개인 학습용 chatgpt 검색 내용.
--------------------
WAAP란?
WAAP = Web Application and API Protection
즉,
👉 웹 서비스와 API를 공격으로부터 보호하는 보안 체계입니다.
예전의 단순한 WAF를 넘어서
- 웹 애플리케이션 보호
- API 보호
- Bot 공격 방어
- DDoS 방어
까지 포함한 개념입니다.
1. 왜 WAAP가 필요한가
예전에는
방화벽 + WAF만으로 충분했지만,
지금은
- API 공격 증가
- Bot 공격 증가
- 계정 탈취
- Credential Stuffing
- Layer 7 DDoS
- OWASP Top 10 공격
이 훨씬 많아졌습니다.
그래서
👉 “웹 + API 전체를 보호하는 통합 보안”
이 필요해졌고 그게 WAAP입니다.
2. WAAP 구성 요소
① WAF (Web Application Firewall)
가장 기본
막는 것:
- SQL Injection
- XSS
- RCE
- Path Traversal
- Command Injection
- File Inclusion
즉
👉 웹 공격 방어의 핵심
② API Protection
요즘 더 중요
막는 것:
- API Abuse
- Broken Authentication
- Excessive Data Exposure
- Schema Violation
- Token Abuse
즉
👉 REST / GraphQL / Mobile API 보호
③ Bot Management
자동화 공격 방어
막는 것:
- Credential Stuffing
- Account Takeover
- Scraping
- Fake Signup
- Inventory Hoarding
예:
로그인 무차별 대입 공격④ DDoS Protection
대량 공격 방어
막는 것:
- L3/L4 공격
- L7 HTTP Flood
- SYN Flood
- UDP Flood
즉
👉 서비스 다운 방지
⑤ Rate Limiting
과도한 요청 제한
예:
1초에 1000번 로그인 시도
→ 차단⑥ Threat Intelligence
공격자 IP / 악성 봇 차단
- Known bad IP
- ASN 차단
- Geo Blocking
- Reputation 기반 차단
3. WAF vs WAAP 차이
구분WAFWAAP
| 목적 | 웹 공격 방어 | 웹 + API 전체 보호 |
| 보호 범위 | 주로 웹 | 웹 + API + Bot + DDoS |
| Bot 대응 | 약함 | 강함 |
| API 보안 | 제한적 | 핵심 기능 |
| 현대 서비스 적합성 | 부족 | 높음 |
한 줄:
👉 WAF는 WAAP의 일부
4. 대표적인 WAAP 솔루션
Cloud 기반
- Cloudflare
- Akamai
- Imperva
- F5
- Amazon Web Services WAF + Shield + API Gateway
On-Premise
- F5 BIG-IP
- Imperva SecureSphere
- Fortinet
- Palo Alto
5. AWS에서 WAAP 구성 예시
Client
→ Cloudflare
→ Route53
→ ALB
→ ECS / EC2여기서
Cloudflare가
- WAF
- Bot
- DDoS
- Rate Limit
을 담당하면
👉 이미 WAAP 구조
AWS 내부에서는
- ALB
- Security Group
- Shield
- WAF
가 추가 방어
6. 실무에서 자주 보는 오해
오해 ①
“WAF 있으면 WAAP다”
→ 아님
WAF만 있으면 부족
오해 ②
“AWS WAF = 완전한 WAAP”
→ 보통 부족
Bot/API 보호가 약함
오해 ③
“CDN 쓰면 보안도 된다”
→ 아님
CDN ≠ WAAP
7. 보안팀 관점 핵심 질문
실제로는 이렇게 봅니다
질문 1
API까지 보호되는가?
질문 2
Bot 공격 막는가?
질문 3
DDoS 대응 가능한가?
질문 4
자동 정책 업데이트 되는가?
질문 5
False Positive 관리 가능한가?
8. 한 줄 정리
👉 WAF = 웹 공격 차단기
👉 WAAP = 웹 + API + Bot + DDoS 전체 방어 체계
즉
👉 “WAF보다 훨씬 큰 개념”
'C.S. > AWS' 카테고리의 다른 글
| Cloudflare (0) | 2026.04.29 |
|---|---|
| ALB (Application Load Balancer) (0) | 2026.04.29 |
| OTel Collector (0) | 2026.04.29 |