교재에서는 IPS와 WAF를 이렇게 구분한다.
IPS는 네트워크 단에서 알려진 공격 패턴을 차단하는 장비,
WAF는 웹 애플리케이션 레이어(L7)를 보호하는 장비.
틀린 말은 아니지만, 실제로 운영해 보면
두 장비의 차이는 기능보다도
“누구와 협업해야 하는지, 어떤 방식으로 튜닝해야 하는지”에서 더 크게 느껴진다.
트래픽 관점의 차이: 패킷 vs HTTP 요청
IPS는 대부분 L3/L4 레벨의 패킷과 세션을 중심으로 본다.
시그니처 기반 탐지, 프로토콜 이상 여부, 포트/서비스 매핑이 핵심이다.
TCP 세션, 플로우, 포트 스캔, SYN flood 같은 개념이 자연스럽게 따라온다.
반면 WAF는 HTTP 요청과 응답을 들여다본다.
URI, 파라미터, 헤더, 바디, 쿠키, 세션 ID 등
웹 애플리케이션 관점에서 의미 있는 필드를 기반으로 룰을 튜닝한다.
SQL Injection, XSS, 파일 업로드, 인가 우회 등
OWASP Top 10과 밀접하게 연결된다.
운영해 보면
IPS는 “네트워크 경계”에 가깝고,
WAF는 “서비스 경계”에 가깝다.
그래서 자연스럽게 협업해야 하는 대상도 달라진다.
협업 축의 차이: 인프라팀 중심 vs 서비스/개발팀 중심
IPS 튜닝은 인프라팀·보안팀 안에서 도는 경우가 많다.
- 포트/프로토콜 정책
- 공격 시그니처 활성화/비활성화
- 차단 모드와 모니터링 모드 전환
같은 작업을 하면서
서버/네트워크 담당자와 주로 대화하게 된다.
반대로 WAF는 기획·개발·QA와의 협업이 필수에 가깝다.
- 신규 API 추가, URI 구조 변경
- 파라미터 형식, 허용 가능한 값의 범위
- 정상 트래픽 패턴과 부하 특성
을 공유받지 못하면,
룰셋이 금방 실제 서비스와 동떨어진 상태가 된다.
실무 경험으로 보면
IPS는 “보안팀 안에서의 품질 관리” 비중이 크고,
WAF는 “서비스팀과의 커뮤니케이션” 비중이 훨씬 크다.
오탐/미탐 튜닝 방식의 차이
IPS에서 오탐이 발생하면
대부분은 특정 시그니처를 조정하거나
탐지 모드를 모니터링으로 내리는 방향으로 해결한다.
- 특정 소스/목적지 IP에 한정해서 예외 처리
- 시그니처 레벨을 줄이거나 정책 그룹을 재구성
이런 식으로 네트워크/시그니처 레벨에서 해결책이 나온다.
반면 WAF의 오탐은
대부분 애플리케이션 동작과 직결된다.
- 신규 기능 릴리즈 이후 특정 화면이 동작하지 않는다
- 특정 파라미터 값(예: JSON, 특수문자 포함)이 차단된다
- 파일 업로드, 결제, 회원 가입 같은 핵심 플로우에 영향
이 경우에는 단순히 룰을 내리는 것보다
서비스 팀과 함께 정상 패턴을 다시 정의해야 한다.
예를 들어,
- 특정 URI, 특정 파라미터에 대해서만 예외 허용
- 정규식 기반 화이트리스트 작성
- 스코어 기반 룰 세트에서 허용 임계값 조정
같은 방식으로 세밀하게 풀어가는 작업이 필요하다.
SSL/TLS 처리와 성능 이슈
IPS는 경우에 따라 SSL 복호화 기능을 쓰기도 하지만,
많은 환경에서 L3/L4 위주 모니터링으로도 일정 수준까지는 운용이 가능하다.
WAF는 대부분 HTTPS 트래픽을 처리한다.
SSL offloading, SSL inspection 구간에서
- 인증서/키 관리
- TLS 버전/암호화 스위트 정책
- HTTPS Termination 지점
같은 이슈를 함께 고민해야 한다.
여기에 더해
- 동시 접속 수
- 요청당 평균 응답 시간
- 대용량 파일 업로드 처리
까지 WAF가 직접 받게 되기 때문에,
아키텍처 설계 단계에서부터 성능 여유와 확장성(Scale-out 구조)을 고려해야 한다.
배치 전략: 인라인 vs 아웃오브밴드, 단일 vs 다중 장비
IPS는 전통적으로 인라인 배치가 많다.
탐지 모드에서 충분히 검증한 뒤
차단 모드(Inline block)로 전환하는 패턴이 일반적이다.
WAF도 인라인으로 두는 경우가 대부분이지만,
처음 도입하거나 레거시 애플리케이션 앞에 둘 때는
Reverse proxy 형태로 단계적 도입을 고려하기도 한다.
실무에서 자주 봤던 패턴은 다음과 같다.
- 코어 구간 IPS는 이중화(Active/Standby 또는 A/A) 구성
- 인터넷 구간 WAF는 L4 스위치와 연계한 다중 노드 구성
- 중요 서비스는 별도 WAF 정책 세트로 분리 운영
장애 시 우회 경로, 바이패스 구성까지 포함해서
네트워크 아키텍처 단계에서 설계해 두지 않으면
실제 장애 상황에서 “장비를 빼야 하나 말아야 하나”를 두고
불필요한 긴장감이 커진다.
정리: IPS와 WAF는 기술보다 “역할과 운영 방식”이 다르다
두 장비 모두 침입 방지라는 큰 틀에서는 비슷하지만,
- IPS는 네트워크 경계, 시그니처 중심, 인프라 팀 중심 운영
- WAF는 애플리케이션 경계, 트래픽 패턴 중심, 서비스/개발팀과의 협업 운영
이라는 차이점이 현장에서 훨씬 크게 다가왔다.
도입이나 고도화를 고민할 때
제품 스펙 비교에서 한 발 나아가
“우리 조직 구조, 인력, 서비스 특성 상
어떤 방식으로 운영할 수 있는지”를 먼저 그려 보면
솔루션 선택과 정책 설계가 훨씬 수월해진다.
'정보보안 인프라·실무' 카테고리의 다른 글
| 45. 영향평가에서 암호화·접근통제·로그를 볼 때 개인적으로 체크하는 순서 (0) | 2025.12.17 |
|---|---|
| 39. 개인정보 영향평가를 하면서 인프라 쪽에서 자주 보게 되는 포인트들 (0) | 2025.12.15 |
| 22. 방화벽 정책을 리뉴얼할 때 실무에서 꼭 거치는 세 단계 (0) | 2025.12.08 |
| 18. 클라우드 서비스를 쓸 때 최소한으로 챙겨보는 것들 (1) | 2025.12.08 |
| 17. 재택·원격 근무가 늘어날수록 신경 쓰이던 것들 (0) | 2025.12.08 |