WAF(Web Application Firewall)는 웹 공격을 탐지하고 차단하는 보안 장비로, SQL Injection, XSS, RCE 등 다양한 공격 패턴을 식별한다. 하지만 WAF 로그는 단순히 “탐지됨”이라는 결과만으로 해석하면 안 되며, 차단 여부, 응답코드, 요청 URI, 반복성 등을 함께 분석해야 실제 공격 여부를 판단할 수 있다.
WAF에서 탐지되었다고 해서 모두 실제 침해로 이어진 것은 아니다.
blocked, detection only, redirect, allowed 상태를 구분하고,
응답코드와 요청 패턴을 함께 확인해야 정확한 판단이 가능하다.
탐지는 룰 매칭, 차단은 실제 차단이다. detection only 상태에서는 공격이 그대로 전달될 수 있다.
- blocked
- detection only
- redirect
- allowed
공격 문자열 포함 요청이 200이면 실제 처리 가능성이 있어 우선 분석 대상이다.
/.env, /phpmyadmin, /wp-login.php 등은 취약점 탐색 가능성 높음
동일 IP 반복 요청 → 자동화 공격 가능성 높음
WAF 분석은 탐지보다 차단 여부와 결과를 함께 보는 것이 핵심이다.