WAF란 무엇인가요? | 웹 애플리케이션 방화벽 설명

WAF 기술의 등장과 함께 OASIS 웹 애플리케이션 보안 기술 위원회(WAS TC)의 취약점 작업은 오픈 웹 애플리케이션 보안 프로젝트(OWASP)의 상위 10대 목록으로확장되었습니다. 수십 년이 지난 지금도 OWASP Top 10은 웹 애플리케이션 보안 규정 준수에 대한 업계 표준으로 자리 잡고 있습니다.

이 두 가지 개발, 즉 WAF와 OWASP Top 10을 통해 시스템을 손상시키고 리소스를 소비하며 데이터를 유출하려는 위협 행위자를 차단할 수 있는 방어 체계를 갖추게 되었습니다.

WAF: 중요한 보안 구성 요소

웹 애플리케이션에 대한 공격이 침해 사고의 주요 원인인 만큼 애플리케이션과 API를 보호하는 것은 애플리케이션 보안 엔지니어, 보안 아키텍트 및 정보 보안 전문가에게 가장 중요한 관심사였으며, 지금도 마찬가지입니다. 애플리케이션은 종종 OWASP 상위 10대 취약점과 함께 출시되기 때문에 웹 애플리케이션 보안 표준은 소프트웨어 개발 수명 주기(SDLC)에 통합되어야 합니다.

웹 애플리케이션 방화벽은 네트워크 방화벽으로는 달성할 수 없는 보안 계층을 제공함으로써 취약점이 악용되지 않도록 보호하는 역할을 합니다. 기존 네트워크 방화벽은 인터넷에서 웹 콘텐츠 요청을 수락하고 응답해야 하는 웹 기반 애플리케이션을 보호할 수 있는 기능을 갖추지 못했습니다.

WAF는 애플리케이션이 인터넷에 직접 연결할 수 있도록 허용하면서 네트워크 트래픽을 필터링하는 수단을 제공함으로써 문제를 해결합니다. WAF는 내부와 외부 네트워크 리소스 사이에 벽을 만드는 대신 스크린처럼 작동하여 정상 트래픽은 통과시키지만 악성 트래픽은 차단합니다.

이러한 방식으로 WAF는 부적절하게 설계된 앱 및 인젝션 공격과 같은 일반적인 웹 애플리케이션 보안 위험으로부터보호하는 데 도움이 됩니다. WAF가 웹 애플리케이션의 근본적인 취약점이나 결함을 해결하지는 못하지만, 이러한 결함을 악용하려는 공격이 애플리케이션에 도달하는 것을 방지할 수 있습니다. WAF는 초기 프로브를 차단하고 일반적인 공격 경로와 속도 제한 요청을 차단하여 공격자가 공격하기 어렵게 만듭니다.

또한 웹 애플리케이션 방화벽은 웹 애플리케이션 트래픽, 공격 시도, 웹 앱 보안을 위해 기업이 취한 조치를 기록하여 감사 및 규정 준수 활동을 지원할 수 있습니다.

위협 환경 이해

효과적인 웹 애플리케이션 방화벽의 핵심 구성 요소에 대해 이야기하기 전에 웹 애플리케이션에 대한 다양한 유형의 위협을 고려해 보겠습니다. 이미 XSS, SQL 인젝션 및 로컬 파일 인클루전에 대해 언급했습니다. 원래 애플리케이션 방화벽의 목적은 이러한 유형의 공격으로부터 보호하는 것이었지만 전장은 변화했고 지속적으로 진화하고 있습니다.

온디맨드 클라우드 컴퓨팅의 인기가 높아짐에 따라 서비스 거부(Denial-of-Service, DOS) 공격과 디도스 공격이 더욱 빈번해지고 있습니다.

가장 최근의 OWASP 상위 10개 목록에는 이제 액세스 제어 및 구성과 관련된 더 많은 위험이 포함되어 있습니다. 액세스 제어 실패와 암호화 실패가 2021년 목록에서 상위 두 자리를 차지했습니다. 잘못된 보안 구성부터 오래된 구성 요소에 이르기까지 관련 문제도 증가했습니다. 공격으로부터 서비스를 보호하는 것 외에도 중요한 데이터가 실수로 노출되는 것을 방지해야 합니다.

효과적인 웹 애플리케이션 방화벽의 기능

웹 애플리케이션 방화벽은 웹 프로토콜, 특히 HTTP 및 HTTPS를 사용하는 네트워크 트래픽을 모니터링하고 필터링하여 웹 기반 애플리케이션의 취약점으로부터 보호하도록 설계된 일련의 규칙 또는 정책을 통해 작동합니다.

WAF의 기능은 인바운드 트래픽과 아웃바운드 트래픽을 보호하는 두 가지 부분으로 나눌 수 있습니다. WAF의 인바운드 보호 기능은 외부에서 들어오는 애플리케이션 트래픽을 검사하는 역할을 담당합니다. 인바운드 트래픽으로부터 웹 앱을 보호하기 위해 WAF는 위험한 활동 패턴, 의심스러운 페이로드 및 취약점을 식별해야 합니다.

해커는 끊임없이 혁신을 거듭하기 때문에 인바운드 공격의 성격도 변화합니다. WAF는 웹 앱의 알려진 취약점으로부터 보호하는 사전 예방적 보안 정책으로 운영되어야 합니다. 다양한 유형의 악성 트래픽을 걸러내려면 진화하는 공격 벡터에 맞춰 각 보안 정책을 최신 상태로 유지해야 합니다. 웹 애플리케이션 방화벽은 보안 정책 수정을 위해 설계되었기 때문에 특히 효과적입니다.

아웃바운드 보호는 엔터프라이즈 및 고객 데이터 유출을 방지하는 것입니다. 아웃바운드 데이터의 정확한 구문 분석은 현실적으로 어렵지만 프록시 기반의 인라인 WAF는 아웃바운드 데이터를 가로채고 실수나 악의적인 수단을 통해 민감한 데이터가 유출되는 것을 차단하거나 마스킹할 수 있습니다.

다양한 유형의 웹 애플리케이션 방화벽

WAF를 사용하여 웹 애플리케이션을 보호하는 경우 특정 기준에 따라 웹 요청을 허용, 차단 또는 모니터링하는 규칙을 정의합니다. 예를 들어 특정 HTTP 헤더를 포함하거나 특정 IP 주소에서 들어오는 수신 요청을 차단하도록 WAF 규칙을 사용자 지정할 수 있습니다.

차단 목록과 허용 목록 WAF 비교

웹 애플리케이션 방화벽은 작동 방식에 따라 크게 구분할 수 있습니다. 차단 목록 WAF는 네거티브 보안 모델을 기반으로 하고, 허용 목록 WAF는 포지티브 보안 모델을 따릅니다:

• 차단 목록 WAF는 특정 엔드포인트 또는 트래픽 유형을 차단하고 다른 모든 트래픽은 허용하도록 설계되었습니다.
• 허용 목록 WAF는 기본적으로 모든 트래픽을 차단하고 명시적으로 승인된 트래픽만 통과하도록 허용하는 차단 목록 WAF와 다소 역방향으로 작동합니다.

허용 목록 WAF는 부적절하게 구성된 방화벽 규칙으로 인해 방어를 회피하는 악성 트래픽의 위험을 최소화하기 때문에 더 안전한 것으로 간주됩니다. 즉, 허용 목록 WAF는 유효한 트래픽 유형이나 엔드포인트를 모두 예측할 수 없는 상황에서는 제대로 작동하지 않습니다.

이 두 WAF의 장단점을 고려할 때, 현재 많은 WAF가 하이브리드 '허용 목록-차단 목록' 보안 모델에서 작동하는 것은 놀라운 일이 아닙니다.

네트워크 기반, 호스트 기반, 클라우드 기반 WAF

WAF는 구축 모델에 따라 네트워크 기반, 호스트 기반, 클라우드 기반으로 분류할 수 있습니다.

• 네트워크 기반: 라이선스를 취득하고 유지 관리해야 하는 하드웨어 어플라이언스 형태의 네트워크 기반 WAF는 애플리케이션과 인터넷 사이에 있는 네트워크 인프라(예: 스위치)에서 작동합니다.
• 호스트 기반 WAF: 호스트 기반 WAF는 웹 애플리케이션이 상주하는 서버에 코로케이션됩니다. 애플리케이션 OS의 일부로 구축되기 때문에 OS 수준의 필터링을 사용하여 웹 앱으로 전달되는 트래픽을 필터링하므로 쉽게 대규모로 확장할 수 있습니다.
• 클라우드 기반 WAF: 클라우드에서 호스팅되는 애플리케이션은 클라우드 가상 네트워크 서비스 또는 로드 밸런서와 통합되는 클라우드 기반 WAF를 사용하여 웹 트래픽을 필터링할 수 있습니다. 클라우드 기반 WAF는 구축이나 유지 관리에 대규모 팀이 필요하지 않지만 일반적으로 위협에 대한 완전한 컨텍스트를 제공하지는 않습니다.

기업에서 사용하는 WAF 구축 모델은 부분적으로 웹 애플리케이션의 위치에 따라 달라집니다. 예를 들어 클라우드 기반 WAF는 앱이 클라우드에 구축된 경우에만 작동합니다. 구축 모델을 선택할 때 유지 관리를 고려하는 경우, 네트워크 및 호스트 기반 WAF는 일반적으로 더 많은 설정과 관리가 필요한 반면, 클라우드 기반 WAF는 DNS 또는 프록시 변경만 하면 됩니다.

WAF와 다른 보안 툴 비교

웹 애플리케이션 방화벽은 다른 방화벽 및 보안 솔루션과 차별화되는 기능을 제공하지만 모든 것을 포함하는 보안 도구로 사용되지는 않습니다. 사실 WAF가 모든 유형의 공격을 방어하도록 설계된 것은 아닙니다. 웹 애플리케이션 방화벽은 보안의 한 구성 요소일 뿐이며 모든 가능한 공격 벡터에 대한 전체적인 방어 기능을 제공하는 통합 도구 제품군을 보완하도록 설계되었습니다.

WAF와 기존 방화벽 비교

기존 방화벽은 내부 네트워크에서 작동하는 리소스와 인터넷과 직접 인터페이스하는 리소스를 분리하는 경계를 정의하도록 설계되었습니다. WAF는 애플리케이션이 인터넷과 인터페이스하면서 동시에 보호 계층을 제공한다는 점에서 더 미묘한 차이가 있습니다.

WAF와 차세대 방화벽 비교

차세대 방화벽(NGFW)은 기존 네트워크 방화벽과 WAF의 장점을 결합한 애플리케이션 방화벽의 일종입니다. 네트워크 계층 패킷을 검사하여 들어오는 요청을 차단하는 것 외에도 NGFW는 프라이빗 네트워크에서 원치 않는 트래픽을 차단할 수 있는 검사 기능을 갖추고 있습니다.

NGFW와 WAF의 기능은 겹치지만핵심적인 차이점은 핵심 책임 모델에 있습니다. 차세대 방화벽은 더 많은 네트워크 트래픽 컨텍스트를 캡처하고 사용자 기반 정책을 시행할 뿐만 아니라 안티바이러스 및 안티멀웨어와 같은 필수 기능을 추가합니다. 또한 보안 정책에 컨텍스트를 추가함으로써 NGFW는 위협 인텔리전스 엔진을 결합하여 의사 결정 프로세스를 지원할 수 있습니다.

반면 WAF는 애플리케이션 계층에만 국한되어 있습니다. XSS 또는 DDoS 공격과 같은 일반적인 웹 공격을 방지하는 데 특화되어 있어 인터넷 연결 및 클라우드 네이티브 애플리케이션을 보호하는 데 필수적입니다.

그러나 두 기술의 가장 중요한 차이점은 프록시 측면에서 가장 잘 이해할 수 있습니다. 서버에서 사용하는 WAF는 거의 항상 리버스 프록시입니다. NGFW는 클라이언트를 보호하기 위해 사용되며 대부분의 경우 프록시를 전달하도록 설계되어 있습니다.

WAF와 침입 예방 시스템 비교

침입 예방 시스템(IPS)은 WAF와 마찬가지로 악성 네트워크 트래픽을 식별하고 차단하도록 설계되었습니다. 하지만 IPS는 모든 프로토콜에서 모든 유형의 트래픽을 필터링하도록 설계되었습니다.

즉, WAF는 일반적으로 웹 프로토콜을 통해 작동하는 복잡한 공격을 탐지하는 기능이 더 정교합니다. IPS 솔루션은 일반적으로 일반적인 공격 시그니처(특정 유형의 패킷 또는 트래픽 패턴)에 의존하며 어떤 트래픽이 악의적인지 판단하기 위해 컨텍스트 데이터(과거 트래픽 패턴 또는 사용자 행동 패턴)를 광범위하게 사용하지 않습니다.

웹 애플리케이션 방화벽을 구축하는 방법

애플리케이션이 구축된 위치, 필요한 서비스, 관리 방법, 요구되는 아키텍처 유연성 및 성능 수준에 따라 여러 가지 방법으로 WAF를 구축할 수 있습니다.

고려해야 할 질문

• WAF를 직접 관리하고 싶으신가요, 아니면 관리를 아웃소싱하고 싶으신가요?
• 클라우드 기반 모델이 더 나은 옵션인가요, 아니면 온프레미스에 WAF를 구축하시겠습니까?

구축 방식에 따라 적합한 WAF를 결정하는 데 도움이 됩니다. 그런 다음 WAF를 웹 앱 네트워크 스택에 통합하는 방법을 결정해야 합니다. 세 가지 방법 중에서 선택할 수 있습니다:

• 투명한 다리: 투명 브리지 모드에서 WAF는 보호하는 웹 애플리케이션과 동일한 포트에 바인딩됩니다. 웹 앱과 웹 앱에 연결하는 클라이언트의 관점에서 보면 방화벽이 없는 것처럼 보이지만 포트 바인딩은 뒤에서 작동하여 WAF가 트래픽을 가로채고 통과 허용 여부를 결정할 수 있도록 합니다.
• 투명한 리버스 프록시: 투명한 리버스 프록시 접근 방식에서는 웹 애플리케이션은 방화벽의 존재를 인식하지만 클라이언트는 인식하지 못합니다. WAF는 외부 엔드포인트에 애플리케이션으로 표시되는 포트와 주소의 트래픽을 허용하지만 애플리케이션 자체는 다른 내부 포트와 주소에서 작동합니다. WAF는 트래픽을 검사하고 해당 포트와 주소로 트래픽을 전달할지 여부를 결정합니다.
• 역방향 프록시: 리버스 프록시는 클라이언트가 프록시 서비스를 실행하는 데 사용되는 포트 또는 주소에서 작동하는 WAF에 요청을 보낸 다음 애플리케이션에 요청을 전달하는 것을 의미합니다. 리버스 프록시는 투명 리버스 프록시와 유사하지만, 가장 큰 차이점은 단순 리버스 프록시가 있을 때 클라이언트가 프록시 서버가 존재한다는 것을 인식한다는 점입니다.

투명 브리지 모델은 네트워크 바인딩, 주소 및 포트 구성이 가장 적게 필요하기 때문에 구현이 가장 쉽습니다. 하지만 네트워크 수준에서 웹 앱을 WAF에서 격리하지는 않습니다. 투명한 리버스 프록시와 리버스 프록시는 트래픽이 애플리케이션에 도달하기 전에 더 많은 격리 및 검사 기능을 제공합니다.

WAF 구축의 다음 단계는 호스팅할 위치를 선택하는 것입니다. 주요 옵션은 다음과 같습니다:

• 완전 관리형 서비스로서의 클라우드 기반: WAF는 클라우드에서 완전 관리형 서비스로 실행됩니다. 사용자는 원하는 네트워크 정책을 설정하는 것 외에는 별도의 관리가 필요 없이 전원을 켜고 구성하기만 하면 됩니다.
• 클라우드 기반 및 자체 관리: WAF는 클라우드에서 호스팅되지만 구축, 구성 및 관리는 사용자가 담당합니다.
• 클라우드 기반 및 자동 프로비저닝: WAF는 클라우드에서 호스팅됩니다. 사용자가 구성하고 관리해야 하지만 클라우드 환경에 맞게 설계된 네트워킹 규칙으로 자동으로 채워집니다. 이 접근 방식은 완전 관리형과 자체 관리형 WAF 옵션 사이의 중간 지점을 제공합니다.
• 온프레미스 고급 WAF: WAF는 온프레미스 인프라에서 호스팅됩니다. 온프레미스에서는 더 많은 설정 작업이 필요하며 기업은 WAF를 위한 호스트 인프라를 제공해야 합니다. 대신 WAF 구성 방식에 대한 제어 기능이 강화됩니다.
• 에이전트 또는 에이전트 없는 호스트 기반 WAF: WAF는 호스트 서버 또는 애플리케이션 컨테이너에서 실행됩니다. 사용자는 웹 애플리케이션 방화벽 서비스를 호스팅하기 위해 각 서버에 에이전트를 구축해야 하지만 방화벽 규칙이 적용되는 에이전트리스 접근 방식을 사용할 수 있습니다.

웹 애플리케이션 보안 솔루션 선택 시 고려해야 할 사항

웹 애플리케이션 방화벽 옵션을 평가할 때 고려해야 할 요소:

• 어떤 구축 모델이 지원되나요? 최고의 WAF는 다양한 구축 옵션을 지원하므로 비즈니스에 적합한 옵션에 따라 완전 관리형 또는 자체 관리형 접근 방식을 사용하여 온프레미스 또는 클라우드에서 운영할 수 있습니다.
• WAF는 트래픽을 어떻게 필터링하나요? WAF가 트래픽을 평가할 때 고려할 수 있는 컨텍스트가 많을수록 일반 방화벽을 회피하는 정교한 공격을 탐지하는 능력이 향상됩니다.
• WAF의 효율성은 어느 정도여야 할까요? 모든 WAF는 애플리케이션 실행에 필요한 인프라 리소스를 빼앗기지 않도록 효율적으로 작동해야 합니다.

웹 애플리케이션 보안 솔루션을 선택할 때 위의 고려 사항 외에도 확장성을 고려하는 것이 현명합니다. 앞으로 WAF는 어떻게 확장해야 할까요? 하이브리드 및 멀티클라우드 아키텍처에서 운영되는 애플리케이션을 지원해야 하나요? API를 지원해야하나요? API가 앱과 사용자 간 커뮤니케이션의 중심이 되면서 웹 애플리케이션뿐만 아니라 API를 보호하는 기능도 중요해질 것입니다.

웹 앱 및 API 보안(WAAS)의 미래

클라우드 네이티브 아키텍처를 기반으로 구축된 최신 웹 애플리케이션은 그 어느 때보다 복잡합니다. 민첩한 개발 프로세스, 지속적인 통합 및 구축, 진화하는 환경은 기존 WAF에 새로운 과제를 안겨줍니다. 차세대 웹 애플리케이션 및 API 보호는 웹 앱 및 API 보안(WAAS)입니다.

WAAS에는 웹 애플리케이션 자동 검색과 같은 기존 WAF 기능이 포함되어 있습니다. 또한 한 걸음 더 나아가 환경 내의 모든 API 엔드포인트를 검색할 수 있습니다. 이 접근 방식은 웹 애플리케이션 및 API를 보호하거나 환경 내에서 기존 애플리케이션을 업데이트하기 위한 보안 규칙 구성을 간소화합니다.

웹 기반 애플리케이션과 API를 자동으로 탐지하고 보호함으로써 애플리케이션이 잘못 구성되거나 보호 없이 구축될 수 있는 위험을 줄일 수 있습니다.

효과적인 WAAS 솔루션은 Swagger 및 OpenAPI와 같은 다양한 형식의 API 사양을 수용하고 이러한 정의를 사용하여 요청을 선별하여 사양에 부합하는지 확인합니다. 일부 엔드포인트는 더 적은 보호와 더 많은 액세스가 필요할 수 있지만, 민감한 데이터를 처리하는 엔드포인트는 최고 수준의 보호와 면밀한 조사가 필요합니다. 또한 WAAS 솔루션에는 DoS 보호 기능이 기본으로 포함되어 있습니다.

애플리케이션 보안 솔루션을 선택할 때 고려해야 할 다른 기능으로는 출처를 기준으로 요청을 차단하는 기능이 있습니다. 또한 사용자 지정 규칙을 사용하여 각 애플리케이션 또는 API에 적용되는 방어 조치의 수준을 사용자 지정할 수 있는 기능을 원합니다. 또한 심각성과 잠재적 위험의 조합에 따라 각 애플리케이션의 경고 및 오류 보고 수준을 설정할 수도 있습니다.

미래를 위한 앱 보안

클라우드 컴퓨팅이 업계에서 입지를 굳히면서 클라우드 네이티브 애플리케이션은 지속적으로 확산되는 동시에 중요성과 복잡성도 증가하고 있습니다. 보안은 역동적인 위협 환경만큼 빠르게 진화할 수 있어야 합니다.

정보 보안 전문가( DevOps 엔지니어, 보안 아키텍트, 애플리케이션 보안 팀)는 현대 기업을 방어할 수 있는 포괄적 보안 전략을 구축하기 위해 서로 협력하고 서로의 경험을 활용해야 합니다.

WAF FAQ