악의적인 목적을 가진 사용자가
웹에 접속해서 고객 개인정보를 탈취하거나
과도하게 리소스를 사용하면 어떻게 하지?🔥
이런 고민 해보신 적 있으신가요? 최근 사이버 공격은 랜섬웨어 같은 악성 코드나 DDoS뿐만 아니라 사이트 변조(교차 사이트 스크립팅), 클릭 링크 변경(클릭재킹) 등 형태가 다양해지고 피해 범위 또한 커지고 있습니다.
데이터베이스에 저장해둔 고객 개인정보가 탈취될 경우 서비스 운영에 장애가 생길뿐더러 기업에 대한 신뢰가 무너질 수 있는데요😥 민감한 고객 정보를 다루고 있거나 고객의 신뢰를 꾸준히 받기 위해서는 침해 사고가 발생하기 전에 보안을 강화하는 것이 중요합니다.
이렇게 웹을 통해 비즈니스를 운영하는 경우 필요한 기초 보안 기능이 바로 웹 애플리케이션 방화벽(Web Application Firewall, WAF)입니다. 그렇다면 WAF가 무엇이고 왜 필요한지, 그리고 AWS 사용자들은 어떻게 WAF를 활용할 수 있는지 자세히 알아보겠습니다!🧐
WAF(웹 애플리케이션 방화벽)이란?
WAF란 웹 애플리케이션 방화벽의 줄임말로 일명 ‘웹 방화벽’으로 불리는 보안 서비스입니다. 흔히 알고 있는 ‘방화벽(Firewall)’이 네트워크 계층에서 들어오거나 나가는 트래픽을 필터링한다면, ‘웹 방화벽(Web Application Firewall, WAF)’은 웹 애플리케이션* 계층의 보안을 담당하죠.
*웹 애플리케이션이란 클라이언트(사용자)와 서버 사이에서 데이터를 주고 받으며 동작하는 소프트웨어를 말합니다.
아래 표로 한눈에 비교할 수 있습니다.
| 구분 | 방화벽 | 웹 애플리케이션 방화벽(WAF) |
| 위치 | 외부 및 내부 네트워크 트래픽 사이에 장벽 제공 | 외부 사용자와 웹 애플리케이션 사이에 장벽 제공 |
| 기능 | 사설 네트워크에 대한 무단 액세스 방지 | XXS(교차 사이트 스크립팅), DDoS, SQL 주입 등의 공격 방지 |
| 관리 대상 | IP 주소/Port 번호 | HTTP/HTTPS 프로토콜 |
방화벽 정책은 접근할 수 있는 IP를 정의하고 관리하게 됩니다. 허용된 트래픽을 제외하면 나머지 액세스는 모두 차단되죠.
웹 방화벽은 방화벽에서 허용한 접근을 기반으로 다시 위협을 탐지합니다. 이미 허용된 접근이라고 할지라도 그 안에서 발생할 수 있는 웹 공격 패턴을 살펴보고 악성 코드나 탈취 시도를 사전에 차단합니다🛡
AWS WAF, 무엇이 다른가요?
시중에 여러 웹 방화벽 서비스가 있지만 AWS는 고객 편의를 위해 자체 AWS WAF 서비스를 제공 중에 있습니다. 외부 업체(3rd Party)가 아닌 AWS 자체 보안 서비스(AWS Native)를 사용한다면 빌링과 운영 관리를 한 곳에서 할 수 있어 편리하다는 장점이 있습니다.
AWS 사용자는 계정 전체의 방화벽 규칙을 중앙 관리하는 AWS Firewall Manager를 통해 AWS WAF를 관리할 수 있습니다. 사전에 규칙을 만들어 각 계정에 배포할 수 있으며, 새롭게 생성된 계정이나 리소스에도 간편하게 적용이 가능합니다.
AWS WAF를 사용해 51개 사업체 보안을 지원한 ENGIE 사례 바로가기
또한 AWS WAF는 기존 AWS 서비스와 함께 사용할 수 있다는 장점이 있습니다. 대표적으로 ‘개발자가 손쉽게 API를 생성하고 관리할 수 있는 보안 서비스 API Gateway’, ‘뛰어난 성능과 보안을 자랑하는 콘텐츠 전송 네트워크(CDN) 서비스 CloudFront’, 네트워크 트래픽을 분산하고 애플리케이션을 보호하는 ‘Application Load Balancer’가 있습니다.
AWS WAF 기능 및 장점 알아보기
AWS WAF를 통해서 할 수 있는 가장 기초적인 기능은 아래와 같습니다.
- 지정한 요청을 제외한 모든 요청 허용
- 지정한 항목을 제외하고 모든 요청을 차단
- 기준에 맞는 요청 수 계산
- 기준에 맞는 요청에 대해 CAPTCHA 또는 챌린지 검사 실행
이러한 AWS WAF 기능을 잘 활용했을 때 아래와 같은 이점을 얻을 수 있습니다.
- 악성일 수 있는 SQL 코드와 스크립트를 사전에 차단
- 지정한 기준을 충족하는 웹 요청은 허용
- 지정한 기준을 위반하는 요청은 차단 또는 카운트
AWS WAF를 더 안전하게 사용하는 법은?
1. 지속적으로 오탐 예외 처리를 위한 보안관제 서비스
WAF처럼 웹 애플리케이션에 보안 제어를 추가하면 오탐이 발생할 수 있습니다. 오탐이란 위협이 아닌 것을 위협으로 간주하면서 경고하거나 차단하는 걸 의미합니다.
WAF의 기본적인 기능은 악성 패턴에 대한 방어이지만 실제 공격이 아님에도 악성으로 취급할 수 있는 거죠. 이는 WAF가 패턴 기반으로 차단하기 때문인데요, 서비스 연속성을 위해 이러한 오탐을 최소화하는 ‘예외 처리’가 필요합니다.
예외 처리를 위해서는 오탐률이 낮은 WAF 규칙 설계가 필요합니다. 기본적으로 HTTP 패킷 분석 능력이 필요하며, AWS WAF 로그에서 제공되는 세부 정보를 확인해야 하죠. 뿐만 아니라 서비스 수정 배포나 WAF 패턴 업데이트가 발생했을 때 추가 예외 처리가 필요할 수 있기 때문에 꾸준한 모니터링도 필요합니다.
만약 이런 과정이 길고 복잡하게 느껴져 WAF 규칙을 러프하게 설정할 경우, 우회 가능성을 높여 또 다른 취약점이 될 수 있기 때문에 주의가 필요합니다.
보안관제 서비스를 이용하게 된다면 초기 도입에서 일정 기간 동안 탐지 로그를 수집하고 분석해 최적화된 규칙을 제안합니다. 이후 보안관제 시스템 모니터링을 통해 공격 및 오탐을 분석하고 공격 IP 차단 또는 예외 처리를 수행하여 지속적인 WAF 규칙 최적화를 제공합니다.
2. 근본적으로 웹 보안을 강화하는 웹 취약점 진단 서비스
웹 보안을 강화하는 방법에는 ① WAF처럼 외부에서 들어오는 위협을 차단하는 것도 있지만 ② 웹 애플리케이션 자체의 취약점을 진단하고 보안 수준을 개선하는 방법도 있습니다.
‘취약점 진단’은 보안 전문 인력이 잠재적인 위험을 진단하고 취약점의 위험도를 식별하여 대응 방안을 제안하는 서비스입니다. 취약점 진단의 대상은 웹을 비롯해 모바일, 소스 코드, 인프라 등 다양합니다.
웹 취약점 진단의 경우 웹 스캐너와 모의 해킹을 통해 웹과 네트워크의 보안 취약점을 발견합니다. 또한 웹 애플리케이션의 파일 변경을 실시간으로 탐지하는 위·변조 탐지를 통해 사전에 악용을 방지합니다.
가비아는 ‘주요정보통신기반시설 취약점 분석·평가 기준’을 반영하여 자체 점검 기준으로 취약점 진단 서비스를 제공합니다. 점검 결과를 정리하고 분석하여 고객 보안 수준을 고려한 보고서를 작성하고, 보호 대책을 수립하고 단기·중기·장기적 관점에서 가이드를 제공합니다.
믿을 수 있는 AWS 보안관제 파트너를 찾으시나요?
지금까지 AWS WAF 서비스에 대해서 알아보았습니다. 침해 유형은 갈수록 다양해지고 복잡해지고 있기 때문에 안전한 웹 서비스 운영을 위해서라면 AWS WAF 설정과 보안관제 서비스가 필수가 되어가고 있습니다.
AWS WAF가 제대로 작동하고 있는지, 함께 사용하는 다른 AWS와 외부 보안 서비스에는 문제가 없는지 모니터링하고 싶다면, 믿을 수 있는 보안관제 파트너와의 원활한 소통이 중요합니다.
가비아 AWS는 국내 AWS 공식 파트너 중 과학기술정보통신부 지정 ‘보안관제 전문기업’으로 AWS 자체 보안 서비스뿐만 아니라 외부 보안 솔루션까지 관제하고 있습니다.
가비아 전담 엔지니어가 고객의 인프라를 24시간 365일 직접 관제하므로 침해 사고 발생 시, 효율적인 커뮤니케이션 루트로 신속한 대응이 가능합니다.
AWS 보안관제를 사용해 보고 싶지만 망설여 진다면?
가비아가 AWS 파트너십 7주년 기념으로 더욱 많은 고객이 안전하게 비즈니스를 운영할 수 있도록 보안관제 7개월 무료 서비스를 제공합니다. 가비아 AWS 신규 고객이라면 누구나 9/12(목)까지 신청 가능하니 놓치지 말고 혜택 받아가세요!🤗✨
AWS WAF 보안관제를 비롯해 웹 취약점 진단까지, 가비아 AWS의 다양한 보안 서비스가 궁금하시다면 하단 링크를 확인해 보세요!
Summary
WAF란?
WAF란 웹 애플리케이션 방화벽(Web Application Firewall)의 줄임말로 일명 ‘웹 방화벽’으로 불리는 보안 서비스입니다. 외부 사용자와 웹 애플리케이션 사이에 장벽을 제공하며 HTTP/HTTPS 프로토콜을 관리할 수 있습니다.
AWS WAF 사용 시 장점
WAF 사용 시, XXS(교차 사이트 스크립팅), DDoS, SQL 주입 등 웹 공격 패턴을 감지하고 사전에 차단할 수 있습니다.