15강 · 방화벽·IDS

오늘 끝나면

방화벽·IDS

✓방화벽·IDS의 핵심 문제를 한 문장으로 설명한다
✓오른쪽 실습에서 방화벽이 어떻게 움직이는지 관찰한다
✓다음 강의와 이어지는 한계를 말할 수 있다

실습 미션

탐지와 회피 — 경계의 공방 이 문장이 실제로 무슨 뜻인지 실습에서 한 번 손으로 확인한다.

성공 조건

□실습의 기본값을 먼저 관찰
□입력값이나 모드를 한 번 이상 바꿔 결과 비교
□왜 결과가 바뀌었는지 한 문장으로 설명

화이트해킹 · 15

방화벽
IDS

방화벽은 규칙으로 트래픽을 들이고 막음.
IDS는 패턴으로 침입을 알아챔.
벽을 넘으려는 자와 알아채려는 자의 싸움임.

P.01화이트해킹 · 15

방화벽 = 규칙으로 트래픽 통과/차단

방화벽은 망의 문지기임. 들어오고 나가는 패킷을 하나하나 규칙에 비춰 봄.

규칙은 단순함 — 어떤 출발지·목적지·포트면 허용, 어떤 거면 차단.
예를 들어 443번 포트(웹)는 열고, 22번(원격접속)은 사내 IP만 열고, 나머지는 다 막음.

규칙은 위에서 아래로 훑어 먼저 걸리는 게 이김.
끝까지 안 걸리면 기본은 차단임 / 기본 차단(default deny)이 안전한 설계임.
열어둔 문만 길이고, 나머지는 전부 벽임.

문지기가 규칙표를 위에서부터 훑음

방화벽 규칙표 — 위에서 아래로

1허용포트 443 · 누구나

2허용포트 22 · 사내 IP만

3차단그 외 전부

끝까지 안 걸리면 기본 차단 — 열어둔 문만 길임

P.02화이트해킹 · 15

규칙은 순서가 전부다 — 직접 해봄

오른쪽에서 직접 방화벽을 굴려 봄. 규칙을 더하고 빼고, 들어오는 패킷의 포트·IP를 바꿈.

규칙은 위에서부터 훑음. 패킷의 포트·IP가 한 규칙에 걸리는 순간 거기서 판정이 끝남.
*는 아무거나임. 허용 443 *는 출발지 상관없이 웹은 다 열라는 뜻임.

마지막 차단 * *를 지워 봄 / 그래도 안 걸린 패킷은 기본 차단으로 떨어짐.
순서를 바꾸면 같은 규칙들로도 결과가 뒤집힘 / 차단 규칙이 위로 가면 허용이 무용지물임.
방어 관점에선 이 순서·기본값을 틀리는 게 곧 구멍임.

규칙을 바꾸면 같은 패킷도 운명이 갈림

방화벽 규칙 · 위에서부터 첫 매칭

규칙 — 위 규칙이 먼저 이김

포트·IP에 * = 아무거나. 매칭 규칙이 없으면 기본 차단

들어오는 패킷 — 바꿔 보셈

목적 포트

출발지 IP

판정 — 방화벽을 통과하나

통과1번 규칙에 걸림

포트·IP가 허용 규칙에 먼저 걸림. 방화벽이 길을 열어줌. 순서가 중요함 — 위 규칙이 아래를 덮음.

P.03화이트해킹 · 15

IDS/IPS = 패턴으로 침입 탐지·차단

방화벽은 누가 들어오느냐만 봄. 들어온 뒤 그 안에서 뭘 하는지는 안 봄. 그 빈틈을 IDS가 메움.

IDS(침입 탐지 시스템)는 트래픽 내용을 패턴과 대조함.
알려진 공격 시그니처가 보이거나, 평소와 다른 행동이 보이면 경보를 울림.
탐지만 하고 알리는 게 IDS, 거기서 한발 더 나가 그 자리에서 끊어버리는 게 IPS임.

그림으로 보면 방화벽은 문, IDS/IPS는 문을 통과한 사람 가방을 뒤지는 검색대임.
방화벽이 443을 열어줘도, 그 안에 든 공격 패턴은 IDS가 잡음.
둘을 겹쳐 깔아야 층이 생김 / 이게 다층 방어(defense in depth)임.

방화벽이 통과시킨 트래픽 속을 들여다봄

문(방화벽) → 검색대(IDS/IPS)

방화벽은 누가 들어오나 · IDS는 안에서 뭘 하나

P.04화이트해킹 · 15

우회와 탐지 — 끝없는 공방

공격자는 규칙과 패턴을 피하려 함. 방어자는 피하는 수법까지 패턴에 넣음. 이게 반복됨.

우회 시도는 다양함.
허용된 443 포트에 공격을 실어 보냄 / 열린 문으로 들어옴.
공격 트래픽을 잘게 쪼개(조각화) 패턴을 흩뜨림 / 검색대 눈을 피함.
암호화로 내용을 가려 IDS가 못 읽게 함.

탐지도 따라 진화함.
시그니처만 보던 IDS가 행동 기반(평소 대비 이상치)까지 봄.
조각난 패킷을 다시 합쳐(재조립) 보고, 암호 트래픽은 끝단에서 풀어서 검사함.
어느 한쪽이 끝나는 싸움이 아님 / 그래서 룰과 시그니처를 꾸준히 갱신하는 게 방어의 핵심임.

숨기려는 쪽 vs 알아채려는 쪽

우회 시도 ↔ 탐지 대응

우회	탐지
443에 공격 실어 보내기	포트 말고 내용까지 검사
패킷 잘게 조각화	재조립 후 패턴 대조
암호화로 내용 가리기	끝단에서 풀어 검사

어느 한쪽도 안 끝남 — 룰을 꾸준히 갱신하는 게 방어임

P.05화이트해킹 · 15

방화벽과 IDS는 역할이 다르다

둘은 경쟁하는 도구가 아니라 역할이 다른 도구임. 하나로 다 못 막음.

방화벽은 입구에서 규칙으로 거름 / 빠르고 단순하지만 통과한 뒤 속은 못 봄.
IDS는 통과한 트래픽 속을 패턴으로 들여다봄 / 깊게 보지만 경보가 많고 무거움.
IPS는 IDS가 잡은 걸 그 자리에서 끊음 / 강력하지만 오탐 한 번이 정상 서비스를 막음.

그래서 셋을 겹쳐 깖 — 방화벽으로 양을 줄이고, IDS/IPS로 남은 걸 깊게 봄.
방어는 단일 벽이 아니라 여러 겹임 / 한 겹이 뚫려도 다음 겹이 받쳐줌.

Q. 방화벽과 IDS의 차이는? (둘 다 같음 · 방화벽=규칙 차단/IDS=패턴 탐지 · IDS가 더 빠름 · 방화벽이 내용 검사)

정답은 방화벽=규칙 기반 차단, IDS=침입 패턴 탐지임.
방화벽은 출발지·포트 같은 규칙으로 입구에서 들이고 막음.
IDS는 이미 통과한 트래픽 내용을 패턴과 대조해 침입을 알아챔.
역할이 달라서 둘을 겹쳐 깔아야 층이 생김.

막는 자 · 알아채는 자 · 끊는 자

세 도구 · 겹쳐 깖

방화벽빠름 · 속은 못 봄

규칙으로 입구에서 거름

IDS깊음 · 경보만 울림

패턴으로 속을 들여다봄

IPS강함 · 오탐 주의

잡은 즉시 끊음

한 겹이 뚫려도 다음 겹이 받침 — 다층 방어