WAF vs 방화벽: 웹 애플리케이션 및 네트워크 방화벽

 

정교한 사이버 공격과 디지털 혁신의 시대인 요즘, 기업이 마주하는 위협과 보안 조치가 무엇으로부터 보호해야 하는지 이해하는 것이 중요합니다. 특히 방화벽의 경우 웹 애플리케이션 방화벽과 네트워크 방화벽이 다양한 유형의 공격으로부터 조직을 보호하므로 더 깊이 이해해야 합니다. 따라서 네트워크 방화벽이 애플리케이션 방화벽과 어떻게 다른지, 그리고 웹 공격과 광범위한 네트워크 공격을 어떻게 막을 것인지를 이해하는 것이 중요합니다.

기존에는 기업은 최신 보안 위협으로부터 보호할 수 있는 유연성과 투명성이 부족한 네트워크 방화벽으로 데이터와 사용자를 보호해 왔습니다. 그러나 BYOD(Bring Your Own Device), 퍼블릭 클라우드 및 SaaS(Software-as-a-Service) 솔루션의 성장으로 보안 전략에 WAF(웹 애플리케이션 방화벽)을 추가해야 하는 상황이 되었습니다. 이를 통해 원격 서버에 저장되고 브라우저 인터페이스를 통해 인터넷을 통해 전달되는 웹 애플리케이션에 대한 공격으로부터의 보호를 강화하고 해커의 표적이 됩니다.

 

애플리케이션과 네트워크 수준 방화벽의 차이점 이해하기

WAF는 HTTP(하이퍼텍스트 전송 프로토콜) 트래픽을 타깃으로 지정하여 웹 애플리케이션을 보호합니다. 이는 외부 및 내부 네트워크 트래픽 사이에 장벽을 제공하는 표준 방화벽과는 다릅니다.

WAF는 외부 사용자와 웹 응용 프로그램 사이에 위치하여 모든 HTTP 통신을 분석합니다. 그런 다음, 사용자 또는 웹 애플리케이션에 도달하기 전에 악성 요청을 감지하고 차단합니다. 그 결과 WAF는 제로 데이 위협 및 기타 애플리케이션 계층 공격으로부터 비즈니스 크리티컬 웹 애플리케이션과 웹 서버를 보호합니다. 이는 기업이 새로운 디지털 이니셔티브로 확장함에 따라 점점 더 중요해지며, 이로 인해 새로운 웹 애플리케이션과 API(애플리케이션 프로그래밍 인터페이스)가 공격에 취약해질 수 있습니다.

네트워크 방화벽은 공격의 위험을 방지하기 위해 무단 액세스로부터 LAN(보안 근거리 네트워크)을 보호합니다. 주요 목표는 보안 구역을 덜 안전한 구역과 분리하고 두 구역 간의 통신을 제어하는 것입니다. 이것이 없으면 IP(공용 인터넷 프로토콜) 주소가 있는 컴퓨터는 네트워크 외부에서 액세스할 수 있으며 잠재적으로 공격의 위험이 있습니다.

애플리케이션 트래픽 대 네트워크 트래픽 비교

기존의 네트워크 방화벽은 사설 네트워크에 대한 무단 액세스를 완화하거나 방지합니다. 방화벽 정책은 네트워크에 허용되는 트래픽을 정의하고 다른 모든 액세스 시도는 차단됩니다. 이를 방지하는 네트워크 트래픽의 사례는 권한이 없는 사용자와 덜 안전한 영역에 있는 사용자 또는 장치의 공격입니다.

WAF는 특히 애플리케이션 트래픽을 대상으로 합니다. 네트워크의 인터넷 연결 영역에서 HTTP 및 HTTPS(Hypertext Transfer Protocol Secure) 트래픽과 애플리케이션을 보호합니다. 이를 통해 XSS(교차 사이트 스크립팅) 공격, DDoS(분산 서비스 거부) 공격 및 SQL 주입 공격과 같은 위협으로부터 기업을 보호합니다.

레이어 7 대비 레이어 3 및 4에서의 보호 수준

애플리케이션 수준 방화벽과 네트워크 수준 방화벽의 주요 기술 차이점은 작동하는 보안 계층입니다. 이는 통신 및 컴퓨팅 시스템 내의 통신 기능을 특성화하고 표준화하는 OSI(개방형 시스템 상호 접속) 모델에 의해 정의됩니다. 

WAF는 애플리케이션 수준인 OSI 모델 레이어 7에서 공격을 보호합니다. 여기에는 Ajax, ActiveX 및 JavaScript와 같은 애플리케이션에 대한 공격과 쿠키 조작, SQL 인젝션 및 URL 공격이 포함됩니다. 또한 웹 브라우저와 웹 서버를 연결하는 데 사용되는 웹 애플리케이션 프로토콜 HTTP 및 HTTPS를 대상으로 합니다. 

예를 들어 레이어 7 DDoS 공격은 HTTP 요청에 대한 응답으로 웹 페이지가 생성되고 전달되는 서버 레이어로 트래픽 폭주를 보냅니다. WAF는 대상 서버를 악성 트래픽으로부터 보호하고 DDoS 도구 사용을 식별하기 위한 요청을 필터링하는 역방향 프록시 역할을 하여 이를 완화합니다. 

네트워크 방화벽은 데이터 전송 및 네트워크 트래픽을 보호하는 레이어 3 및 4의 OSI 모델에서 작동합니다. 여기에는 도메인 이름 시스템(DNS) 및 파일 전송 프로토콜(FTP)과 단순 메일 전송 프로토콜(SMTP), 보안 셸(SSH) 및 텔넷에 대한 공격이 포함됩니다.

웹 공격과 무단 액세스 비교

WAF 솔루션은 애플리케이션을 표적으로 하는 웹 기반 공격으로부터 기업을 보호합니다. 애플리케이션 방화벽이 없으면 해커는 웹 애플리케이션 취약성을 통해 더 광범위한 네트워크에 침투할 수 있습니다. WAF는 다음과 같은 흔한 웹 공격으로부터 기업을 보호합니다.

• 직접 서비스 거부(DoS): 인터넷 트래픽에 과부하를 주어 네트워크, 서비스 또는 서버를 방해하려는 시도입니다. 대상의 리소스를 소진시키는 것을 목표로 하며 트래픽이 항상 명백하게 악의적인 것은 아니기 때문에 방어하기 어려울 수 있습니다.
• SQL 인젝션: 해커가 웹 애플리케이션 뒤에 있는 데이터베이스 서버를 제어하는 ​​악성 SQL 문을 실행할 수 있게 하는 일종의 주입 공격입니다. 이를 통해 공격자는 웹 페이지 인증 및 권한 부여를 우회하고 SQL 데이터베이스의 내용을 검색한 다음 해당 레코드를 추가, 수정 및 삭제할 수 있습니다. 사이버 범죄자는 SQL 주입을 사용하여 고객 정보, 개인 데이터 및 지적 재산에 액세스할 수 있습니다. 그것은 2017년에  OWASP Top 10 에서 웹 애플리케이션 보안에 대한 최고의 위협으로 선정되었습니다.
• 교차 사이트 스크립팅(XSS): 공격자가 응용 프로그램과의 사용자 상호 작용을 손상시킬 수 있는 웹 보안 취약점입니다. 이를 통해 공격자는 서로 다른 웹사이트를 분리하는 동일 출처 정책을 우회할 수 있습니다. 결과적으로 공격자는 정품 사용자로 가장하여 권한이 있는 데이터와 리소스에 액세스할 수 있습니다. 

네트워크 방화벽은 네트워크 내부와 외부로 들어오는 무단 액세스 및 트래픽을 방지어합니다. 네트워크 방화벽은 인터넷에 연결되는 장치 및 시스템을 방어합니다. 자주 사용되는 네트워크 공격의 예는 다음과 같습니다.

• 무단 액세스: 공격자가 무단으로 네트워크에 액세스합니다. 이는 일반적으로 취약한 비밀번호, 소셜 엔지니어링 및 내부 위협 요소를 이용한자격 증명 도용 및 손상된 계정을 통해 달성됩니다.
• MITM(Man-in-the-middle) 공격: 공격자는 네트워크와 외부 사이트 간 또는 네트워크 자체 내에서 트래픽을 가로챕니다. 이는 종종 공격자가 전송 데이터를 훔친 다음 사용자 자격 증명을 획득하고 사용자 계정을 하이재킹할 수 있도록 하는 안전하지 않은 통신 프로토콜의 결과입니다.
• 권한 에스컬레이션: 공격자는 네트워크에 액세스 권한을 얻은 후, 권한 에스컬레이션을 사용하여 시스템에 대한 접근 범위를 더 깊게 확장합니다. 공격자는 수평적으로 접근하여 인접 시스템에 접근하거나 수직적으로 동일한 시스템 내에서 더 높은 권한을 얻을 수 있습니다.

애플리케이션 또는 네트워크 방화벽 선택

표준 네트워크 방화벽과 WAF는 다양한 유형의 위협으로부터 보호하므로 올바른 보안 수단을 선택하는 것이 중요합니다. 네트워크 방화벽만으로는 WAF 기능을 통해서만 예방할 수 있는 웹 페이지에 대한 공격으로부터 기업을 보호할 수 없습니다. 따라서 애플리케이션 방화벽이 없으면 기업은 웹 애플리케이션 취약성을 통해 광범위한 네트워크에 걸쳐 공격당할 수 있습니다. 그러나 WAF는 네트워크 레이어의 공격으로부터 보호할 수 없으므로 네트워크 방화벽을 대체하기보다는 보완해야 합니다. 

웹 기반 솔루션과 네트워크 솔루션은 모두 서로 다른 계층에서 작동하며 서로 다른 유형의 트래픽으로부터 보호합니다. 경쟁보다는 오히려, 서로 보완되어야 합니다. 일반적으로 네트워크 방화벽은 광범위한 트래픽 유형을 보호하는 반면, WAF는 전통적 접근 방식으로는 막을 수 없는 특정 위협을 처리합니다. 따라서 특히 비즈니스 운영 체제가 웹과 밀접하게 작동하는 경우 두 가지 솔루션을 모두 사용하는 것이 좋습니다.

둘 중 하나를 선택하는 것보다, 문제는 오히려 비즈니스 요구에 가장 적합한 WAF 시스템을 선택하는 것에 더 있습니다. WAF에는 하드웨어 가속기가 있어야 하며, 트래픽을 모니터링하고 악의적 시도를 차단할 수 있어야 하고 가용성이 높아야 하며, 비즈니스 성장에 따라 성능을 유지할 수 있도록 확장 가능해야 합니다.

차세대 방화벽과 WAF 대 네트워크 방화벽 비교

모든 보안 계층을 보호하기 위해 별도의 방화벽 제품을 구입하는 것은 비용도 많이 들고 번거롭습니다. 그것은 기업을 차세대 방화벽(NGFW)과 같은 포괄적인 솔루션으로 비즈니스를 이끌고 있습니다. NGFW는 일반적으로 네트워크 방화벽과 WAF의 기능을 중앙에서 관리되는 시스템으로 결합합니다. 또한 최신 보안 위협으로부터 비즈니스를 보호하는 데 필수적인 보안 정책에 대한 추가 컨텍스트를 제공합니다. 

NGFW는 사용자의 신원, 사용 시간 및 위치와 같은 정보를 활용하여 사용자가 자신의 신원을 입증하는 컨텍스트 기반 시스템입니다. 이러한 정보를 통해 기업은 정보를 기반으로 사용자 액세스에 대한 지능적 판단을 내릴 수 있습니다. 여기에는 바이러스 방지, 멀웨어(Malware) 방지, 침입 방지 시스템 및 URL 필터링과 같은 기능도 포함됩니다. 이를 통해 기업이 해결해야 할 점점 더 지능화되어가는 보안 위협에 대응하여 보안 정책의 효과를 단순화하고 개선합니다.

디지털 보안에 대한 단일하고 포괄적인 시각을 갖는 것이 위협에 대응하기 더 쉽고 비용 효율적입니다. 그러나 NGFW가 네트워크 및 웹 애플리케이션 보호를 위한 모든 기반을 포함하도록 광범위한 기능을 보장하는 것 또한 중요합니다. WAF는 코드 삽입, 쿠키 서명, 사용자 지정 오류 페이지, 요청 위조 및 URL 암호화로부터 웹 응용 프로그램을 보호하는 특정 역할을 합니다. 따라서 FortiWeb과 같은 전용 웹 애플리케이션 방화벽 과 함께 NGFW를 사용해야 할 수 있습니다.

Fortinet은 알려진 취약성과 알려지지 않은 취약점 모두를 대상으로 하는 공격으로부터 비즈니스 크리티컬 웹 애플리케이션을 보호합니다. FortiWeb 솔루션은 기업의 웹 애플리케이션의 급속한 발전에 보조를 맞춰 새로운 기능을 배포하고, 새로운 웹 API를 공개하고, 기존 애플리케이션을 업데이트할 때마다 웹 애플리케이션이 계속 보호되도록 합니다.

FortiWeb은 DDoS 방어 및 프로토콜 검증부터 애플리케이션 공격 서명, 봇 완화 및 IP 평판에 이르기까지 모든 보안 위협으로부터 비즈니스를 보호하기 위한 포괄적인 보호 기능을 제공합니다. 또한 기계 학습을 사용하여 대부분의 WAF에 필요한 시간 소모적인 수동 작업 없이 양성 및 악의적인 트래픽을 식별하는 데 사용되는 정상적인 사용자 행동 모델을 자동으로 구축 및 유지 관리합니다.

 

 

 

https://www.fortinet.com/kr/resources/cyberglossary/waf-vs-firewall

WAF vs. 방화벽: 웹 애플리케이션과 네트워크 방화벽 차이| Fortinet