포스트

WAF는 무엇인가? WAF가 내 웹사이트를 지켜줄 수 있을까?

게시 업데이트
By 데브초이 10 분읽는 시간

WAF는 무엇이고, WAF가 내 웹사이트를 지켜줄 수 있을까?

WAF는 무엇인가?

웹 애플리케이션 방화벽(WAF)은 현대 웹 보안에서 더 이상 무시할 수 없는 역할을 합니다. 간단히 말해, WAF는 웹 서버와 인터넷 사용자 간의 트래픽을 감시하고 보호하는 도구로 작동합니다. 이 도구는 악의적인 트래픽으로부터 웹 애플리케이션을 보호하여 공격으로부터 시스템을 안전하게 유지하는 역할을 수행합니다.

WAF란 무엇인가요?

WAF는 웹 애플리케이션의 보안을 강화하는 데 사용되는 특수한 종류의 방화벽입니다. 웹 서버와 사용자 사이에서 전달되는 HTTP 트래픽을 모니터링하고, 악성 행위를 감지하여 차단하는 역할을 합니다. 이는 웹 애플리케이션을 다양한 공격 유형으로부터 보호하고, 데이터 유출, 악성 코드 삽입 등의 보안 위협으로부터 시스템을 보호하는 데 도움이 됩니다.

WAF의 작동 원리

WAF는 주로 웹 애플리케이션의 프로토콜과 페이로드를 분석하여 악성 행위를 감지합니다. 이러한 분석은 주로 정규 표현식, 시그니처 기반 감지, 행동 분석 및 기계 학습과 같은 다양한 기술을 사용하여 이루어집니다. WAF는 트래픽을 감시하고 이상 징후를 탐지한 경우, 해당 트래픽을 차단하여 시스템을 보호합니다.

WAF의 주요 기능

WAF의 핵심 기능에는 다음과 같은 것들이 포함됩니다:

악성 트래픽 차단: 악의적인 웹 트래픽을 식별하고 차단하여 웹 애플리케이션을 보호합니다.

SQL 인젝션 및 크로스 사이트 스크립팅(XSS) 방어: 주요 웹 공격 유형에 대한 보호를 제공합니다. 액세스 제어: 인증된 사용자만이 특정 리소스에 액세스할 수 있도록 제어합니다. 로그 및 모니터링: 웹 트래픽 및 공격 패턴을 모니터링하고 로그를 기록하여 보안 이슈를 추적합니다.

WAF의 취약점

image

  1. Incomplete Rule Set Configuration

    WAF는 보호해야 할 애플리케이션에 대한 적절한 규칙 세트를 설정해야 합니다. 그러나 규칙이 너무 엄격하거나 너무 느슨하게 설정되면 공격을 감지하지 못할 수 있거나, 정상적인 트래픽을 차단할 수 있습니다.

  2. Missing Latest Signature Updates

    WAF는 최신 공격 패턴에 대한 시그니처를 지속적으로 업데이트해야 합니다. 그러나 이러한 업데이트가 누락되거나 지연될 경우, 새로운 공격 형태에 대한 보호가 제한될 수 있습니다.

  3. Insufficient Handling of Manipulated Requests

    악의적인 공격자는 HTTP 요청을 변조하여 WAF의 보안 규칙을 우회하려고 할 수 있습니다. 이러한 변조된 요청에 대한 적절한 처리가 부족하면 공격을 방어하지 못할 수 있습니다.

  4. Performance Issues

    고성능 웹 사이트에서는 WAF가 트래픽을 검사하고 처리하는 데 시간이 오래 걸릴 수 있습니다. 이로 인해 웹 사이트의 성능에 부정적인 영향을 미칠 수 있으며, 이는 사용자 경험에 영향을 줄 수 있습니다.

  5. False Positives and Negatives

    WAF는 공격을 감지하기 위해 트래픽을 분석합니다. 그러나 때때로 정상적인 트래픽을 잘못 인식하여 가짜 긍정이 발생할 수 있습니다. 또한, 실제 공격을 놓치는 경우도 있을 수 있습니다.

관련 논문 리뷰

“Break the Wall from Bottom: Automated Discovery of Protocol-Level Evasion”

Abstract

  • 웹 기반 공격에 대항하기 위해 웹 애플리케이션 방화벽(WAF)의 중요성으로 시작합니다.
  • WAF의 프로토콜 수준 회피 취약점을 밝혀내는 논문의 초점을 소개합니다. 여기서는 공격자가 보안 조치를 우회하기 위해 파싱(Parsing) 차이를 이용합니다.

The Emerging Threat of Protocol-Level Evasion

  • 전통적인 WAF 테스팅이 공격자가 탐지를 회피하기 위해 악의적인 페이로드를 수정하는 페이로드 수준 회피에 초점을 맞추었다고 설명합니다.
  • 공격자가 HTTP 요청 자체를 조작하는 프로토콜 수준 회피로 전환되면서 더 큰 도전이 됨을 강조합니다. 이는 접근 방식의 보편성과 적응성 때문입니다.

WAF Manis: A Novel Testing Methodology

  • 논문에서 제안된 WAF Manis, 새로운 테스팅 방법론을 소개합니다. 이 방법론은 WAF의 프로토콜 Level Evasion 취약점을 자동으로 발견하기 위해 고안되었습니다.
  • WAF Manis가 화이트박스 테스팅과 블랙박스 테스팅의 장점을 결합하여, 변형 중에도 테스팅 페이로드를 수정하지 않고 고품질의 HTTP 요청을 생성하는 방법을 설명합니다.

취약점

  • 파라미터 유형 혼란
  • 잘못된 파라미터 구조 파싱에서의 차이점
  • RFC 지원의 불일치

결론

현대의 웹 어플리케이션 보안에서 WAF는 악의적인 웹 트래픽을 감지하고 차단하는 데 있어 필수적인 역할을 합니다. 그러나, 이 논문은 프로토콜 수준에서의 회피 취약점을 통해 WAF를 우회할 수 있는 신종 위협에 초점을 맞추고 있습니다. 이러한 취약점은 WAF와 웹 어플리케이션 간의 HTTP 파싱 차이를 악용함으로써 발생합니다. 연구팀은 WAF Manis라는 새로운 테스팅 방법론을 제안하여 자동으로 이러한 프로토콜 수준 회피 취약점을 발견할 수 있었습니다.

테스트 결과, WAF Manis는 여러 인기 있는 WAF와 웹 프레임워크를 대상으로 하여 총 311개의 프로토콜 수준 회피 사례를 발견했습니다. 이는 모든 테스트 대상 WAF와 어플리케이션에 영향을 미치는 것으로 나타났습니다. 분석을 통해 이러한 취약점들이 주로 세 가지 주요 원인에 기인하는 것으로 밝혀졌습니다: 파라미터 타입 혼동, 변형된 파라미터 구조, RFC 지원 간격입니다. 이러한 발견은 WAF의 보안을 강화하는 데 중요한 시사점을 제공합니다.

image

논문리뷰, 네트워크, 보안
WAF 보안
이 기사는 저작권자의 CC BY 4.0 라이센스를 따릅니다.