AWS WAF Rate-based Rule를 이용한 크리덴셜 스터핑 대응

- 협업기획부서에서 해외 임의 IP에서 계정 로그인시도가 다수 발생하고 있어 대응 요청.

 

AWS WAF ATP와 AWS WAF Rate-based Rule 두가지 방안중 AWS WAF ATP가 기능은 좋지만 비용이슈 문제로 AWS WAF Rate-based Rule을 이용

 

	AWS WAF ATP	AWS WAF Rate-based Rule
주요 목적	고급 위협 탐지 및 방어 (SQL Injection, XSS, 봇 탐지 등)	특정 요청 횟수 기반으로 악성 트래픽 차단
적용 대상	모든 요청 (공통 취약점, 봇 활동, 정교한 위협 탐지)	특정 IP에서의 과도한 요청
설정 난이도	사전 정의된 규칙 사용 (설정 간단)	사용자 정의 규칙 작성 필요
위협 탐지 방식	정교한 패턴 매칭, 머신러닝 기반 분석	단순 요청 횟수 비교
비용	Managed Rules 사용량에 따라 추가 비용 발생	요청량에 비례한 WAF 기본 비용만 발생
False Positive 가능성	규칙의 세분화로 낮은 편	제한된 조건으로 False Positive 발생 가능
실시간 대응	위협 탐지 후 즉시 차단 가능	임계치 초과시 차단

 

 

해외 IP에서 악의적인 로그인 시도가 빈번히 발생하는 문제를 해결하기 위해 AWS WAF 기반의 차단 정책을 설계.
국내 IP에 대해서는 제한 없이 요청을 허용하되, 해외 IP는 3분 동안 50회 이상의 로그인 시도를 차단하도록 설정

 

1. AWS WAF의 GeoMatch Rule을 사용하여 한국 IP를 허용하는 규칙을 작성.

2. AWS WAF의 Rate-based Rule을 작성 

 > Rate Limit: 50 requests per 3 minutes.

 > 특정 엔드포인트(/login)만 대상으로 설정하여 불필요한 요청을 필터링.

 

3. CloudWatch Logs 분석
 > WAF 로그를 CloudWatch와 연동하여 차단 이벤트를 실시간으로 모니터링

4. AWS Lambda를 활용하여 WAF 차단 이벤트를 분석하고, 관리부서에게 실시간 알림(Telegram)을 전송

 

※ 정리

AWS WAF: GeoMatch Rule, Rate-based Rule.
AWS CloudWatch: WAF 로그 분석 및 대시보드 구성.
AWS Lambda: WAF 이벤트 기반 알림 및 자동화.
Telegram API: 실시간 보안 이벤트 알림.
Slack API: 팀 협업을 위한 추가 알림 구성.