WAF(Web Application Firewall, Web application firewall)는 한 줄로 말하면:

HTTP 요청 내용을 분석해서,
웹 공격(SQL Injection, XSS 등)을 차단하는 방화벽

이다.

일반 방화벽과 가장 큰 차이

엄청 중요.

일반 방화벽

주로:

IP
포트
프로토콜

본다.

예:

443 허용
3306 차단

WAF는?

HTTP 요청 "내용"

까지 본다.

예시

사용자 요청:

GET /users?id=1 OR 1=1

WAF가 탐지

"SQL Injection 패턴 같다"

판단 후 차단 가능.

즉 WAF 핵심

L7(Application Layer)
보안

이다.

왜 필요하냐?

웹 서버는 인터넷에 직접 노출된다.

즉:

SQL Injection
XSS
Path Traversal
File Upload 공격

등 대상이 된다.

WAF는 중간에서 검사

구조:

Client
↓
WAF
↓
Nginx
↓
Backend

즉 WAF가

웹 보안 필터

역할.

대표적으로 막는 공격

공격방어 여부

SQL Injection	O
XSS	O
Path Traversal	O
File Inclusion	O
Bot 공격	일부
Rate Limit	O

SQL Injection 예시

공격 요청:

?id=' OR 1=1 --

WAF가 패턴 탐지 후:

403 Forbidden

반환 가능.

XSS 예시

<script>alert(1)</script>

WAF가:

script 태그 탐지

후 차단 가능.

Path Traversal 예시

../../../etc/passwd

WAF는 어떻게 탐지하나?

여러 방식 존재.

1. Signature 기반

가장 흔함.

예:

UNION SELECT
<script>
../

패턴 탐지.

안티바이러스 느낌.

2. Rule 기반

예:

POST /admin/delete
외부국가 차단

3. Behavior 기반

이상 행동 탐지.

예:

1초에 1000 요청

4. ML/AI 기반

최근 일부 WAF 제공.

대표 제품

제품회사

Cloudflare WAF	Cloudflare
AWS WAF	AWS
Imperva	Imperva
ModSecurity	오픈소스

ModSecurity 유명

ModSecurity

보통:

Apache
Nginx

앞단 연동.

OWASP CRS

엄청 중요.

OWASP Foundation

CRS 의미

Core Rule Set.

즉:

대표 웹 공격 패턴 모음

WAF 배치 위치

보통:

인터넷
↓
CDN/WAF
↓
Load Balancer
↓
Backend

Cloudflare 구조 많이 사용.

장점

1. 빠른 보호 가능

코드 수정 없이 일부 공격 차단.

2. 알려진 공격 잘 막음

특히 자동 공격.

3. Bot/DDoS 완화 가능

하지만 한계도 큼

엄청 중요.

WAF는 만능 아님

1. 우회 가능

공격자가 Encoding 등 사용 가능.

2. False Positive

정상 요청 차단 가능.

예:

SELECT 라는 단어 들어간 정상 검색

차단될 수도 있음.

3. 비즈니스 로직 공격 못 막음

예:

권한 우회
가격 조작

등.

4. 근본 해결 아님

SQL Injection 취약점 있으면:

PreparedStatement

로 고쳐야 함.

즉 WAF는

보조 방어층

이다.

실무에서 중요한 포인트

WAF만 믿으면 안 됨

코드 보안이 우선.

핵심 원칙

Secure Coding
+
WAF
+
Monitoring

조합.

Spring/API 서버에서도 중요

특히:

공개 API
로그인
관리자 페이지

앞단에 WAF 많이 둔다.

실무 운영 포인트

1. Detection 모드 먼저

처음엔:

탐지만 하고 차단 안 함

왜?

False Positive 확인 필요.

2. 점진적 차단

Rule 튜닝 중요.

3. Rate Limiting 같이 사용

예:

IP당 초당 10요청

제한.

핵심 한 줄

WAF는:

웹 애플리케이션 앞단에서 HTTP 요청 내용을 분석하여,
SQL Injection·XSS 같은 웹 공격 패턴을 탐지하고 차단하는
애플리케이션 계층(L7) 보안 방화벽

이다.

저작자표시 (새창열림)

'system_fundamentals > security_cryptography' 카테고리의 다른 글

MSA 환경 JWT 문제 (0)	2026.05.20
대규모 서비스의 인증 구조 (0)	2026.05.20
방화벽 (0)	2026.05.20
VPN (1)	2026.05.20
Zero Trust (0)	2026.05.20

WAF

일반 방화벽과 가장 큰 차이

일반 방화벽

WAF는?

예시

WAF가 탐지

즉 WAF 핵심

왜 필요하냐?

WAF는 중간에서 검사

즉 WAF가

대표적으로 막는 공격

SQL Injection 예시

WAF가 패턴 탐지 후:

XSS 예시

WAF가:

Path Traversal 예시

WAF는 어떻게 탐지하나?

1. Signature 기반

예:

안티바이러스 느낌.

2. Rule 기반

3. Behavior 기반

4. ML/AI 기반

대표 제품

ModSecurity 유명

보통:

OWASP CRS

CRS 의미

WAF 배치 위치

Cloudflare 구조 많이 사용.

장점

1. 빠른 보호 가능

2. 알려진 공격 잘 막음

3. Bot/DDoS 완화 가능

하지만 한계도 큼

WAF는 만능 아님

1. 우회 가능

2. False Positive

예:

3. 비즈니스 로직 공격 못 막음

4. 근본 해결 아님

즉 WAF는

실무에서 중요한 포인트

WAF만 믿으면 안 됨

핵심 원칙

Spring/API 서버에서도 중요

실무 운영 포인트

1. Detection 모드 먼저

왜?

2. 점진적 차단

3. Rate Limiting 같이 사용

핵심 한 줄

'system_fundamentals > security_cryptography' 카테고리의 다른 글

관련글

댓글

티스토리툴바