# 2026 WAF 비교: 패딩 우회 공격이 판도를 바꾸다
체크포인트의 테스트 결과, 대부분의 WAF가 React2Shell 같은 새로운 패딩 기반 공격에 취약한 것으로 드러났습니다. 단 두 솔루션만 완벽한 보호를 제공했으며, 나머지는 위협을 놓치거나 정상 트래픽을 차단했습니다.
전통 WAF의 구조적 한계
서명 기반 분석에 의존하는 전통 WAF는 고도화된 멀웨어에 점점 한계를 드러내고 있습니다. 2024-25년 테스트에서 이미 이 문제가 부각됐지만, 2026년 패딩 우회 공격 벡터가 등장하면서 평가 기준이 완전히 바뀌었습니다. 이 기술은 공격자들이 악성 코드를 방대한 "잡데이터"에 숨겨 표준 8-128KB 검사 버퍼를 우회하게 합니다.
핵심 지표: 보안 vs 탐지
WAF를 선택할 때 두 가지 중요한 지표가 종종 충돌합니다:
- 보안 품질 (진양성률) — 악성 요청을 정확히 식별하고 차단하는 능력.
- 탐지 품질 (위양성률) — 정상 트래픽을 거짓 경보 없이 통과시키는 능력.
이상적인 WAF는 둘 다 균형 있게 처리합니다. 객관적 평가를 위해 균형 정확도를 사용합니다 — 이 두 지표의 평균값입니다.
주요 WAF 테스트 결과
2025년 12월, 체크포인트는 Microsoft Azure, AWS, Cloudflare, F5, Google, Fortinet, Imperva 등의 인기 WAF 13개 구성으로 테스트를 진행했습니다. 테스트에 사용된 데이터:
- 692개 실제 웹사이트에서 추출한 1,040,242개의 정상 HTTP 요청.
- 일반 공격 벡터에서 생성된 74,284개의 악성 조합.
균형 정확도별 결과:
- open-appsec / CloudGuard WAF (critical 프로필) — 99.453%
- open-appsec / CloudGuard WAF (기본 프로필) — 99.283%
- F5 NGINX App Protect WAF — 94.071%
극단적 사례에서 불균형이 두드러집니다:
- Imperva Cloud WAF는 위양성률이 0.009%로 우수했으나 실제 위협의 88.03%를 놓쳤습니다.
- Microsoft Azure WAF는 위협의 97.537%를 차단했으나 위양성률 54.412%로 앱 기능을 방해했습니다.
패딩 우회 위협과 WAF의 세 가지 행동 패턴
패딩 우회 데이터셋(React2Shell의 CVE-2025-55182 활용)을 도입해 핵심 구조 차이를 드러냈습니다. 잡데이터에 숨겨진 대용량 페이로드는 서명 데이터베이스가 아닌 요청 처리 메커니즘을 테스트합니다. 테스트에서 세 가지 패턴이 관찰됐습니다:
- 오픈 실패 (Fail Open) — WAF가 요청 일부(예: 처음 128KB)만 검사해 위협을 놓치고 전체를 통과시킵니다. 결과: 제로데이 취약.
- 클로즈 실패 (Fail Close) — 요청이 버퍼를 초과하면 전체 차단. 결과: 높은 위양성, 정상 대용량 요청(JSON, 파일 업로드) 차단.
- 완전 커버리지 — 크기 상관없이 전체 요청 본문을 분석해 숨겨진 위협 포착, 정상 트래픽은 통과. 결과: 최적 보호.
패딩 우회 공격에 대한 WAF 행동 비교
| WAF | 대용량 요청 행동 | 결과 | 상태 |
| :--- | :--- | :--- | :--- |
| open-appsec / CloudGuard WAF | 완전 커버리지 | 보호됨 | ✅ |
| Google Cloud Armor | 완전 커버리지 | 보호됨 | ✅ |
| Microsoft Azure WAF | 클로즈 실패 | 정상 요청 차단 | ❌ |
| AWS WAF (Managed & F5 Rules) | 클로즈 실패 | 정상 요청 차단 | ❌ |
| Cloudflare WAF | 오픈 실패 | 패딩 우회 취약 | ❌ |
| F5 NGINX AppProtect | 오픈 실패 | 패딩 우회 취약 | ❌ |
| F5 BIG-IP Advanced WAF | 오픈 실패 | 패딩 우회 취약 | ❌ |
| Fortinet FortiAppSec | 오픈 실패 | 패딩 우회 취약 | ❌ |
open-appsec/CloudGuard와 Google Cloud Armor만 완전 커버리지를 달성했습니다. Cloudflare, F5, Fortinet 등 대부분은 오픈 실패로 앱을 노출시켰고, AWS와 Azure는 클로즈 실패로 사용성을 희생했습니다.
테스트 도구의 진화와 이상 징후
테스트 도구는 PDF 보고서, 결과 시각화, 로그 예시를 갖춘 완전한 플랫폼으로 발전했습니다. Docker 지원으로 빠른 검증이 가능합니다. 하지만 Imperva Cloud WAF가 테스트 도구 트래픽(정상 요청 포함) 100%를 차단한 이상 징후가 발견됐습니다 — 감사 도구 자체를 타깃으로 한 공격적 휴리스틱 때문입니다.
주요 교훈
- 패딩 우회 공격이 새 기준 — React2Shell 같은 위협에 대응하려면 모든 요청 크기를 처리해야 합니다.
- 지표 균형 필수 — 보안이나 탐지만 보고 선택하면 취약점이나 다운타임 위험이 큽니다.
- 구조가 결과 좌우 — 머신러닝 기반 스트리밍 분석만 성능 저하 없이 완전 커버리지를 제공합니다.
- 설정 중요 — open-appsec 등 다양한 모드 테스트로 설정이 균형 정확도에 미치는 영향을 확인할 수 있습니다.
- 테스트 도구 고도화 — 현대 플랫폼은 WAF 선택과 튜닝을 위한 상세 보고서를 제공합니다.
— Editorial Team
아직 댓글이 없습니다.