○ 개요
웹 애플리케이션의 보안은 점점 더 중요해지고 있습니다. 특히 다양한 웹 공격 기법이 날로 고도화되면서 기존의 방화벽만으로는 충분한 보호가 어렵습니다. 이때 등장하는 것이 바로 WAF(Web Application Firewall)입니다. 이번 포스트에서는 WAF의 정의부터 동작 방식, 관련 개념, 도입 시 고려사항까지 자세히 정리해보겠습니다.
○ WAF(Web Application Firewall)란?
**WAF(Web Application Firewall)**는 웹 애플리케이션을 보호하기 위한 보안 장치 또는 서비스로, HTTP/HTTPS 트래픽을 분석하여 악의적인 요청을 차단하는 역할을 합니다.
기존의 네트워크 방화벽이 IP, 포트, 프로토콜 수준에서 트래픽을 제어하는 반면, **WAF는 애플리케이션 계층(OSI 7계층 중 7계층)**에서 동작하여 SQL Injection, XSS, 파일 업로드 취약점 등 웹 기반 공격을 탐지하고 차단합니다.
○ WAF의 주요 기능
- 공격 탐지 및 차단
- SQL Injection, XSS, CSRF, Command Injection 등 다양한 웹 공격 탐지
- OWASP Top 10 위협 요소 대응
- 트래픽 필터링 및 정책 설정
- 사용자 정의 규칙을 통한 정밀 제어
- IP 블랙리스트/화이트리스트 관리
- 실시간 모니터링 및 로깅
- 웹 요청/응답 로그 수집 및 분석
- 이상 트래픽에 대한 알림 기능
- 봇 및 DDoS 대응
- 비정상적인 반복 요청 차단
- CAPTCHA나 Rate Limit 적용
○ WAF와 관련된 개념
| 용어 | 설명 |
| 방화벽(Firewall) | 네트워크 수준에서의 접근 제어. IP, 포트, 프로토콜 기준으로 필터링. |
| IPS/IDS | 침입 방지/탐지 시스템. 전체 네트워크 흐름 중 의심스러운 활동 감지 및 차단. |
| WAF | 웹 애플리케이션 레벨에서 공격을 탐지하고 방어. 콘텐츠 기반 필터링 수행. |
| 리버스 프록시 | WAF는 일반적으로 리버스 프록시 형태로 배치되어 모든 요청을 중계하고 검사함. |
| 시그니처 기반 | 미리 정의된 공격 패턴(시그니처)을 기반으로 탐지. |
| 행위 기반(Behavioral) | 정상과 비정상 요청의 패턴을 학습하여 이상 탐지. AI 기반 기능도 여기에 해당. |
○ WAF의 동작 방식
- 사용자의 요청이 WAF에 도달
- WAF가 HTTP 헤더, URI, 요청 본문 등을 검사
- 악의적인 요소가 탐지되면 요청 차단 또는 수정
- 정상이면 웹 서버에 요청 전달
필요에 따라 SSL 종료(TLS Termination)를 WAF에서 수행하기도 하며, 이 경우 암호화된 트래픽도 분석 가능합니다.
○ WAF의 유형
- 네트워크 기반(Network-based)
- 하드웨어 형태, 빠른 처리 속도
- 설치 및 유지비용 높음
- 호스트 기반(Host-based)
- 웹 서버에 직접 설치, 세밀한 설정 가능
- 서버 성능에 영향
- 클라우드 기반(Cloud-based)
- 설치 없이 빠른 구축 가능
- 운영 및 유지가 간편, 대표 서비스: Cloudflare, AWS WAF, Azure WAF 등
○ WAF 도입 시 고려사항
- 보호 대상 웹 서비스의 구조 파악
- 실시간 대응 능력과 오탐/과탐률 확인
- 정책 자동화 및 업데이트 주기
- 기존 인프라와의 호환성
- 클라우드 환경 지원 여부
○ 주요 WAF(Web Application Firewall) 제품 비교
WAF는 다양한 환경과 요구사항에 맞춰 여러 형태로 제공됩니다. 대표적인 WAF 솔루션을 비교하여 도입 시 참고할 수 있도록 정리해보았습니다.
1. 클라우드 기반 WAF
| 제품명 | 제공사 | 주요 특징 | 장점 | 단점 |
| AWS WAF | Amazon Web Services | AWS 리소스에 통합된 관리형 WAF | 높은 확장성, 세분화된 규칙 설정 | AWS 내 자원에 종속적 |
| Azure WAF | Microsoft Azure | Azure Application Gateway 및 Front Door와 연동 | 자동 스케일링, MS 서비스와 연동 용이 | 복잡한 설정, 가격 |
| Cloudflare WAF | Cloudflare | 글로벌 CDN 및 보안 서비스 통합 | 간편한 설정, 봇 차단 및 DDoS 방어 | 고급 기능은 유료 플랜 필요 |
| Google Cloud Armor | Google Cloud | GCP 인프라용 관리형 보안 서비스 | DDoS 대응 우수, Google 연계 | 설정 난이도 있음 |
| Akamai Kona Site Defender | Akamai | 글로벌 콘텐츠 전송망 기반의 고성능 WAF | 대규모 트래픽 대응 우수 | 가격이 비쌈, 엔터프라이즈 중심 |
2. 온프레미스 / 하드웨어 기반 WAF
| 제품명 | 제공사 | 주요 특징 | 장점 | 단점 |
| F5 BIG-IP ASM (Advanced WAF) | F5 Networks | 하드웨어 기반 고성능 WAF, L7 로드밸런싱 겸용 | 세밀한 보안 설정, 커스터마이징 가능 | 고가의 라이선스, 복잡한 설정 |
| Imperva SecureSphere | Imperva | 데이터 및 애플리케이션 보안 특화 | 고급 정책 설정, 분석 기능 풍부 | 유지보수 및 운용 부담 큼 |
| FortiWeb | Fortinet | UTM과 통합 가능한 WAF | 가격 대비 기능 우수, 보안 기능 다양 | UI와 정책 설정이 다소 복잡 |
| Barracuda WAF | Barracuda Networks | 중소기업 대상의 유연한 WAF | 쉬운 관리, 다양한 배포 옵션 | 대규모 환경에서는 한계 있음 |
3. 오픈소스 / 무료 WAF
| 제품명 | 특징 | 장점 | 단점 |
| ModSecurity (with Apache/Nginx) |
오픈소스 WAF 모듈, OWASP Core Rule Set(CRS) 사용 | 무료, 커스터마이징 가능 | 설정 복잡, 유지 보수 필요 |
| NAXSI | Nginx 기반의 가벼운 WAF | 경량화, 설치 쉬움 | 기능 제한, rule tuning 필요 |
| OpenResty + Lua WAF | 고성능 Nginx 확장으로 자체 WAF 구성 | 유연성 최고, Lua 기반 스크립팅 | 보안 전문 지식 필요 |
4. 어떤 WAF를 선택해야 할까?
| 조건추천 | WAF |
| 빠르게 적용 가능한 SaaS형 솔루션 | Cloudflare WAF, AWS WAF |
| 엔터프라이즈급 고성능 보안 | F5 BIG-IP, Imperva, Akamai |
| 중소기업 또는 예산 제한 있는 환경 | Barracuda, FortiWeb, ModSecurity |
| 오픈소스 커스터마이징이 가능한 유연한 WAF | ModSecurity, NAXSI, OpenResty |
○ 마무리
웹 공격은 하루가 다르게 진화하고 있으며, 모든 웹 서비스는 보안 위협에 노출되어 있습니다. WAF는 웹 애플리케이션을 보호하는 가장 핵심적인 보안 장치 중 하나로, 적절히 도입하고 운영하면 많은 공격을 미연에 방지할 수 있습니다.
보안에 ‘완벽’은 없지만, WAF는 보안 수준을 한층 높여주는 필수 도구입니다. 보안의 시작은 ‘예방’이라는 점, 잊지 마세요!
'개념 정리 > IT 인프라' 카테고리의 다른 글
| [IT 용어] 벤더 종속성(Vendor Lock-in) (1) | 2025.06.12 |
|---|---|
| [IT 용어] 사이드카(Sidecar) 패턴 (0) | 2025.06.12 |
| [IT 개념] IT 인프라 확장 방식 : Scale Up(수직 확장) / Scale Out(수평 확장) (3) | 2025.06.11 |
| [IT 용어] UART(Universal Asynchronous Receiver/Transmitter) 통신 (0) | 2025.06.07 |
| [IT 용어] 단일 지점 장애 (SPOF: Single Point of Failure) (6) | 2025.06.07 |