핵심 개요
익숙한 공격도 보고, 애매한 이상 징후도 같이 봅니다.
단순 차단 규칙만으로는 요즘 공격을 설명하기 어렵습니다. Stella IT Cloud IPS/IDS는 기본적인 시그니처 탐지에 더해, 세션 흐름과 반복 패턴까지 함께 확인해 수상한 트래픽을 따로 골라냅니다.
웹 서비스, 내부망, 업무 시스템은 정상 트래픽의 모양이 서로 다릅니다. 이 서비스는 패킷 내용, 세션 상태, 접근 흐름을 같이 보면서 환경에 맞는 기준으로 탐지와 차단을 나눠 적용합니다.
행동 기반 이상 탐지
이미 알려진 패턴이 아니어도 평소와 다른 흐름을 따로 분류해 먼저 확인할 수 있습니다.
세션 단위 패킷 검사
헤더만 보는 것이 아니라 페이로드와 세션 흐름까지 같이 확인합니다.
시그니처 기반 차단
이미 알려진 공격 패턴은 빠르게 걸러내고, 자주 보이는 위협은 정책으로 바로 막을 수 있습니다.
위협 정보 연동
악성 IP, URL, 평판 정보를 기준으로 위험한 목적지를 먼저 걸러낼 수 있습니다.
로그 연동과 운영 추적
탐지 결과를 외부 분석 시스템이나 운영 채널과 연결해 후속 대응에 활용할 수 있습니다.
서비스 영향 최소화
트래픽이 많은 환경에서도 서비스 지연이 커지지 않도록 적용 위치와 정책 강도를 조정합니다.
탐지 흐름
정상 흐름과 위협 흐름을 같은 화면에서 나눠 봅니다.
웹 공격, 내부 확산, 악성코드 통신은 형태가 달라도 결국 같은 네트워크 안에 섞여 들어옵니다. 아래 흐름도는 어떤 트래픽이 끝까지 통과하고, 어떤 흐름이 중간 단계에서 멈추는지를 한 화면에서 같이 보여줍니다.
실시간 트래픽 흐름
정상 업무 요청은 끝까지 통과시키고, 위협 흐름은 검사 단계에서 차단하거나 격리하는 구조입니다.
클라이언트
사용자 / 업무 요청
웹, API, 내부 업무 세션
보안 레이어
IPS / IDS
세션 추적, 패턴 분석, 정책 판정
실제 서버
서비스 / 내부망
정상 세션만 그대로 유지
공격 입력
유해 트래픽
웹 공격, 내부 확산, 악성 외부 통신
보안 레이어
IPS / IDS
위협 흐름을 판별하고 서버 전달 전에 차단 또는 격리
종료 지점
차단 / 격리
실제 서버까지 도달하지 않고 여기서 분리
운영 포인트
- 정상 업무 세션과 위협 흐름을 같은 엔진에서 동시에 추적
- 즉시 막아야 하는 요청은 차단하고, 애매한 이상 징후는 경고나 격리로 넘김
- 탐지 결과는 운영 채널, 로그, 외부 분석 체계와 이어서 볼 수 있음
탐지 기준
웹 서비스, API, 내부망, 업무 시스템
보호 범위
네트워크 레벨부터 애플리케이션 요청까지 같이 봅니다.
네트워크 기반 위협
정찰, 스캔, 비정상 연결 시도 확인
- 포트 스캔 및 비정상 연결 패턴
- Botnet Command & Control 트래픽
- SSL/TLS를 통한 은닉 채널 의심 행위
애플리케이션 공격
서비스와 API를 노리는 요청 분석
- SQL Injection 및 XSS 시도 탐지
- Web Shell 업로드 및 취약한 엔드포인트 악용
- REST API 및 웹 서비스 대상 공격 패턴 분석
악성코드 / 랜섬웨어
악성 통신과 정보 유출 흐름 확인
- 랜섬웨어 및 트로이목마 통신 패턴 탐지
- 시스템 은닉 및 정보 탈취형 악성코드 의심 흐름 식별
- 악성 URL 및 평판 기반 블록리스트 차단
운영 및 연동
탐지 결과를 실제 운영에 어떻게 붙일지도 중요합니다.
모든 환경을 같은 방식으로 막는 건 현실적이지 않습니다. 서비스 영향도를 보면서 인라인 차단으로 갈지, 먼저 탐지 전용으로 볼지, 중요한 구간만 따로 보호할지 정하는 것이 보통입니다.
배치 토폴로지 비교
서비스 구조에 맞춰 배치 방식도 다르게 가져갈 수 있습니다.
사용자 요청이 서비스 앞단에서 IPS / IDS를 먼저 통과합니다.
진입 경로
사용자 / 내부 단말
서비스와 업무 요청이 먼저 보호 레이어로 유입
보호 방식
IPS / IDS 인라인
세션과 패턴을 바로 검사하고 정책에 맞지 않으면 즉시 차단
결과 경로
서비스 / 내부망
허용된 요청만 원래 서비스 경로로 전달
서비스 앞단 배치
정책에 맞지 않으면 서비스에 도달하기 전에 즉시 차단합니다.
원본 트래픽은 그대로 통과시키고, 복제본만 IDS로 보내 분석합니다.
진입 경로
사용자 / 업무 트래픽
기존 서비스 경로는 유지하고 트래픽 복제본만 분기
보호 방식
스위치 / TAP + IDS
원본은 유지하고 탐지 이벤트와 로그만 별도로 수집
결과 경로
서비스 / 내부망
원본 경로는 바꾸지 않고 가시성만 추가 확보
원본 경로 유지
서비스 경로를 바꾸지 않고 탐지 이벤트와 로그만 별도로 수집합니다.
일반 구간은 그대로 두고, 핵심 자산 구간만 IPS / IDS 앞단을 통과시킵니다.
진입 경로
일반 사용자 / 핵심 요청
업무망과 중요 자산 접근 요청을 분리해서 판단
보호 방식
선택 보호 구간
핵심 자산 구간만 인라인 차단하고 일반 구간은 탐지 중심 운영
결과 경로
일반 서비스 / 핵심 서버
보호 우선순위가 높은 구간만 강하게 통제
핵심 구간 우선 보호
전체 경로를 바꾸지 않고, 보호 우선순위가 높은 구간만 인라인 차단합니다.
인라인 차단
차단 중심 운영
공개 서비스나 핵심 보호 구간처럼 바로 막아야 하는 환경에서 트래픽 경로에 직접 두는 방식입니다.
- 탐지 후 즉시 차단까지 한 흐름으로 처리
- 웹 서비스, API, 핵심 서버 구간에 적합
- 정책 튜닝과 오탐 관리가 중요
탐지 전용 미러링
탐지와 분석 중심 운영
서비스 경로를 크게 바꾸기 어려운 환경에서 미러링된 트래픽으로 먼저 가시성을 확보하는 방식입니다.
- 기존 서비스 경로를 바꾸지 않고 시작 가능
- 초기 도입이나 오탐 검증 단계에 유리
- SIEM, SOC 연동 중심 운영과 잘 맞음
구간별 혼합 운영
차단과 탐지를 구간별로 분리
중요 자산 구간만 인라인 차단하고, 나머지 영역은 탐지 중심으로 운영해 보안과 운영 안정성을 같이 챙기는 방식입니다.
- 관리망·중요 서버망만 우선 차단 강화
- 업무망과 일반 구간은 탐지 중심으로 운영
- 점진적으로 차단 범위를 확대하기 좋음
실시간 대시보드
탐지 현황과 트래픽 패턴 가시화
어느 구간에서 어떤 위협이 반복되는지, 정책이 어떻게 적용되고 있는지 운영 화면에서 확인할 수 있습니다.
- 위협 발생 추세 확인
- 탐지 유형별 분류
- 정책 적용 결과 모니터링
SIEM / Log Stream 연동
기존 보안 운영 체계와 연결
탐지 이벤트를 외부 분석 플랫폼으로 보내 기존 SOC, SIEM, 리포트 체계와 함께 운영할 수 있습니다.
- 보안 이벤트 실시간 전달
- 외부 분석 체계와 통합 운영
- 정기 리포트와 사후 분석 연계
정책 운영 모드
탐지 전용 또는 차단 모드 선택
업무 영향도를 보면서 처음에는 모니터링 중심으로 시작하고, 안정화 후 차단 범위를 넓히는 방식도 가능합니다.
- 초기 도입 시 탐지 중심 운영
- 오탐 점검 후 차단 모드 전환
- 서비스별로 다른 정책 적용 가능
적용 환경
어떤 환경에 붙이느냐에 따라 운영 방식도 달라집니다.
웹 서비스
전자상거래, SaaS, API 보호
웹 서버와 API에서 반복되는 비정상 요청, 취약점 악용 시도, 자동화 공격을 탐지하고 차단합니다.
기업 네트워크
내부망, 데이터센터, 원격 접속 보호
본사/지사망, 서버 구간, VPN, 원격 업무 환경에서 평소와 다른 접근 흐름을 빠르게 찾습니다.
공공/업무 시스템
보안 가시성과 운영 기록이 중요한 환경
차단만큼 기록과 보고가 중요한 환경에서 탐지 로그와 운영 이력을 체계적으로 남길 수 있습니다.
자주 묻는 질문
FAQ
IDS는 위협을 찾아 기록하고 알리는 쪽에 가깝고, IPS는 그 결과를 바탕으로 실제 차단까지 수행합니다. 운영 환경에 따라 먼저 탐지 중심으로 시작한 뒤 차단 범위를 넓히는 경우가 많습니다.
환경과 적용 방식에 따라 SSL/TLS 트래픽에서도 위협 징후를 볼 수 있습니다. 다만 어디까지 분석할지는 서비스 구조와 정책에 따라 달라집니다.
가능합니다. 로그 스트림이나 이벤트 전달 방식으로 기존 분석 체계와 연결해 함께 운영할 수 있습니다. 필요한 포맷과 연동 범위는 도입 시 같이 정합니다.
영향을 줄이기 위해 초기에는 탐지 중심 운영이나 제한적인 차단 정책으로 시작하는 경우가 많습니다. 서비스별 정상 패턴을 확인한 뒤 차단 범위를 넓히는 식으로 조정합니다.