1. 웹 방화벽
가. 방화벽 개요(개념 및 구성)
| 개념 | 내부 네트워크와 외부 네트워크 사이에서, 정해진 규칙에 따라 통신을 허용하거나 차단하는 보안장치 | ||
| 구성도 |  * 패킷 필터링 - 출발지 IP, 목적지 IP, 포트 번호, 프로토콜 종류(TCP/UDP) * TCP/UDP 기반 통제 - 단순히 “누가 왔냐”만 보는 게 아니라 어떤 방식의 통신인지도 보는 거 * NAT - 사설 IP와 공인 IP를 변환 |
||
| 구성요소 | 구분 | 기능 | 설명 |
| 접근통제 | 패킷 필터링 | IP, Port, Protocol 기반 접근통제 | |
| 서비스 접근제어 | 특정 서비스 및 내부 접근 제한 | ||
| 인증 및 보안 | 사용자 인증 | 인가된 사용자 확인 | |
| 트래픽 암호화 | 통신 데이터 암호화 | ||
| 추적 및 감사 | 트래픽 로그 | 접속 기록 저장 | |
| 감사 추적 | 사용자 및 정책 위반 추적 | ||
| 네트워크 서비스 |
프록시 | 내부 IP 은닉, 응용계층 제어 (외부와 통신하는 내부 사용자 대리인) | |
| NAT(주소변환) | 공인 IP와 사설 IP 주소 변환 | ||
나. 웹 방화벽(WAF) 개요
| 개념 | 웹 서버 앞단에서 HTTP/HTTPS 요청 및 응답을 분석하여, 웹 어플리케이션 대상 공격을 탐지 및 차단하는 네트워크 장비(보안 솔루션) (즉, 일반 방화벽이 IP, Port, Prrotocol 중심의 네트워크 접근통제를 한다면, 웹 방화벽은 웹요청내용(URL, 쿠키, 입력값 등)을 보고 웹공격여부를 판단해서 차단) |
|
| 등장배경 | 기존 방화벽의 한계 | IP/Port 중심 판단으로 웹공격 식별 한계 (기존 방화벽은 주로 80, 443 포트 허용 여부 정도를 판단, 그런데 웹 공격은 허용된 HTTP/HTTPS 트래픽 안에 숨어 들어온다.) |
| IDS/IPS 한계 | 웹 요청 내용에 대한 정밀 해석 한계 ( IDS/IPS는 네트워크 수준에서 공격 패턴을 탐지·차단하지만, 웹 애플리케이션의 파라미터, 세션, URL 구조, 입력값 조작까지 정밀하게 해석하는 데 한계) |
|
| L7 스위치 | 네트워크대역폭관리, 로드밸런싱이 주기능으로 공격방어 부족 | |
다. 웹 방화벽(WAF) 개념도 및 주요기능
 |
| 분석 시스템 | 사용자가 웹사이트 접속시 웹 방화벽이 먼저 요청받아 웹서버로 연결 중계 (사용자와 웹 서버 사이에서 중간 역할) |
| 필터링 시스템 | 들어오는 HTTP 요청을 보고 정상인지 공격인지 걸러내는 역할 |
| 보안관리 시스템 | 접속 할 수 있는 관리자 계정 생성 및 관리, 접근 통제와 권한설정 |
라. 웹 방화벽(WAF) 구분
| 구분 | 특징 | ||
| 자료분석 위치 (WAF가 어디에서 웹요청 분석하느냐) |
네트워크 기반 | 네트워크 중간에 독립 장비처럼 놓여서 HTTP/HTTPS 트래픽을 분석 (웹 서버에 직접 붙는 게 아니라 중간 길목에서 지나가는 웹 요청을 보는 방식) |
- 웹서버 종류와 상관없이 적용 가능 - 여러서버를 한번에 보호쉬움 |
| 웹서버 기반 | WAF 기능을 웹 서버 내부 또는 웹 서버 소프트웨어에 붙여서 동작 (중간장비가아닌 웹서버에 직접 붙어서 보호하는 방식) |
- 서버와 밀접동작 - 세부제어 가능 |
|
| 보안 정책 | 포지티브 시큐리티 모델 | 안전하다고 미리 정한 것만 허용하는 방식 | - 보안성 높음 - 처음 정책 만들기 까다로움 - 새로운 공격에 강함 |
| 네거티브 시큐리티 모 | 위험하다고 알려진 것만 차단하고, 나머지는 허용하는 방식 | - 적용 및 운영 용이 - 새로운 공격에 취약 |
|
| 설치 위치 | 프록시모드 | 웹 방화벽이 스위치에 위치, DNS에서 웹서버 IP를 웹 방화벽 IP로 설정 (실제 웹서버로 바로가는게아니라 WAF쪽으로 먼저가게 만듬. 즉, 중간대리인처럼 직접받아 넘김) |
- 통제력, 보안성 우수 - 구조변경이 필요 |
| 트랜스페어런트모드 | 웹서버 앞에 위치, 장애시 웹방화벽 제거 등 웹서비스 기능 (웹방화벽이 앞에 놓여있지만, 있는지 없는지 티 안 나게 동작하는 방식. 즉, 티나지 않게 중간에서 검사) |
- 구조변경 적음 - 많이 사용하는 방식 |
|
| 라우팅 모드 | 웹서버 앞에 위치, 서로다른 네트워크 사이에 구성된 라우터 역할 (단순 통과 장비가 아니라 네트워크 경로까지 제어) |
- 라우팅 기능 수행 - 물리구조는 트랜스페어런트와 유사 |
마. 웹방화벽 도입시 고려사항 및 최근동향
| 구분 | 고려사항 |
| 운영체계 정비 | 운영담당자 지정 및 정책장애 대응 책임체계 명확화 |
| 네트워크 환경 검토 | 설치위치, 서비스 흐름, 기존장비와의 연계 영향 사전 검토 |
| 보호대상 설정 | 보호할 웹 서버 및 서비스 범위 우선순위 명확화 |
| 정책 설정 | 서비스 특성 및 취약점 수준에 맞는 허용/차단 정책 수립 |
| 안정화 기간 | 안정화 기간을 고려하여 오탐을 최대한 수정 |
| 장애대응 | 보안 및 서비스 측면 고려하여 장애대응 정책 수립 |
| 구분 | 최근동향 |
| SSL 가시성 강화 | HTTPS 암호화 트래픽 증가로 SSL 가시성 확보가 핵심 이슈로 부각 (예전에는 웹트래픽보면 바로 보였지만 지금은 대부분 HTTP를 사용하므로 WAF입장에선 밖에서 들어오는 요청이 잠긴상자처럼보임. 그래서 WAF는 암호화된 트래픽 안쪽까지 볼수 있는 능력이 중요해짐) |
| 성능 저하 개선 | 대용량 SSL 처리 시 장비 부하 문제를 줄이기 위한 고성능 처리 기술 확대 (HTTP검사 시 복화화/검사/재암호화를 해야해서 장비가 느려지므로 트래픽을 많이 처리해도 속도가 떨어지지 않게 개선되고있음) |
| Full SSL Inspection | 별도 장비 없이 복호화·검사·재암호화를 수행하는 Full SSL Inspection 강화 (예전에는 암호화 트래픽을 다못보거나 별도 장비가 필요했지만, WAF가 직접 복호화·검사·재암호화해서 보내는 기능이 강화되고있음) |
| 차세대 WAF 확산 | 웹 서비스 성능 저하 없이 보안성과 처리성능을 함께 높인 차세대 WAF 도입 확대 (단순 차단수준을 넘어 HTTPS 검사·성능·정책 정밀도까지 WAF가 많이 도입됨) |
 |
2. IDS(Intrusion Detection System), 침입 탐지 시스템
가. IDS 개요
| 개념 | - 비인가된 사용자가 자원의 기무가를 저해하는 활동 또는 보안정책위반 행위, 즉 침입을 실시간으로 탐지하는 시스템 |
| 특징 | 실시간 감시, 이상징후 조기발견 (IDS는 침입을 막는 장비라기보다 침입을 찾아 알리는 장비) |
나. IDS 구성요소 및 주요 기능
| 구성요소 | 핵심역할 |
| 정보수집기 | 로그·패킷 수집 (네트워크로부터 분석 자료 수집) |
| 정보분석기(분석엔진) | 침입 여부 판단 (시스템 및 패턴DB 설정에 따라 정보 분석) |
| 패턴DB | 공격 패턴 및 기준 저장 (패턴 생성기가 생성한 패턴 저장관리) |
| 이벤트 보고기 | 관리자 통보 및 결과 기록 (로그 저장소의 분석결과를 해당 관리자에게 보고) |
| 로그 저장소 | 분석된 결과 저장 |
| 패턴 생성기 | 침입 분석자료를 통해 패턴 생성 |
| 주요기능 | 설명 |
| 경보 기능 | 경보, 이메일발송 등으로 통보 |
| 세션차단 기능 | 의심스러운 행동 감지시 세션 차단 |
| 실시간 탐지 | 시스템 및 네트워크를 모니터링하여 실시간 탐지 |
| Reporting | 통계적 분석 및 Reporting 기능 |
다. IDS 시스템 유형
| 분류 | 구분 | 설명 | 장점 | 단점 |
| 데이터 소스 기반 (로그 데이터 위치에 따른 분류) |
호스트 기반(HIDS) | 서버/호스트 내부에 설치 | 정확한 행위 탐지 | 서버별 설치 부담 |
| 네트워크 기반(NIDS) | 네트워크 구간에 설치 | 여러장비 통합 감시 | 트래픽 분석 한계 | |
| 침입탐지 모델 기반 | 오용침입 탐지 모델 | 알려진 공격패턴과 비교 | 정확도 높음 | 신종공격 한계 |
| 이상침입 탐지 모델 | 정상행위기준 이탈 시 탐지 | 신종공격 탐지 | 오탐 가능성 |
라. IDS vs 방화벽, IDS vs IPS 비교
| 구분 | IDS | 방화벽 |
| 주요 역할 | 탐지 (Detection) | 차단 (Access Control) |
| 목적 | 침입 징후 발견 | 비인가 접근 차단 |
| 설치 위치 | 내부망 또는 방화벽 뒤 | 외부와 내부 경계 |
| 동작 방식 | 모니터링, 경보 | 허용/차단 정책 적용 |
| 시스템 특성 | 2차 탐지 | 1차 방어 |
| 장애 시 영향 | 내부 네트워크/호스트 감시 | 외부로부터 내부 보호 |
| 구분 | IDS | IPS |
| 개념 | 침입 탐지 시스템 | 침입 방지 시스템 |
| 대응 방식 | 탐지 후 경고 | 탐지 후 즉시차단 |
| 설치 방식 | 미러링/탭 방식 (통신을 복사해서 옆에서 감시하는 방식) |
인라인 방식 (검문소처럼 모든 패킷이 반드시 통과해야하는 방식) |
| 장점 | 서비스 영향 적음 | 실시간 능동 대응 |
| 단점 | 직접 차단 어려움 | 오탐 시 정상 트래픽 차단 가능 |
2. IPS(Intrusion Protection System), 침입 방지 시스템
가. IPS 개요
| 개념 | -비인가된 사용자가 자원의 무결성(integrity), 기밀성(confidentiality), 가용성(availability)을 저해하는 일련의 행동들과 보안 정책을 위반하는 행위, 즉 침입(intrusion)을 실시간으로 탐지하는 시스템 |
| 특징 | 이상침입탐지, 오용침임 탐지 |
나. IDS 유형
| 분류 | 구분 | 설명 | 동작방식(목적) | 대표대응 |
| 시스템 유형 |
호스트 기반(HIPS) | 서버/PD 내부에 설치 | 시스템 내부행위 차단 (서버 내부침입 방지) |
파일변조, 권한오남용 |
| 네트워크 기반(NIPS) | 네트워크 경로 사이에 설치 | 패킷 분석후 공격트래픽 차단 (네트워크 공격 방어) |
DDoS, 스캔, 버퍼오버플로우, 웜 | |
| 행위분석탐지 유형 | 규칙기반 변화 탐지 | 평소행위기준 이상행위 탐지 | 정상과 다른행동 찾기 | |
| 규칙기반 침입 탐지 | 미리정한 보안정책 위반여부 탐지 | 정책위반 찾기 | ||
| 규칙기반 침입 방지 | 알려진 공격패턴 일치 시 차단 | 시그니처 기반 차단 | ||
| 상태변이 분석 | 침입과정 상태변화를 단계별 분석 | 공격진행 흐름 파악 |
라. IDS vs 방화벽, IDS vs IPS 비교
| 구분 | IDS | 방화벽 |
| 주요 역할 | 탐지 (Detection) | 차단 (Access Control) |
| 목적 | 침입 징후 발견 | 비인가 접근 차단 |
| 설치 위치 | 내부망 또는 방화벽 뒤 | 외부와 내부 경계 |
| 동작 방식 | 모니터링, 경보 | 허용/차단 정책 적용 |
| 시스템 특성 | 2차 탐지 | 1차 방어 |
| 장애 시 영향 | 내부 네트워크/호스트 감시 | 외부로부터 내부 보호 |
| 구분 | IDS | IPS |
| 개념 | 침입 탐지 시스템 | 침입 방지 시스템 |
| 대응 방식 | 탐지 후 경고 | 탐지 후 즉시차단 |
| 설치 방식 | 미러링/탭 방식 (통신을 복사해서 옆에서 감시하는 방식) |
인라인 방식 (검문소처럼 모든 패킷이 반드시 통과해야하는 방식) |
| 장점 | 서비스 영향 적음 | 실시간 능동 대응 |
| 단점 | 직접 차단 어려움 | 오탐 시 정상 트래픽 차단 가능 |
'Study Note > 보안' 카테고리의 다른 글
| [정보보호>식별/인증] 식별(Identification)과 인증(Authentication) (0) | 2026.04.06 |
|---|---|
| [보안기술>암호화] 양자암호기술(PQC, QKD) (1) | 2026.04.03 |
| [보안기술>암호화] 해시함수 (0) | 2026.04.01 |
| [보안기술>암호화] 대칭키와 비대칭키 (0) | 2026.04.01 |
| [보안기술>암호화] 암호화 (0) | 2026.04.01 |