WAF 주요기능 및 클라우드 웹방화벽 필요성과 솔루션 사례

by

웹 애플리케이션 방화벽은 Injection, DDoS 및 OWASP 취약성 공격 등의 비정상 트래픽을 탐지하고 차단하는 응용프로그램 레벨 보안 솔루션입니다. 이 문서에서는 웹 방화벽(WAF)의 주요 기능 및 클라우드 WAF 솔루션에 대해서 알아보겠습니다.

웹 애플리케이션 방화벽

개념

웹 방화벽을 사용하면 다음과 같은 케이스에 대해 엑세스를 제어하거나 배포된 웹 애플리케이션 서비스를 보호할 수 있습니다.

  • 특정 위치에서의 접속제어
  • 블랙리스트, 화이트리스트 IP 주소의 접속제어
  • HTTP 헤더기반 접속제어 가능
WAF 웹방화벽 동작 개념도
웹방화벽-개념도

이와 같이 접근제어를 통해 비인가자에게는 403 에러를 리턴하여 접속을 통제합니다.

장점

WAF (Web Application Firewall)을 사용하는 가장 큰 이점은 Application에 대한 악의적인 의도의 공격 위협을 쉽게 필터링할 수 있다는 것입니다.

가령, 특정 IP로부터의 DDoS 공격 등을 방어하여 서비스의 가용성을 높여주거나 또는 지역별 트래픽 관리를 더욱 쉽게할 수 있다는 이점이 있습니다.

단점

계속해서 진화하는 공격 패턴에 대한 보안정책의 유지보수가 어렵다는 점입니다. 즉, 사전에 알려지고 설정된 패턴은 방어가 가능하나 새로운 패턴의 유지보수가 지속해서 필요합니다. (e.g. 지능형 웹 방화벽)

주요기능

웹 방화벽의 주요 기능은 OWASP (Open Web Applications Security)의 웹 취약점에 대한 방어기능입니다. 이를 통해 WAF의 주요기능을 정리해보겠습니다. 만약 클라우드 웹 호스팅을 한다면 AWS WAF 등을 구성하여 간편하게 웹 방화벽을 설정하고 사용할 수 있습니다.

1. Injection 공격의 방어

SQA, LDAP, Xpath, NoSQL 질의 등을 수행시 애플리케이션의 결함에 의해 비인가자의 로그인이나 관리자 권한의 취득이 가능한 공격형태입니다.

이에 대해 WAF는 HTTP 요청에 대해 헤더, 쿼리문자열, URI 등 여러 관점에서 검사하여 공격 패턴을 인식하고 차단할 수 있도록 규칙을 구성하는 방식으로 방어할 수 있습니다.

2. 인증 및 세션관리 취약점 보호

인증 또는 세션 관리기능의 정보 누출 및 결함을 이용하여 다른 사용자로 가장하거나 계정을 탈취하여 공격하는 방법입니다. 

이를 방어하기 위해 사용자를 지정하거나 응답을 지정하는 방식으로 규칙을 미리 수립할 수 있습니다. 이를 웹 ACL 이라하며 이를 벗어나는 요청에 대해  403 Forbidden 응답으로 회피가 가능합니다. 

3. XSS (Cross-Site Scripting) 탈취공격 방어

텍스트 기반의 스크립트를 전송함으로서 웹 서비스 내부의 데이터 베이스의 권한이나 데이터를 탈취하는 공격 방법입니다.

이에 대한 방어를 위해 별도의 콘텐츠 보안정책(CSP)의 수립을 고려하거나, 접속 정보의 로깅을 통해 취약점을 분석하고 이를 웹 어플리케이션에 적용하는 방법으로 대응할 수 있습니다.

클라우드 웹방화벽

IT 환경이 변화하면서 많은 기업들이 클라우드 마이그레이션을 통해 주요 서비스를 AWS, Azure와 같은 클라우드 서비스를 통해 제공하고 있습니다.

필요성

이전 환경에서는 웹 방화벽을 위해 별도의 하드웨어나 유지보수 인력이 필요했습니다. 하지만 클라우드 환경에서는 서비스 제공 업체를 통해 제공되는 WAF 솔루션을 이용하는 것이 효율적입니다.

  • 가격이 비싼 웹 방화벽을 저렴하게 도입할 수 있다.
  • 다양한 패턴의 웹 취약성을 공유하여 효과를 높일 수 있다.
  • 별도의 유지보수인력을 유지할 필요가 없다. (클라우드 서비스 업체활용)

솔루션 사례

AWS 웹 방화벽은 클라우드 서비스를 사용할 경우 서버에 전달되는 HTTP/HTTPS 요청을 모니터링해주는 솔루션의 하나 입니다.

WAF 사용을 위해 다음의 3가지 규칙을 설정해주는 것이 필요합니다.

  1. 웹 ACL: 웹 엑세스 제어목록에 대한 규칙을 생성하고 이에 따른 허용 및 차단여부를 설정합니다.
  2. Rules: 각 규칙에 해당할 경우 수행하거나 차단할 작업을 지정합니다.
  3. 규칙그룹: 위에서 만든 규칙들을 재사용하거나 사용할 그룹 등을 지정하고 관리할 수 있습니다. (새로운 그룹의 정의도 가능)

이런 클라우드 서비스의 솔루션을 함께 사용하면 무엇보다 설정이 간편하고 다양한 서비스의 연동을 단순화 시킬 수 있다는 점입니다. 이는 곧 비용의 절감으로 이어지게 됩니다. Cloud 기반 웹 애플리케이션 방화벽에 대한 정보는 다음을 참고 바랍니다.

이상으로 WAF 주요기능 및 클라우드 웹방화벽 필요성에 대해서 알아보았습니다.

Leave a Comment