WAF (Web Application Firewall)

WAF (Web Application Firewall)

HTTP/HTTPS 트래픽을 검사하여 SQL Injection, XSS 등 웹 애플리케이션 계층(L7) 공격을 탐지하고 차단하는 특수 목적 방화벽

특징: HTTP/HTTPS 트래픽 전문 검사, OWASP Top 10 공격 대응, 가상패치 기능(패치 전 공격 차단)

구성요소: 규칙 세트(Rule Set): 탐지 패턴(ModSecurity Core Rule Set), 정책(Policy): 차단/모니터링/학습 모드, 로깅: 공격 시도 기록

기술요소: 시그니처 기반(패턴 매칭): 알려진 공격 탐지, 이상 탐지(행위 분석): 비정상 요청 식별, 봇 방어: 자동화 공격 차단, API 보호: REST/GraphQL 보호, Rate Limiting: 속도 제한

OWASP 공격 탐지 동작원리

• •요청 파싱: HTTP 메서드/URI/헤더/바디/쿠키를 구조적으로 분해
• •규칙 매칭: ModSecurity CRS(Core Rule Set) 기반 정규표현식 패턴 매칭
• •점수 기반 탐지(Anomaly Scoring): 각 규칙 매칭마다 점수 누적, 임계치 초과 시 차단
• •예: SQL 키워드(UNION/SELECT) 탐지 → +5점, 특수문자(' or --) → +3점, 합산 10점 초과 → 차단

오탐(False Positive) 관리

• •문제: 정상 요청을 공격으로 오인 → 서비스 장애 유발
• •튜닝 방법: 1) 모니터링 모드(탐지만)로 운영 후 로그 분석 → 2) 오탐 규칙 예외 처리(화이트리스트) → 3) 임계치 조정 → 4) 차단 모드 전환
• •규칙 세분화: URI별/파라미터별 예외 적용, 특정 IP 대역 화이트리스트
• •지표: 오탐률(FPR) 지속 모니터링, 주기적 규칙 리뷰

정상 트래픽 학습(Positive Security Model)

• •학습 모드: 일정 기간 정상 트래픽 패턴 수집(URL/파라미터/값 범위/메서드)
• •프로파일 생성: 정상 요청의 베이스라인 모델 자동 구축
• •이탈 탐지: 학습된 프로파일에서 벗어나는 요청을 이상으로 판단
• •장점: 알려지지 않은 공격(제로데이) 탐지 가능
• •단점: 학습 기간 필요, 애플리케이션 변경 시 재학습 필요

배포 방식: 인라인(Inline): 실시간 차단, 미러링: 모니터링만, 클라우드 WAF: CDN 연계(AWS WAF/Cloudflare)

적용사례: 웹 서비스 보호, API Gateway, 클라우드 WAF, 가상패치

비교: 네트워크 방화벽(L3/4/IP/포트) vs WAF(L7/HTTP/웹 공격) vs RASP(런타임/앱 내부 보호/에이전트)

연관: 웹 보안, OWASP Top 10, API 보안, 봇 방어