IDS, IPS, WAF, SIEM, EDR은 같은 경보판이 아니라 서로 다른 관측 지점이다
차이는 제품 이름보다 배치 위치가 먼저다. 네트워크 밖에서 복제 트래픽을 보는지, 인라인에서 버릴 권한이 있는지, 복호화된 HTTP를 보는지, 호스트 행위를 보는지, 로그를 모아 상관분석하는지가 대응 속도와 오탐 비용을 결정한다.
요청 경로 위에 놓이는 도구와 로그 경로로 빠지는 도구
client -> edge -> app -> host -> telemetry
1
SPAN/TAP sensor
IDS
NDR
복제된 패킷, flow, 서명, 이상 징후를 본다. 보통 알림 중심이라 직접 패킷을 버리지는 않는다.
2
Inline gateway
IPS
firewall
흐름 중간에서 drop, reset, shun을 수행한다. 오탐이면 정상 연결이 끊기므로 fail-open 정책까지 설계한다.
3
HTTP edge
WAF
bot/rate
TLS 종료 뒤 URL, header, cookie, body, API 스키마를 검사한다. block, challenge, rate limit을 적용한다.
4
Endpoint agent
EDR
process
프로세스 트리, 파일, 레지스트리, 메모리, 단말 네트워크 행위를 본다. 호스트 격리와 프로세스 종료가 가능하다.
5
Telemetry lake
SIEM
SOAR
센서, 클라우드, IAM, 앱 로그를 정규화하고 상관분석한다. 데이터 경로가 아니라 조사와 대응 워크플로의 중심이다.
IDS
패킷, flow, protocol decoder, signature, anomaly
Out-of-band 관측
SPAN/TAP 또는 호스트 이벤트를 받아 경보를 만든다.
알림 중심
직접 차단보다 티켓, webhook, firewall 연동이 흔하다.
초기 징후 포착
정찰, exploit signature, 비정상 프로토콜 사용을 찾는다.
alert fatigue
튜닝이 없으면 잡음이 많아 조사 우선순위가 흐려진다.
IPS
인라인 패킷, 세션 상태, L3-L7 protocol signature
흐름 중간
방화벽, 라우터, appliance, 클라우드 edge에 놓인다.
drop/reset
탐지 즉시 차단할 수 있어 패치 전 보호에 유용하다.
전파 억제
worm, exploit, C2 연결 같은 네트워크 행위를 빠르게 끊는다.
정상 트래픽 차단
오탐은 장애라 bypass, fail-open, 예외 관리가 필요하다.
WAF
HTTP method, path, query, header, cookie, body, API schema
L7 reverse proxy
CDN, ingress, app gateway에서 TLS 종료 후 내용을 검사한다.
block/challenge/rate
SQLi, XSS, bot, credential stuffing 패턴을 줄인다.
웹 문맥
일반 firewall보다 URL과 요청 본문을 세밀하게 본다.
비즈니스 로직 한계
권한 설계 오류, 정상형 남용, API 스키마 누락은 별도
점검이다.
SIEM
WAF, IDS, EDR, IAM, cloud, app, audit 로그
로그 경로
데이터 패킷을 통과시키는 장비가 아니라 수집과 분석
계층이다.
correlation
정규화, enrichment, 룰, risk score, case 생성으로
이어진다.
전체 그림
단일 센서가 놓친 IAM, 앱, endpoint 흔적을 연결한다.
garbage in, garbage out
필드 누락, 시간 오차, 자산 태깅 부재는 탐지를 망가뜨린다.
EDR
process, file, registry, memory, command line, local
network
호스트 내부
서버와 사용자 단말에서 실행 행위를 시간순으로 추적한다.
isolate/kill
네트워크 격리, 프로세스 종료, 파일 격리, 원격 조사가
가능하다.
침해 후 가시성
웹 요청 뒤 실행된 쉘, lateral movement, persistence를
본다.
DDoS 흡수 불가
호스트 밖 대량 트래픽은 CDN, ISP, edge 방어가 먼저 맡는다.
차단 장비는 정확도보다 영향 범위를 먼저 계산한다
IPS와 WAF의 오탐은 곧 장애다. 탐지 모드, 샘플링, 예외, rollback, fail-open 기준을 배포 계획에 포함한다.
HTTP 내용을 보려면 복호화 지점이 있어야 한다
WAF가 본문을 검사하려면 CDN, ingress, proxy에서 TLS가 종료되어야 한다. 개인정보와 인증서 신뢰 경계도 같이 검토한다.
SIEM은 센서가 아니라 사건을 묶는 작업대다
같은 IP, 사용자, 세션, 자산 태그, 시간 동기화가 맞아야 WAF 차단과 EDR 프로세스 이벤트를 하나의 사건으로 묶는다.
EDR 대응은 강력하지만 업무 중단 비용이 있다
서버 격리나 프로세스 종료는 확산을 막지만 배치 작업, 결제, 배포 파이프라인을 멈출 수 있어 승인 흐름이 필요하다.
한 장비로 모든 계층을 막는다는 약속은 위험한 단순화다
방어는 edge 흡수, 인라인 차단, HTTP 정책, 단말 대응, 로그 상관분석을 조합하는 일이다. 제품을 고르기 전에 어느 지점에서 무엇을 볼 수 있고, 무엇을 끊을 권한이 있으며, 오탐 때 어떤 사용자가 영향을 받는지를 먼저 그려야 한다.