AWS WAF 관리형 규칙에 대해 조사해 봤습니다.
안녕하세요 클래스메소드 김재욱(Kim Jaewook) 입니다. 이번 블로그에서는 AWS WAF 관리형 규칙에 대해 조사해 봤습니다.
AWS WAF는 웹 애플리케이션으로 유입되는 요청을 검사하여, 악의적인 트래픽인지 여부를 판단하고 필요에 따라 차단하는 웹 방화벽 서비스입니다.
이러한 동작의 핵심이 바로 규칙(Rule)입니다.
규칙은 특정 조건(예: IP, 헤더, 쿼리 문자열, 패턴 등)에 따라 요청을 검사하고, 그 결과에 따라 Allow, Block, Count 등의 액션을 수행하도록 정의됩니다.
즉, AWS WAF의 동작은 어떤 규칙을 어떻게 구성하느냐에 따라 결정된다고 볼 수 있습니다.
Block, Count 모드에 대해서는 아래 블로그에서 확인할 수 있습니다.
AWS WAF의 주요 5가지 기능
AWS WAF는 악의적인 공격을 탐지한다고 했는데, AWS WAF는 악의적인 공격을 어떻게 판단하고 탐지할까요? AWS WAF에서는 대표적으로 다음과 같은 5가지 기능을 설명할 수 있습니다.
애플리케이션에 대한 공격 방어: IP 주소, HTTP 헤더, 통신 요청 본문, 사용자 지정 URI 등의 기준에 따라 애플리케이션에 대한 통신을 필터링하는 규칙을 생성할 수 있습니다.IP 제한으로 인한 무단 액세스 차단: 의심스러운 또는 악의적인 IP 주소로부터의 통신을 미리 차
단해 웹 애플리케이션을 보호할 수 있습니다.DDoS 공격 대책: 일정 시간 내에 액세스 횟수가 요율 기준 규칙에 설정된 임곗값을 초과하면 해당 IP 주소에서의 액세스를 일시적으로 제한할 수 있습니다.악의적인 봇 대책: 몇 번의 클릭만으로 스크레이퍼, 스캐너, 크롤러와 같은 일반적인 봇을 쉽게 모니터링하고 검색 엔진 봇을 비롯한 정상적인 봇 액세스만 허용하도록 설정할 수 있습니다.계정의 무단 로그인 방지: 애플리케이션의 로그인 페이지를 모니터링하고 도난당한 자격증명으로 로그인 여부를 확인합니다.
관리형 규칙
관리형 규칙은 AWS에서 제공하는 규칙 집합을 의미합니다. 사용자는 직접 규칙을 만드는 복잡한 과정을 생략할 수 있습니다.
AWS WAF에서 자주 사용되는 관리형 규칙은 다음과 같습니다.
| 규칙명 | 용도 | 용량(WCU) | 비고 |
|---|---|---|---|
| Admin protection | 외부 액세스를 차단하고 관리 페이지를 보호하는 규칙 | 100 | 환경에 따라 선택 |
| Amazon IP reputation list | 아마존 내부 위협 인텔리전스를 기반으로 만든 규칙 | 25 | 필수로 도입 권장 |
| Anonymous IP list | IP 주소, 사용자의 신원을 난독화할 수 있는 서비스를 사용해 액세스를 차단할 수 있는 규칙 | 50 | 환경에 따라 선택 |
| Core rule set | 일반 웹 애플리케이션에 적용하는 규칙 | 700 | 필수로 도입 권장 |
| Known bad inputs | 무단 액세스 및 취약성 악용과 관련된 입력 패턴을 차단하는 규칙 | 200 | 필수로 도입 권장 |
| Linux operating system | 리눅스 취약점과 관련된 공격을 방지하는 규칙 | 200 | OS에 맞추어 선택 |
| PHP application | PHP 함수를 악용하는 무단 액세스 또는 PHP의 취약성을 찌르는 공격을 차단하는 규칙 | 100 | 환경에 따라 선택 |
| POSIX operating system | POSIX 및 POSIX 호환 운영체제 취약점과 관련된 공격을 방어하는 규칙 | 100 | OS에 맞추어 선택 |
| SQL database | SQL 데이터베이스의 악용을 방지하는 규칙 | 200 | 필수로 도입 권장 |
| Windows operating system | 윈도우 취약점 악용을 방지하는 규칙 | 200 | OS에 맞추어 선택 |
| WordPress application | 워드프레스 취약점을 악용하는 무단 액세스를 차단하는 규칙 | 100 | 환경에 따라 선택 |
이 관리형 규칙들은 무료로 이용할 수 있는 규칙들이며, 이 규칙만으로도 충분히 웹 애플리케이션을 보호할 수 있습니다.
필수로 도입 권장은 기본적으로 선택하며, 그 외 규칙에 대해서는 구성하고자 하는 환경에 따라 선택을 합니다.
예를 들어 워드프레스를 이용하는 웹사이트라면 WordPress application 규칙을 선택해 워드프레스의 취약점을 보완하도록 합니다. 또한 각 규칙마다 용량을 가지며, 설정할 수 있는 규칙의 최대 용량은 5000WCU입니다. 따라서 이 제한을 염두에 두고 규칙을 설정해야 합니다.
AWS WAF의 경우 기본 요금은 용량 1500 WCU를 설정한 요금이 청구되며, 1500WCU를 초과하는 용량에 대해서는 추가 요금이 청구됩니다.
마무리
이번 글에서는 AWS WAF의 관리형 규칙에 대해 전반적으로 살펴보았습니다.
AWS WAF는 단순히 트래픽을 차단하는 서비스가 아니라, 웹 애플리케이션으로 유입되는 요청을 다양한 조건으로 분석하고 그 결과에 따라 적절한 액션을 수행하는 정책 기반 보안 서비스라고 볼 수 있습니다.
그리고 그 중심에는 항상 규칙(Rule)이 존재합니다.
규칙은 IP, HTTP 헤더, 쿼리 문자열, 요청 본문 등 다양한 요소를 기준으로 요청을 검사하며, Allow, Block, Count와 같은 액션을 통해 트래픽의 흐름을 제어합니다.
즉, 어떤 규칙을 어떻게 구성하느냐에 따라 보안 수준과 서비스 안정성이 함께 결정됩니다.
특히 관리형 규칙(Managed Rule)을 활용하면 기본적인 공격(SQL Injection, XSS, Known Bad Inputs 등)에 대해서는 별도의 복잡한 설정 없이도 빠르게 대응할 수 있다는 장점이 있습니다.
다만, 관리형 규칙만으로 모든 환경을 완벽하게 보호할 수는 없기 때문에 실제 운영 환경에서는 다음과 같은 접근이 중요합니다.
- 관리형 규칙을 기반으로 기본 보안 레이어 구성
- 서비스 특성에 맞는 커스텀 규칙 추가
- COUNT 모드를 활용한 사전 검증
- 오탐(False Positive) 최소화 이후 BLOCK 모드 전환
- WCU(용량)와 비용을 고려한 규칙 설계
또한 AWS WAF는 단독으로 사용하는 것보다 ALB, CloudFront, API Gateway 등과 함께 구성할 때 더 큰 효과를 발휘하며, 네트워크 레벨의 보안 서비스와 함께 사용하는 경우 더욱 강력한 방어 체계를 구축할 수 있습니다.
결국 중요한 것은 무조건 차단이 아니라 정상 트래픽은 유지하면서 공격만 정확하게 차단하는 것입니다.
이를 위해서는 단순히 규칙을 추가하는 것에 그치지 않고, 로그를 기반으로 지속적으로 튜닝하고 개선해 나가는 과정이 필요합니다.
이번 글이 AWS WAF 규칙을 이해하고, 보다 안정적인 웹 보안 환경을 설계하는 데 도움이 되었으면 합니다.
