보안 도구는 같은 경보판이 아니라 보는 위치와 끊을 권한이 다르다
IDS, IPS, WAF, SIEM, EDR은 모두 보안 도구지만 같은 일을 하지 않습니다. 네트워크 복제 트래픽, 인라인 차단 지점, HTTP 본문, 로그 상관분석, 호스트 행위를 각각 다른 시야에서 봅니다.
IDS
SPAN/TAP 복제 트래픽
패킷과 flow를 관찰해 경보를 만들지만 보통 직접 차단하지 않습니다.
IPS
인라인 게이트웨이
흐름 중간에서 drop/reset을 수행하므로 오탐 비용이 큽니다.
WAF
HTTP 종료 지점
URL, 헤더, 쿠키, body, API 스키마를 보고 block/rate를 적용합니다.
EDR
호스트 내부
프로세스, 파일, 레지스트리, 메모리, 명령행을 추적합니다.
SIEM
로그 상관분석
여러 센서의 시간을 맞춰 한 사건으로 묶고 우선순위를 정합니다.
도구
보는 것
대응 권한
놓치기 쉬운 것
IDS
패킷, flow, 프로토콜 디코더, signature, anomaly
alert 중심이라 티켓·webhook·방화벽 연동이 필요합니다.
튜닝이 없으면 잡음이 많아 우선순위가 흐려집니다.
IPS
인라인 패킷, 세션 상태, L3-L7 protocol signature
drop/reset 가능. 패치 전 보호에는 유용하지만 fail-open 기준이 필요합니다.
오탐이면 정상 트래픽까지 차단합니다.
WAF
HTTP method, path, query, header, cookie, body, API schema
block/challenge/rate로 SQLi, XSS, bot 패턴을 줄입니다.
비즈니스 로직 취약점과 권한 설계 오류는 별도 점검이 필요합니다.
SIEM
WAF, IDS, EDR, IAM, cloud, app, audit log
correlation으로 같은 사용자·자산·시간대 이벤트를 묶습니다.
로그 필드 누락, 시간 오차, 자산 태그 부재는 탐지를 망칩니다.
EDR
process, file, registry, memory, command line, local network
isolate/kill처럼 호스트 격리와 프로세스 종료가 가능합니다.
호스트 밖 대량 트래픽은 CDN, ISP, edge 방어가 먼저 맞습니다.
inline risk
차단 장비는 정확도보다 영향 범위를 먼저 본다
IPS와 WAF는 오탐 비용이 커서 예외, rollback, fail-open 기준이 필요합니다.
TLS boundary
HTTP 내용을 보려면 복호화 지점이 있어야 한다
WAF는 CDN, ingress, app gateway에서 TLS 종료 후 본문을 검사합니다.
correlation
SIEM은 센서가 아니라 사건을 묶는 작업대다
서로 다른 로그가 같은 사용자와 자산을 가리키게 정규화해야 합니다.
host action
EDR은 강력하지만 업무 중단 비용이 있다
격리와 프로세스 종료는 배포·결제·운영 작업에 영향을 줄 수 있습니다.