웹 애플리케이션 방화벽 (WAF)

A 웹 애플리케이션 방화벽 (WAF) 웹 애플리케이션과 인터넷 간의 HTTP 트래픽을 필터링하고 모니터링하여 웹 애플리케이션을 보호하는 데 사용됩니다. 일반적으로 크로스 사이트 위조, 크로스 사이트 스크립팅(XSS), 파일 포함, SQL 인젝션 등의 공격으로부터 웹 애플리케이션을 보호합니다. 이 방어 방법은 모든 형태의 공격을 차단하도록 설계된 것은 아닙니다. 대부분의 방어 시스템과 마찬가지로, 다양한 공격 벡터에 대한 강력한 방어를 구축하려면 여러 방어 시스템이 필요합니다.

웹 애플리케이션 방화벽을 설치하면 웹 애플리케이션 앞에 설치되어 웹 애플리케이션과 인터넷 사이에 방패 역할을 합니다. WAF의 목적은 악성 트래픽을 걸러내고 안전한 트래픽만 유입시키는 것입니다. 

출처: Cloudflare

추가 독서 과제 : 조직의 저항 없이 웹 애플리케이션 보안

관련 용어: 애플리케이션 프록시, 방화벽, 역방향 프록시

SMB도 WAF를 가져야 할까요?

여유가 된다면 웹 애플리케이션 방화벽(WAF)을 구축하는 것이 좋습니다. WAF는 암호화되지 않은 트래픽을 감지해야 하므로 SSL 트래픽을 복호화하고 HTTP 트래픽을 WAF를 통해 웹 서버로 리디렉션하기 전에 다른 장치가 필요하다는 점을 명심해야 합니다. WAF는 웹사이트를 상당히 복잡하게 만들기 때문에 보안에 취약합니다. 하지만 일부 보안 전문가에 따르면, 웹 애플리케이션 방화벽을 구축하는 것은 다양한 해커 공격으로부터 웹사이트와 웹 애플리케이션을 보호하는 가장 좋은 방법입니다. WAF는 프록시 역할을 하며 웹사이트의 트래픽을 모니터링하여 해커가 웹사이트의 보호된 콘텐츠에 접근하거나, 더 심각한 경우 특수 제작된 공격 패킷을 통해 웹사이트에 침입하는 것을 방지합니다. 또한, WAF는 개발자가 미처 알아차리지 못한 웹사이트의 취약점을 보호합니다. 해커들은 많은 중소기업(SMB)이 기본적인 사이버 보안 조치가 부족하다는 것을 깨닫고 중소기업을 점점 더 노리고 있습니다. 따라서 중소기업 소유주는 웹사이트를 직접 관리하고 전반적인 보안을 강화해야 합니다. 중소기업을 위한 참고 사항: 처리를 위해 제3자 공급업체에 넘기지 않고 웹 애플리케이션에서 직접 신용 카드를 처리하는 경우 PCI/DSS 규정 준수를 위해 WAF 솔루션을 배포해야 합니다.

WAF에 대해 자세히 알아보려면 3분 분량의 짧은 영상을 시청하세요.