WAF 적용 판단

WAF 운영 기준

WAF는 SQL injection, XSS, path traversal 같은 요청 패턴을 탐지하지만 CRS 튜닝, API schema 검증, bypass 테스트가 없으면 방어 품질이 흔들린다.

01

요청 파싱

URL, query, header, cookie, body를 디코딩하고 정규화한다.

normalization
02

규칙 평가

CRS/커스텀 룰이 SQLi, XSS, RCE, traversal 흔적에 점수를 부여한다.

anomaly score
03

스키마 비교

API라면 OpenAPI schema와 method/path/field type을 맞춰 비정상 입력을 줄인다.

positive model
04

차단/로깅

임계치를 넘으면 block, challenge, log-only 중 운영 모드에 맞게 처리한다.

action mode
false positive
정상 요청 차단 검색어, 게시글, JSON payload가 공격 패턴과 겹치면 rule exception을 좁게 둔다.
business impact
false negative
인코딩/분할로 우회 중복 인코딩, case 변형, chunked body를 정규화 후 검사해야 한다.
bypass test
API gap
문법은 정상이나 도메인상 비정상 WAF만으로 권한/금액/상태 전이 검증은 대체할 수 없다.
app validation 필요
log-only
탐지는 하지만 차단하지 않음 초기 튜닝에는 유용하지만 전환 기준과 기간을 정해야 한다.
운영 모드

WAF 정책 배포 점검

OWASP CRS 기본 규칙 세트 버전과 예외 목록을 변경 이력으로 관리한다.
샘플 공격 SQLi/XSS/traversal 샘플이 차단되고 정상 긴 입력은 통과하는지 테스트한다.
우회 회귀 인코딩 변형과 JSON API payload에 대한 회귀 테스트를 둔다.