WAF편집자 확인

WAF의 가장 핵심적인 기능은 악의적인 웹 트래픽을 식별하고 차단하여 웹 애플리케이션을 보호하는 것이다. 이는 OSI 모델의 애플리케이션 계층(7계층)에서 작동하여, 전통적인 방화벽이나 침입 탐지 시스템(IDS)이 탐지하기 어려운 애플리케이션 수준의 공격을 방어한다. WAF는 사전에 정의된 보안 정책에 따라 들어오고 나가는 HTTP/HTTPS 트래픽을 실시간으로 검사한다.

차단하는 공격의 주요 유형은 다음과 같다.

이러한 공격을 차단하기 위해 WAF는 여러 메커니즘을 사용한다. 정적 분석을 통해 알려진 공격 패턴(시그니처)을 탐지하거나, 사전 정의된 규칙(정책)에 따라 특정 패턴이나 시퀀스의 요청을 차단한다. 또한, 정상적인 사용자 행동 패턴을 학습하여 이를 벗어나는 이상 행위를 탐지하는 동적 분석 방식도 활용한다. 이를 통해 애플리케이션의 실제 소스 코드를 즉시 수정하지 않고도 외부에서 위협을 차단하는 가상 패치를 제공하는 효과를 낸다.

가상 패치 적용은 WAF의 핵심 기능 중 하나로, 실제 애플리케이션 소스 코드를 수정하지 않고도 취약점에 대한 임시 방어 조치를 제공하는 것을 의미한다. 이는 제로데이 공격이나 알려진 취약점에 대한 공식 패치가 개발 및 배포되기까지의 시간적 간극을 메우는 데 매우 효과적이다. 시스템 관리자는 WAF 관리 콘솔에서 새로운 보안 규칙을 정의하여, 특정 취약점을 악용하는 패턴의 트래픽을 차단함으로써 가상 패치를 신속하게 배포할 수 있다.

가상 패치의 적용 과정은 일반적으로 다음과 같은 단계로 이루어진다. 먼저, 새로운 웹 취약점이 공개되거나 내부적으로 발견된다. 그다음, 해당 취약점을 악용하는 공격의 패턴(예: 특정 매개변수에 포함된 악성 문자열)을 분석하여 WAF용 탐지 규칙(시그니처)을 생성한다. 마지막으로 이 규칙을 WAF 정책에 추가하여 모든 들어오는 트래픽에 실시간으로 적용한다. 이렇게 하면 애플리케이션 서버를 재시작하거나 복잡한 배포 절차를 거칠 필요 없이 즉시 보호가 가능해진다.

그러나 가상 패치는 근본적인 해결책이 아닌 임시 조치라는 점을 인지해야 한다. WAF를 통한 필터링은 공격 트래픽을 차단할 뿐, 애플리케이션 자체의 결함을 제거하지는 않는다. 따라서 가상 패치는 실제 코드 수정을 통한 영구적인 패치가 적용될 때까지의 시간을 벌어주는 컨테인먼트 전략으로 사용되어야 한다. 장기적으로는 WAF의 가상 패치에 의존하기보다는 정기적인 보안 코드 리뷰와 취약점 점검을 통해 애플리케이션의 소스 코드 자체를 안전하게 만드는 것이 최선의 방법이다.

WAF는 웹 애플리케이션으로 유입 및 유출되는 모든 HTTP/HTTPS 트래픽을 실시간으로 관찰하고 기록하는 트래픽 모니터링 및 로깅 기능을 제공한다. 이는 단순한 공격 차단을 넘어, 애플리케이션의 보안 상태와 사용 패턴을 가시화하는 핵심 역할을 한다. 시스템 관리자나 보안 담당자는 이를 통해 정상적인 트래픽 흐름을 이해하고, 이상 징후를 조기에 발견하며, 보안 사고 발생 시 원인 분석과 대응을 수행할 수 있다.

모니터링 기능은 일반적으로 대시보드를 통해 실시간 트래픽 양, 지리적 출처, 요청 유형(GET, POST 등), 응답 코드, 트래픽 대역폭 사용량 등의 지표를 시각적으로 제공한다. 또한, WAF는 의심스러운 모든 요청과 차단된 공격 시도를 상세히 기록한다. 로그에는 공격 유형(SQL 인젝션, XSS 등), 공격을 시도한 IP 주소, 타임스탬프, 요청 헤더와 페이로드, 적용된 보안 정책 이름 등이 포함된다.

이러한 상세한 로그는 단기적으로는 실시간 위협 대응에, 장기적으로는 보안 정책을 세밀하게 튜닝하고 규정 준수 요건을 충족하는 감사 증거를 마련하는 데 활용된다. 예를 들어, 특정 IP에서 반복적으로 발생하는 스캔 시도를 로그를 통해 확인하고, 해당 IP를 차단 목록에 추가하는 정책을 수립할 수 있다. 또한, 로그 데이터는 보안 정보 및 이벤트 관리(SIEM) 시스템과 연동되어 더 넓은 보안 인프라의 상황 인식 능력을 강화한다.

정책 기반 필터링은 WAF가 사전에 정의된 규칙 집합, 즉 정책에 따라 HTTP/HTTPS 트래픽을 허용하거나 차단하는 가장 기본적인 작동 방식이다. 이 정책은 보안 관리자가 구성하며, 특정 조건을 만족하는 요청이나 응답에 대해 특정 동작을 수행하도록 설정된다. 정책은 일반적으로 IP 주소, URL, HTTP 헤더, 쿼리 문자열 매개변수, POST 데이터 페이로드 등 다양한 요청 요소를 기반으로 구성된다. 예를 들어, 특정 IP 주소 범위에서 오는 트래픽을 차단하거나, 관리자 페이지(/admin/*)에 대한 접근을 특정 지리적 위치로 제한하는 규칙을 설정할 수 있다.

정책의 조건과 동작은 보통 규칙 엔진을 통해 처리된다. 일반적인 정책 규칙의 구조는 "만약(IF) 특정 조건이 충족되면(THEN) 지정된 동작을 수행한다"는 논리로 이루어진다. 조건은 단일 요소일 수도 있고, 여러 요소를 조합한 복합 조건일 수도 있다. 수행 가능한 동작에는 요청 허용, 차단, 로깅, 캡차 요청 발행, 사용자 정의 오류 페이지 반환 등이 포함된다. 이 방식은 관리자가 애플리케이션의 보안 요구사항과 비즈니스 로직에 맞춰 세밀한 접근 제어를 설계할 수 있게 해준다.

정책 기반 필터링의 효과성은 정책 규칙의 정확성과 포괄성에 크게 의존한다. 잘 구성된 정책은 명확한 위협을 효과적으로 차단할 수 있지만, 지나치게 제한적인 정책은 정상적인 사용자 트래픽을 차단하는 오탐을 유발할 수 있다. 반대로 너무 관대한 정책은 보안 허점을 남길 수 있다. 따라서 정책은 지속적인 모니터링과 튜닝을 통해 애플리케이션의 변화와 새로운 위협에 맞게 조정되어야 한다. 이 방식은 시그니처 기반 탐지나 행위 기반 분석과 같은 다른 탐지 기법의 기반이 되거나, 이들과 결합되어 사용되는 경우가 많다.

시그니처 기반 탐지는 WAF가 사전에 정의된 공격 패턴 데이터베이스를 활용하여 악성 트래픽을 식별하고 차단하는 가장 일반적인 작동 방식이다. 이 데이터베이스는 알려진 SQL 인젝션, 크로스 사이트 스크립팅(XSS), 파일 포함 취약점 등 다양한 웹 공격의 고유한 패턴이나 문자열인 '시그니처'로 구성된다. WAF는 들어오는 모든 HTTP/HTTPS 요청을 이러한 시그니처와 비교하여 일치하는 패턴이 발견되면 해당 요청을 차단하거나 기록한다.

시그니처는 주로 보안 벤더나 오픈 소스 커뮤니티에 의해 지속적으로 업데이트되며, 일반적인 공격 기법과 최신 취약점을 반영한다. 관리자는 특정 애플리케이션 환경에 맞게 시그니처를 활성화, 비활성화 또는 사용자 정의 규칙으로 조정할 수 있다. 이 방식은 알려진 공격에 대해서는 높은 정확도로 차단이 가능하다는 장점이 있다.

그러나 시그니처 기반 탐지는 본질적으로 '알려진' 공격만을 탐지할 수 있다는 한계를 가진다. 제로데이 공격이나 시그니처 데이터베이스에 등록되지 않은 변종 공격, 정상적인 트래픽을 위장한 공격에는 효과적이지 않을 수 있다. 또한, 지나치게 엄격한 시그니처 정책은 정상적인 사용자의 요청까지 차단하는 오탐(False Positive)을 발생시킬 수 있다. 따라서 현대의 WAF는 시그니처 기반 탐지와 행위 기반 분석 또는 머신 러닝을 결합하여 보다 포괄적인 보안을 제공하는 방향으로 발전하고 있다.

행위 기반 분석은 사전 정의된 시그니처나 정책에 의존하지 않고, 애플리케이션의 정상적인 사용 패턴을 학습하여 이를 벗어나는 이상 행위를 탐지하는 방식이다. 이 방식은 기계 학습과 정상 프로파일링 기술을 활용하여 동적으로 기준을 설정한다. 초기 학습 단계에서 WAF는 애플리케이션으로 유입되는 일반적인 트래픽 패턴, 사용자 세션의 흐름, 매개변수 입력값의 길이와 유형 등을 분석하여 기준선을 수립한다.

학습이 완료된 후, 실시간 트래픽은 이 기준선과 지속적으로 비교된다. 정상 범위를 벗어나는 행위, 예를 들어 갑작스러운 대량의 요청 발생, 비정상적인 지리적 위치에서의 접근, 일반적인 사용자 흐름과는 완전히 다른 순서로 페이지를 요청하는 행위 등이 의심스러운 활동으로 간주된다. 이러한 접근법은 알려지지 않은 제로데이 공격이나 정교하게 변형된 공격을 탐지하는 데 효과적일 수 있다.

행위 기반 분석의 효과는 정확한 기준선 설정에 크게 의존한다. 학습 기간 중 악성 트래픽이 포함되면 오탐 또는 정상 트래픽의 거부로 이어질 수 있다. 반대로, 애플리케이션의 기능이 크게 변경되면 기준선을 재학습해야 할 필요가 생긴다. 또한, 이 방식은 일반적으로 시그니처 기반 탐지보다 더 많은 계산 자원을 필요로 한다.

네트워크 기반 WAF는 하드웨어 어플라이언스 또는 가상 머신 형태로, 기업의 데이터 센터 내부 네트워크 경계에 배치되는 방식입니다. 일반적으로 로드 밸런서나 방화벽 뒤, 웹 서버 앞에 위치하여 모든 인바운드 트래픽과 아웃바운드 트래픽을 검사합니다. 이 모델은 온프레미스 인프라를 완전히 통제할 수 있는 환경에 적합합니다.

이 배포 방식의 주요 특징은 물리적 또는 논리적인 네트워크 구간에 설치되어 트래픽을 경유한다는 점입니다. 따라서 보호 대상이 되는 모든 웹 애플리케이션 서버에 에이전트를 설치할 필요가 없으며, 중앙 집중식으로 정책을 관리하고 트래픽을 모니터링할 수 있습니다. 네트워크 성능에 미치는 영향을 최소화하기 위해 고성능의 전용 장비를 사용하는 경우가 많습니다.

단점으로는 초기 도입 비용과 유지보수 부담이 상대적으로 크다는 점이 있습니다. 하드웨어 확장이나 소프트웨어 업데이트를 직접 관리해야 하며, 급증하는 트래픽에 대응하기 위한 확장성이 클라우드 기반 WAF에 비해 제한적일 수 있습니다. 또한, 지리적 분산 환경이나 하이브리드 클라우드 환경에서는 모든 트래픽을 중앙 데이터 센터로 유인해야 하므로 효율성이 떨어질 수 있습니다.

호스트 기반 WAF는 웹 애플리케이션이 실행되는 서버 자체에 에이전트나 모듈 형태로 설치되어 작동하는 WAF 배포 모델이다. 애플리케이션 서버의 운영 체제나 웹 서버 소프트웨어에 통합되어, 애플리케이션 계층의 트래픽을 직접 필터링한다. 이 방식은 서버 내부의 트래픽을 분석하기 때문에 네트워크 경로상의 장비에 배포하는 방식보다 더 정교한 컨텍스트 분석이 가능하다는 특징을 가진다.

주요 구현 방식은 웹 서버의 모듈(예: Apache의 mod_security, Nginx의 ngx_http_waf_module)로 설치되거나, 서버 운영 체제에 설치되는 에이전트 형태이다. 배포 및 관리 측면에서는 각 서버 인스턴스마다 별도로 설치와 설정, 업데이트를 수행해야 하므로, 서버 대수가 많을 경우 관리 부담이 증가할 수 있다. 그러나 이 방식은 서버 내부의 세션 정보나 애플리케이션 특정 변수에 직접 접근할 수 있어, 공격 판단의 정확도를 높일 수 있다.

호스트 기반 WAF의 장점과 단점은 다음과 같이 정리할 수 있다.

이 모델은 클라우드 환경의 가상 머신이나 전통적인 물리 서버 환경에서 주로 사용되며, 특히 애플리케이션의 세부적인 보안 정책을 적용해야 하거나, 엔드투엔드 암호화 구간에서도 검사를 필요로 하는 경우에 적합하다.

클라우드 기반 WAF는 SaaS 형태로 제공되며, 사용자의 웹 애플리케이션 트래픽이 공급자의 클라우드 인프라를 경유하도록 DNS 레코드를 변경하거나 프록시 설정을 적용하여 배포합니다. 이 모델은 하드웨어나 소프트웨어를 직접 구매하거나 관리할 필요가 없어 빠르고 간편한 도입이 가능합니다. 공급자는 전 세계에 분산된 PoP를 통해 트래픽을 수신, 분석, 필터링한 후 깨끗한 트래픽만 사용자의 원본 서버로 전달합니다.

이 배포 방식은 확장성과 관리 편의성에서 큰 장점을 가집니다. 트래픽 양에 따라 자동으로 확장되며, 제로데이 공격에 대한 시그니처 업데이트, 정책 관리, 인프라 유지보수 등 모든 운영 부담이 공급자 측으로 이전됩니다. 사용자는 웹 기반의 관리 콘솔을 통해 정책을 구성하고 보안 이벤트를 모니터링합니다. 특히 글로벌 서비스를 운영하는 경우, 지리적으로 분산된 PoP를 활용하여 레이턴시를 최소화하면서도 일관된 보안 정책을 적용할 수 있습니다.

다만, 모든 트래픽이 외부 네트워크를 경유해야 하므로, 공급자의 인프라 성능과 가용성이 서비스 품질을 결정하는 핵심 요소가 됩니다. 또한, 내부 네트워크 트래픽이나 인트라넷 애플리케이션을 보호하기에는 적합하지 않을 수 있습니다. 주요 클라우드 WAF 서비스로는 AWS WAF, Cloudflare, Akamai, Imperva 등이 있습니다.

SQL 인젝션은 웹 애플리케이션의 보안 취약점을 이용한 대표적인 공격 기법이다. 이 공격은 애플리케이션의 데이터베이스와 소통하는 SQL 쿼리에 악의적인 코드를 삽입하여 데이터베이스를 조작하는 것을 목표로 한다. 공격자는 로그인 폼, 검색창, URL 매개변수 등 사용자 입력을 받는 모든 경로를 통해 악성 SQL 코드를 주입할 수 있다. 성공적인 공격으로 인해 데이터베이스 내의 민감한 데이터(예: 개인정보, 금융정보, 거래 내역)가 유출, 변조 또는 삭제될 수 있으며, 경우에 따라 전체 데이터베이스 시스템에 대한 제어권을 획득하는 심각한 결과를 초래한다.

WAF는 SQL 인젝션 공격을 탐지하고 차단하기 위해 여러 계층의 방어 메커니즘을 적용한다. 가장 기본적인 방식은 시그니처 기반 탐지로, 'OR '1'='1'', 'UNION SELECT', 'DROP TABLE' 등 알려진 악성 SQL 패턴의 문자열이나 키워드를 실시간으로 검사하여 차단한다. 또한, 정책 기반 필터링을 통해 사용자 입력값에 허용된 문자 집합(화이트리스트)을 정의하거나, SQL 메타문자(예: 작은따옴표('), 세미콜론(;), 하이픈(--))를 필터링하는 규칙을 설정할 수 있다. 더 진화된 WAF는 행위 기반 분석을 통해 정상적인 사용자 쿼리 패턴과 비교하여 비정상적으로 긴 입력값이나 반복적인 실패 시도와 같은 이상 행위를 탐지한다.

SQL 인젝션 공격 유형과 WAF의 일반적인 대응 방식을 간략히 정리하면 다음과 같다.

WAF는 이러한 공격을 효과적으로 차단하는 핵심 장치이지만, 근본적인 방어를 위해서는 애플리케이션 개발 단계에서 매개변수화된 쿼리나 준비된 문장 사용, 최소 권한 원칙 적용 등의 안전한 코딩 관행이 반드시 병행되어야 한다. WAF는 주로 알려진 공격 패턴과 비정상 행위를 기반으로 방어하므로, 완전히 새로운 공격 기법(제로데이 공격)에는 취약할 수 있다는 점을 인지해야 한다.

크로스 사이트 스크립팅(XSS)은 WAF가 방어하는 가장 일반적이고 위험한 웹 공격 유형 중 하나이다. 이 공격은 공격자가 악성 스크립트 코드를 합법적인 웹사이트에 삽입하여, 해당 사이트를 방문하는 다른 사용자의 브라우저에서 실행되도록 하는 기법이다. 피해 사용자의 세션 쿠키, 로그인 정보, 기타 민감한 데이터를 탈취하거나, 악의적인 사이트로 리다이렉트시키는 데 악용된다.

XSS 공격은 주로 웹 애플리케이션이 사용자로부터 입력받은 데이터를 충분히 검증하거나 이스케이프 처리 없이 다시 웹 페이지에 출력할 때 발생한다. WAF는 이 공격을 탐지하고 차단하기 위해 여러 전략을 사용한다. 먼저, 시그니처 기반 탐지를 통해 <script>, javascript:, onerror= 등 알려진 악성 스크립트 패턴이나 위험한 HTML 속성이 요청에 포함되어 있는지 검사한다. 또한, 정책 기반 필터링을 설정하여 특정 문자 인코딩 방식의 우회 시도나 의심스러운 긴 문자열을 차단할 수 있다.

WAF의 XSS 방어는 공격 유형에 따라 대응 방식을 세분화한다. 저장형 XSS(공격 스크립트가 서버에 저장됨)와 반사형 XSS(공격 스크립트가 URL 등을 통해 즉시 반사됨)를 구분하여 탐지 규칙을 적용한다. 최신 WAF는 행위 기반 분석을 도입하여, 단순 패턴 매칭을 넘어서 정상적인 사용자 입력과 악성 입력을 구분하는 더 정교한 로직을 사용하기도 한다. 이를 통해 공격자가 기존 시그니처를 우회하기 위해 시도하는 변형 공격(예: 유니코드 변환, 코드 난독화)을 효과적으로 차단한다.

WAF는 XSS 공격으로부터 애플리케이션을 보호하는 핵심 장벽이지만, 근본적인 방어를 위해서는 웹 애플리케이션 개발 단계에서의 안전한 코딩 관행과 입력값 검증이 반드시 병행되어야 한다.

크로스 사이트 요청 위조(CSRF)는 인증된 사용자의 웹 브라우저를 통해 의도하지 않은 명령을 웹 애플리케이션에 전송하도록 유도하는 공격 기법이다. 공격자는 피해자가 로그인한 상태를 악용하여, 피해자의 권한으로 서버에 요청을 보내게 만든다. 이 공격의 핵심은 사용자의 인증 정보(예: 세션 쿠키)가 요청과 함께 자동으로 전송되는 웹의 동작 방식을 이용한다는 점이다. 사용자는 자신도 모르는 사이에 계정 설정 변경, 비밀번호 재설정, 금융 이체 등의 악의적인 작업을 수행하는 요청을 보내게 될 수 있다.

WAF는 CSRF 공격을 탐지하고 차단하기 위해 주로 요청 내에 존재하는 예측 불가능한 토큰, 즉 CSRF 토큰의 유효성을 검사한다. 일반적인 방어 메커니즘은 다음과 같다.

WAF는 애플리케이션 코드 수정 없이도 이러한 검증 정책을 적용할 수 있는 가상 패치 기능을 제공한다. 특히 레거시 시스템이나 패치 적용이 즉시 어려운 환경에서 CSRF 보호 계층을 신속하게 구축하는 데 유용하다. 그러나 WAF만으로 CSRF를 완벽히 방어하기는 어렵다. 애플리케이션 자체에서 CSRF 토큰을 구현하는 등 방어 메커니즘을 내재화하고, WAF는 이를 보완하는 추가적인 차단 수단으로 활용하는 것이 바람직하다.

WAF 도입의 가장 큰 장점은 웹 애플리케이션의 취약점을 악용하는 공격으로부터 신속하게 보호할 수 있다는 점이다. 애플리케이션 자체의 소스 코드를 수정하는 것은 시간과 비용이 많이 드는 작업이지만, WAF는 애플리케이션 앞단에서 필터링을 수행하여 SQL 인젝션이나 크로스 사이트 스크립팅과 같은 공격을 실시간으로 차단한다. 이를 통해 발견된 취약점에 대한 가상 패치를 빠르게 적용할 수 있어, 정식 패치가 나오기 전까지의 위험 기간을 최소화한다.

WAF는 애플리케이션 계층(OSI 7계층의 7계층)의 트래픽을 집중적으로 모니터링하고 분석한다. 이는 방화벽이나 침입 탐지 시스템이 주로 네트워크 및 전송 계층을 감시하는 것과 차별화되는 점이다. WAF는 HTTP/HTTPS 요청과 응답의 세부 내용(헤더, 본문, 쿠키 등)을 검사하여 비정상적인 패턴이나 악성 페이로드를 탐지한다. 이러한 심층적인 검사는 일반적인 네트워크 보안 장비로는 막기 어려운 애플리케이션 수준의 위협에 효과적으로 대응할 수 있게 한다.

규정 준수 측면에서도 WAF는 중요한 역할을 한다. PCI DSS와 같은 금융 데이터 보안 표준은 웹 애플리케이션 보안을 명시적으로 요구하며, WAF 도입은 이러한 규정을 충족시키는 실질적인 방법 중 하나로 인정받는다. 또한, WAF의 상세한 로그와 보고서 기능은 보안 사고 발생 시 포렌식 분석과 감사 추적에 유용한 자료를 제공한다.

마지막으로, WAF는 다양한 배포 유연성을 제공한다. 기존 인프라를 변경하지 않고 네트워크에 인라인으로 배치하거나, 클라우드 기반 서비스형 소프트웨어 형태로 간편하게 도입할 수 있다. 특히 클라우드 WAF는 초기 투자 비용을 절감하고 확장성이 뛰어나며, 제공업체가 지속적으로 시그니처와 정책을 업데이트해 주는 관리적 이점이 있다.

WAF는 웹 애플리케이션을 보호하는 유용한 도구이지만, 몇 가지 고유한 단점과 한계를 지니고 있다.

WAF는 주로 알려진 공격 패턴(시그니처)을 기반으로 탐지하므로, 새로운 유형의 제로데이 공격이나 정교한 변종 공격을 탐지하지 못할 수 있다. 또한, 잘못 구성된 정책은 정상적인 사용자 트래픽을 공격으로 오탐하여 차단할 수 있으며, 이는 거짓 긍정으로 인한 서비스 장애로 이어진다. 복잡한 애플리케이션의 모든 비즈니스 로직을 완벽하게 이해하기 어려워, 정상적인 트래픽과 악의적인 트래픽을 구분하는 데 한계가 존재한다.

WAF는 애플리케이션 계층(OSI 7계층의 7계층)에서 동작하는 외부 방어 수단으로, 근본적인 애플리케이션 코드의 취약점을 해결하지는 않는다. 따라서 WAF에만 의존하는 것은 '가상 패치'에 불과하며, SDL을 통한 안전한 코드 개발과 정기적인 보안 취약점 점검이 병행되어야 한다. 또한, WAF는 암호화된 SSL/TLS 트래픽을 검사하기 위해 복호화 과정이 필요하며, 이는 성능 부하를 유발하고 구성의 복잡성을 증가시킨다. 고성능 트래픽 환경에서는 지연 시간이 발생할 수 있고, 유지 관리와 정책 업데이트에 지속적인 관리 비용이 든다.