본문 바로가기
정보보안/Security Solution

[Security Solution] WAF(Web Application Firewall)

by Yoonsoo Park 2025. 1. 14.

1. WAF(Web Application Firewall)란?

 WAF(Web Application Firewall)는 웹 애플리케이션을 보호하기 위한 보안 솔루션이다. 주로 웹 애플리케이션에 대한 다양한 위협(SQL Injection, XSS, CSRF 등)에 대응하며, 웹 트래픽을 모니터링하고, 악의적인 요청을 차단하는 역할을 한다. WAF의 핵심은 공격을 탐지하고, 방어하는 것의 초점이 7계층(application layer)에 맞춰져 있다는 것이다. 

 

 

2. 네트워크 방화벽(Network Firewall)과의 차이는?

 기존의 방화벽(Legacy Firewall, Network firewall)은 TCP/IP를 기반으로 L3, L4 단에서 동작하며, 주로 IP 주소, 포트 번호, 프로토콜을 기반으로 트래픽을 제어하는 보안 솔루션이었다. 예를 들어 DoS(Denial of Service) 공격의 경우, 기존 방화벽이 L3, L4 단에서 트래픽을 분석하여, 비정상적인 패턴을 탐지 및 로깅하고, IP 주소를 기반으로 비정상적인 접근을 차단할 수 있었다. 하지만, 네트워크 방화벽은 SQL Injection, XSS와 같이 애플리케이션 계층(L7)에서 발생하는 공격에 효과적으로 대응하는데 한계가 있었다. 또한 HTTPS와 같이 암호화된 내용을 복호화할 수 없어 분석할 수 없다는 한계가 있었다. 

 

 이러한 한계를 극복하고, 웹 애플리케이션을 보호하기 위해 등장한 것이 WAF(Web Appliction Firewall)다. WAF는 L7 단에서 HTTP/HTTPS 요청을 분석하여 패턴 매칭, 시그니처 기반 탐지 등의 방법을 통해 웹 애플리케이션에 대한 비정상적인 접근을 탐지, 로깅, 제어를 수행한다. 

 

 

3. WAF의 동작 원리/방식

1) 웹 트래픽을 프록시한다

  • WAF의 핵심 기능으로, 클라이언트와 웹 서버 사이에서 리버스 프록시로 동작하여 모든 요청과 응답을 검사하고 제어할 수 있다

2) 허용/차단 규칙 기반 동작

  • 화이트리스트 방식: 허용된 것 빼고 모두 차단 => 일일이 모두 허용해줘야 하기 때문에 초기 설정이 복잡, 오탐 가능성이 있다(정상적인 것도 차단)
  • 블랙리스트 방식: 차단한 것 빼고 모두 허용 => 설정이 상대적으로 간단하지만, 제로데이 공격에 취약하다

3) 특정 위협 탐지 및 차단

  • WAF는 패턴 매칭, 시그니처 기반 탐지, 동적 분석 등을 통해 공격을 식별
    • 패턴 매칭: HTTP 요청에서 공격 패턴이나 악성 문자열 탐지
      • ex) SQLi : 'or'1'='1
    • 시그니처 기반 탐지: 알려진 공격 기법에 대한 시그니처(특정 데이터) 기반 탐지
      • ex) XSS: <script>
    • 동적 분석: 요청의 실제 동작을 분석하여 위협 여부 판단
      • ex) 클라이언트가 1초에 100개의 POST 요청을 보낼 경우 봇 공격으로 간주하고 차단

 

 

4. WAF의 구성 방식에 따른 분류

1) 네트워크 기반 WAF

  • 하드웨어 장비 형태로 네트워크 경계에 설치
  • 장: 고성능, 실시간 분석
  • 단: 비용이 높고, 유지보수가 어렵다
  • ex)  F5 BIG-IP, BarracudaWAF

2) 호스트 기반 WAF

  • 웹 서버 내부에 설치된 소프트웨어(모듈)로 동작, 모듈형 WAF라고도 함 
  • 장: 맞춤형 설정 가능, 비용 효율적
  • 단: 서버의 리소스를 소모하여 성능 저하를 일으킬 수 있음
  • ex) ModSecurity

3) 클라우드 기반 WAF

  • SaaS(클라우드 서비스) 형태로 제공되며, 별도의 하드웨어 설치 불필요 
  • 장: 설치가 간편, 유지보수가 필요없음
  • 단: 커스터마이징 제한
  • ex) AWS WAF, Cloudflare WAF

 

 

5. WAF의 장점과 한계

장점)

  • SQL Injection, XSS와 같은 웹 애플리케이셔에 대한 공격으로부터 보호할 수 있다
  • OWASP Top 10에서 정의된 대부분의 위협으로부터 방어가 가능하다
  • 보안 이벤트 모니터링 및 상세한 트래픽 로그를 제공하여 보안 분석에 유리하다

단점)

  • 제로데이 공격에 한계가 있을 수 있다 
  • 정상 요청을 위협으로 판단하여 차단하는 오탐/과탐의 가능성이 있다 => 가용성 저해
  • 대용량의 트래픽 처리 시 성능이 저하된다
  • 규칙 설계와 유지보수가 중요하기 때문에 설정 및 운영이 복잡하다

'정보보안 > Security Solution' 카테고리의 다른 글

[Security Solution] Barracuda WAF: Proxy Mode 구성  (0) 2025.01.15
[Security Solution] Barracuda WAF 설치 및 기본 세팅  (0) 2025.01.14

관련글

티스토리툴바