(시즌1-1) 방화벽·IPS·DDoS·WAF, 뭐가 다른가? 나라장터(MAS) 구매까지 한 번에 보는 공공기관 실무 가이드

안녕하세요 보쌈입니다.

보안장비 도입 검토를 하다 보면 기술 담당자는 장비 기능을 보고, 계약 담당자는 구매 절차를 먼저 본다.
문제는 이 둘이 따로 놀 때다.

• 기술팀은 “방화벽 말고 IPS도 필요하다”고 하고
• 구매 담당은 “그런데 이건 나라장터에서 바로 살 수 있나, 2단계 경쟁인가?”를 묻는다.

공공기관 입장에서는 기술 타당성과 조달 방식 적합성이 동시에 맞아야 한다.

그래서 이번 글은 단순 비교가 아니라, 방화벽·IPS·DDoS·WAF의 차이와 함께 MAS 2단계 경쟁, 5천만원 기준, 조기집행 포인트까지 같이 정리해본다.

1. 장비부터 구분하자: 무엇을 막는 장비인가

1) 방화벽(Firewall)

방화벽은 네트워크 경계에서 접근을 허용할지 차단할지 결정하는 기본 장비다.
누가, 어디서, 어느 IP/포트/프로토콜로 들어오는지 보고 정책대로 통제한다. NIST도 방화벽을 네트워크 경계에서 정책을 적용하는 보안 통제로 설명한다.
공공기관 관점에서는 다음 용도로 가장 먼저 검토된다.
• 인터넷망 ↔ 내부망 경계 통제
• 업무망 ↔ 서버망 구간 분리
• 외부 연계 시스템 접근 제한
• 최소권한 기반 정책 운영
즉, 방화벽은 “기본 통제”의 출발점이다.

2) IPS

IPS는 공격 징후를 탐지하고, 필요 시 차단까지 수행하는 장비다.
방화벽이 “통행 허가”를 관리한다면, IPS는 허가된 길로 들어오는 악성 행위를 잡는 역할에 가깝다. NIST는 IPS를 침입을 식별하고 대응·차단하는 시스템으로 정의한다.
예를 들면 이런 경우다.
• 취약점 공격 패턴 탐지
• 비정상 스캔/익스플로잇 차단
• 알려진 공격 시그니처 기반 방어
공공기관에서는 특히 대외 연계 구간, 민원/행정 서비스 앞단, 내부 중요 서버 보호 구간에서 검토 가치가 높다.

3) DDoS 대응 장비/서비스

DDoS는 해킹처럼 “침투”가 목적이 아니라, 서비스를 마비시키는 것이 목적이다.
즉, 대량 트래픽으로 회선이나 장비 자원을 먼저 소진시킨다. CISA는 DDoS 대응에서 방화벽·IDS/IPS 같은 기존 통제만으로는 한계가 있을 수 있고, 전용 완화 체계가 중요하다고 안내한다.
공공기관에서 DDoS 대응은 다음과 맞닿아 있다.
• 홈페이지 마비 방지
• 대민 서비스 가용성 확보
• 예산집행·민원처리 시스템의 중단 리스크 최소화
즉, DDoS는 “정보유출 방지”보다 “업무중단 방지” 관점에서 봐야 한다.

4) WAF(Web Application Firewall)

WAF는 웹 서비스 전용 방어 장비다.
방화벽이 IP/포트 위주로 본다면, WAF는 HTTP/HTTPS 요청 내용을 보고 웹 공격을 막는다. OWASP는 WAF를 웹 애플리케이션에 대한 HTTP 요청/응답을 필터링·모니터링·차단하는 보안 통제로 설명한다.
대표 방어 대상은:
• SQL Injection
• XSS
• 비정상 URL 접근
• 특정 파라미터 기반 공격
공공기관이라면 대표 홈페이지, 민원포털, 예약 시스템, 전자행정 웹서비스가 있으면 WAF 검토가 자연스럽다.

2. 공공기관에서 자주 나오는 질문

“방화벽만 사면 안 되나요?”
안 되는 경우가 많다.
이유는 장비마다 막는 지점이 다르기 때문이다.
• 방화벽: 네트워크 경계 통제
• IPS: 침입 시도 탐지/차단
• DDoS: 서비스 마비 공격 대응
• WAF: 웹 공격 방어
즉, 이 장비들은 대체재가 아니라 역할이 다른 조합재다.
예산이 제한되더라도 “무조건 방화벽 1대”가 아니라, 운영 서비스 성격에 따라 조합 우선순위를 잡아야 한다.
3. 나라장터(MAS) 구매 관점에서 꼭 알아야 할 기준
이제 공무원·계약 담당자가 가장 궁금해하는 부분이다.

1) MAS 2단계 경쟁이 걸리는 기준

조달청의 2단계 경쟁 안내에 따르면, 수요기관의 1회 납품요구대상 구매예산이 아래 기준에 해당하면 2단계 경쟁을 실시한다.
• 일반 제품: 5천만원 이상
• 중소기업자간 경쟁제품: 1억원 이상
• 다만 중소기업 제조품목은 5천만원 이상 1억원 미만 구간에서 선택 적용 가능
즉, 보안장비를 MAS로 구매할 때도
일반 제품 기준으로 1회 구매예산이 5천만원 이상이면 2단계 경쟁 검토가 들어간다고 보면 된다.

2) “5천만원 이하”의 실무 의미

실무적으로는 이렇게 이해하면 된다.
• 일반 제품 기준 5천만원 미만: 통상 MAS 2단계 경쟁 대상이 아님
• 5천만원 이상: 2단계 경쟁 검토 구간
• 5억원 이상: 제안공고 절차까지 포함되는 구간
다만 이 기준은 세부품명, 중소기업자간 경쟁 여부, 예외 규정에 따라 달라질 수 있으니, 실제 집행 전에는 해당 품목의 최신 공고와 행정규칙을 반드시 확인해야 한다. 2026년 1월에도 조달청은 MAS 관련 행정규칙을 개정해 운영기준을 손봤다.

3) MAS 2단계 경쟁에서 무엇을 보나

조달청 안내상 2단계 경쟁은 단순 최저가만 보는 구조가 아니라,
가격 + 납기 + 실적 + 사후관리 등을 반영하는 종합평가 방식이 가능하다.
이게 보안장비 구매에서 중요한 이유는 분명하다.
보안장비는 단순 물품이 아니라:
• 설치 난이도
• 정책 초기 세팅
• 장애 대응
• 유지보수 품질
• 납품 후 기술지원
이 실사용 만족도를 크게 좌우하기 때문이다.
즉, 공공기관은 보안장비를 살 때 “가격만” 보면 안 되고, 2단계 경쟁에서 기술지원·사후관리 평가항목을 적극 반영하는 게 좋다. 이는 2단계 경쟁 제도의 취지와도 맞다.

4. 공무원 실무 관점 구매 포인트

장비별로 이렇게 판단하면 편하다

1) 방화벽 구매 포인트
• 내부망/외부망 경계 통제 목적이 분명한가
• 정책 수가 늘어나도 운영 가능한가
• 로그 조회와 정책 변경 이력이 관리되는가
• 향후 IPS/WAF 연계가 가능한가
구매 포인트:
“기본 통제장비”인 만큼 가장 먼저 검토하되, 단순 포트 차단 장비가 아니라 정책 운영성과 가시성을 함께 봐야 한다.

2) IPS 구매 포인트
• 대외 노출 서비스가 있는가
• 취약점 공격 차단 니즈가 있는가
• 오탐 튜닝 및 예외정책 운영이 가능한가
• 방화벽만으로는 탐지 깊이가 부족한가
구매 포인트:
기관 특성상 보안담당 인력이 많지 않다면, 초기 튜닝 지원·운영지원 체계가 중요하다.
IPS는 성능 수치보다 운영 난이도가 실제 만족도를 좌우한다.

3) DDoS 구매 포인트
• 기관 홈페이지/민원창구가 대민서비스 핵심인가
• 서비스 중단 시 민원·감사 리스크가 큰가
• 회선 차단 전 단계에서 대응 가능한 체계가 있는가
• 통신사/클라우드 연계형 완화가 가능한가
구매 포인트:
DDoS는 “있으면 좋은 장비”가 아니라, 서비스 중단 시 피해가 큰 기관에서는 사실상 가용성 보험에 가깝다.

4) WAF 구매 포인트
• 웹서비스 비중이 높은가
• 개인정보/민원 입력 페이지가 있는가
• HTTPS 기반 서비스가 주력인가
• 웹 취약점 대응 책임이 큰가
구매 포인트:
홈페이지가 아니라 업무 시스템 웹화가 많은 기관일수록 WAF 우선순위가 높아진다.

5. 조기집행 관점에서의 보안장비 구매 전략

조달청은 매년 상반기 신속집행(조기집행)을 주요 정책으로 운영해 왔고, 2024년 업무계획에서는 상반기 중 조달계약의 65%를 신속집행하고, 이를 위해 조달수수료를 최대 15%까지 인하한다고 밝혔다.
이 흐름은 공공기관 보안장비 구매에도 의미가 있다.
조기집행 때 유리한 점
• 상반기 예산 집행 명분 확보
• 조달수수료 등 인센티브 가능성 검토
• 연내 장애 대응/구축 완료 가능성 상승
• 하반기 몰림으로 인한 납기 지연 리스크 완화
조기집행 때 주의할 점
• 급하게 사느라 장비 역할 구분 없이 한 번에 묶지 말 것
• “방화벽+IPS+WAF”를 무조건 패키지로 보기보다, 기관 서비스 구조에 맞는 우선순위를 정할 것
• 2단계 경쟁 대상 여부를 먼저 확인해 일정 지연을 줄일 것
실무 팁:
조기집행 시즌에는 “빨리 사는 것”보다 사전에 규격 정리와 평가항목 설정을 끝내는 것이 더 중요하다.
보안장비는 규격이 모호하면 2단계 경쟁 단계에서 오히려 시간이 더 걸린다.

6. 공공기관용 한 줄 정리

• 방화벽은 기본 통제장비
• IPS는 침입 시도 대응 강화
• DDoS는 대민 서비스 가용성 보호
• WAF는 웹서비스 공격 방어
• 일반 제품 기준 MAS 5천만원 이상이면 2단계 경쟁 검토
• 5천만원 미만이면 통상 2단계 경쟁 비대상 구간으로 보되, 품목별 예외 확인 필수
결국 공공기관 보안장비 구매는

무슨 장비가 좋은가”보다 “우리 기관에 어떤 보안 목적이 있고, 그 장비를 어떤 절차로 가장 합리적으로 구매할 것인가”가 핵심이다.