close
프로필 배경
프로필 로고

Kirby Dev

카테고리 없음 · 2025. 2. 4. fullscreen 넓게보기

해킹을 탐지하는 법! 침입 탐지 및 모니터링 가이드

1. 침임 탐지란?

침입 탐지(IDS, Intrusion Detection System)는 네트워크 또는 시스템에서 악의적인 활동을 감지하고 경고하는 보안 기술입니다. 이를 통해 해킹 시도를 조기에 발견하고 대응할 수 있습니다.

 

침입 탐지 시스템 유형

유형 설명
네트워크 기반 IDS (NIDS) 네트워크 트래픽을 감시하여 공격을 탐지함
호스트 기반 IDS (HIDS) 운영체제 및 애플리케이션 로그를 감시

 

2. IDS vs IPS 차이점

많이 혼동하는 개념이 IDS와 IPS(침입 방지 시스템)입니다.

🚨 IDS는 감시 카메라처럼 감지 후 경고만 하지만, IDS는 도둑이 문을 열자마자 자동으로 잠그는 시스템과 같습니다.

IDS (Intrusion Detection System)

단순 탐지 및 경고


IPS (Intrusion Prevention System)

탐지 후 차단까지 수행

3. IDS의 주요 탐지 방식

🚨 기업 환경에서는 시그니처 기반과 이상 탐지를 조합하여 활용하는 것이 효과적입니다.

  1. 시그니처 기반 탐지
    - 알려진 공격 패턴(시그니처)을 비교하여 탐지
    - 빠르고 정확하지만 새로운 공격에 취약함
    - 예시도구 : Snort, Suricata

  2. 이상 탐지
    - 정상적인 트래픽과 비교하여 이상 패턴 감지
    - 신종 공격 탐지 가능하지만 오탐 가능성 존재함
    - 예시도구 : Zeek(Bro), OSSEC

  3. 오용 탐지 기법
    - 시그니처 기반(Signature Base) : 알려진 공격 패턴을 데이터베이스와 비교하여 탐지
    - 지식 기반(Knowledge Base) : 공격 지식을 기반으로 하는 규칙을 적용하여 탐지
     
  4. 이상 탐지 기법
    - 행동 기반(Behavior Detection) : 정상적인 행동 패턴과 비교하여 이상 여부 판단
    - 통계 기반(Statistical Detection) : 통계적으로 정상과 비정상을 분석하여 탐지

4. IDS 실전 실습 : Snort 설정하기

🚨 IDS를 운영할 때는 너무 많은 경고가 발생하지 않도록 적절한 룰 튜닝이 필수입니다.

sudo apt update && sudo apt install snort -y
snort -A console -i eth0 -c /etc/snort/snort.conf -l /var/log/snort/

 

위 명령어를 실행하면 Snort가 네트워크 인터페이스 eth0 의 트래픽을 감시하며 로그를 남깁니다.

5. IDS의 효과적인 설치 위치

  • 네트워크 경계 : 외부와 내부 네트워크 사이의 트래픽 감시
  • 서버 앞단 : 중요한 서버로 향하는 트래픽을 감시
  • 엔드포인트 장치 : 개별 호스트의 이상 징후 탐지

6. IDS 로그 분석 및 대응 전략

📌  IDS 로그 예제

[**] [1:1000001:0] SQL Injection Attempt Detected [**]
[Priority: 1] {TCP} 192.168.1.100:5000 -> 10.0.0.5:80

 

공격 유형 : SQL Injection

공격자 IP : 192.168.1.100

타겟 서버 : 10.0.0.5

 

🚨 대응 방법

  1. 해당 IP를 방화벽에서 차단
  2. 웹 애플리케이션 방화볍(WAF) 설정 강화
  3. 해당 요청과 관련된 다른 로그 분석

7. 클리핑 레벨 (Clipping Level)

클리핑 레벨은 네트워크 또는 시스템에서 너무 많은 이벤트가 발생하는 것을 방지하기 위해 설정하는 임계값입니다. 경미한 이벤트를 무시하고 중요한 이벤트만 탐지하여 보안관리의 효율성을 높일 수 있습니다.

 

🚨 클리핑 레벨을 적절히 설정하면 불필요한 경고를 줄이고 중요한 이벤트에 집중할 수 있습니다.

8. 보안 감사 (Audit Trailing)

보안 감사는 시스템 및 네트워크의 활동을 기록하고 분석하여 침입 시도를 조사하는 과정입니다. 이를 통해 보안 사고 발생 시 증거를 확보하고 추후 대응 전략을 수립할 수 있습니다.

 

🚨 보안 감사 로그는 법적 증거로 활용될 수도 있으므로 안전하게 저장하고 관리하는 것이 중요합니다.

9. 침입 차단 시스템 (IPS, Intrusion Prevention System)

IPS는 IDS의 탐지 기능을 넘어서 실시간으로 공격을 차단하는 역할을 수행하는 보안 시스템입니다. 공격을 탐지하면 자동으로 방화벽 룰을 조정하거나 악성 트래픽을 차단하여 네트워크를 보호합니다.

 

🚨 IPS는 보안 정책과 연계하여 설정해야 하며 오탐이 발생하지 않도록 신중한 튜닝이 필요합니다.

10. 허니팟 (Honeypot)

허니팟은 해커를 유인하여 공격 패턴을 분석하는 가짜 시스템입니다. 이를 통해 실제 시스템을 보호하고 해커의 전략을 연구하여 보안 정책을 개선할 수 있습니다.

 

🚨 허니팟을 운영할 때에는 실제 네트워크와 완전히 분리하여 설정해야 합니다. 그렇지 않으면 해커가 허니팟을 이용해 내부 시스템을 공격할 수도 있습니다.

11. 통합 보안 관리 시스템 (Enterprise Security Management, ESM)

ESM은 IDS, IPS, 방화벽, SIEM 등 다양한 보안 시스템을 통합하여 중앙에서 관리하는 솔루션입니다. 모든 보안 이벤트를 한 곳에서 모니터링하고 대응할 수 있습니다.

 

🚨 기업 환경에서는 ESM을 도입하여 IDS, IPS, 방화벽을 통합 관리하면 보안 운영의 효율성을 극대화할 수 있습니다.

IDS는 네트워크와 시스템을 보호하는 핵심 기술이며 효과적인 탐지를 위해 다양한 탐지 기법과 도구를 조합하여 활용하는 것이 중요합니다. 실전에서는 Snort, Suricata, Zeek 등의 오픈소스 도구를 적극적으로 활용하며 로그 분석을 병행해야 합니다.

 

📢 구독자님의 회사나 개인 프로젝트에서는 어떤 IDS를 사용하고 계신가요? 댓글로 의견을 남겨주세요!

티스토리툴바