일 변경 등을 감시한다. 루트킷 설치, 권한 상승 시도 같은 내부 침해를 탐지하는 데 유리하다.

탐지 방식 기준으로도 구분된다.
시그니처 기반 탐지는 이미 알려진 공격 패턴과 비교해 탐지한다. 정확하지만 새로운 공격(Zero-day)에는 약하다.
이상 행위 기반(행위 기반) 탐지는 정상 행위를 학습한 뒤, 그와 다른 행동을 이상으로 판단한다. 새로운 공격 탐지는 가능하지만 오탐(False Positive)이 발생하기 쉽다.

방화벽은 정책에 따라 사전에 트래픽을 차단하는 장비이고, IDS는 트래픽을 허용한 상태에서 감시만 한다. 그래서 IDS는 “사후 탐지”, 방화벽은 “사전 차단”이라는 표현이 자주 사용된다. 이를 보완한 것이 IPS(침입방지시스템)로, 탐지 후 자동 차단까지 수행한다.

IDS는 침입을 탐지한다.
차단 기능은 없다(경보·로그 중심).
NIDS와 HIDS로 구분된다.
시그니처 기반과 이상 행위 기반 탐지가 있다.