AWS WAF 비용 구조 완전 이해하기
오늘날 웹 애플리케이션은 비즈니스의 핵심이자 사이버 공격의 주요 표적입니다. SQL 인젝션, 크로스사이트 스크립팅(XSS), DDoS 공격 등 다양한 위협으로부터 웹 서비스를 보호하기 위해 WAF(Web Application Firewall)와 같은 보안 솔루션은 이제 선택이 아닌 필수가 되었습니다. AWS WAF는 AWS 환경에서 이러한 웹 계층 공격을 효과적으로 방어하는 완전 관리형 서비스로, 직관적인 설정과 강력한 기능으로 웹 보안의 방패 역할을 수행합니다.
그러나 클라우드 자원의 최적화된 사용과 비용 관리를 핵심으로 하는 비용절감 관점에서 볼 때, 단순히 WAF를 '적용하는 것'을 넘어 '얼마나 효율적으로 적용하는가'는 매우 중요한 질문이 됩니다. WAF의 보호는 필수적이지만, 그 비용은 간과되기 쉽습니다. WebACL 개수, 규칙(Rule) 수, 그리고 무엇보다 처리되는 요청량에 따라 요금이 부과되는 WAF의 특성을 정확히 이해하지 못하면, 불필요한 비용 증가로 이어질 수 있습니다.
이 글에서는 AWS WAF의 기본적인 개념과 기능, AWS Shield 및 Firewall Manager와의 관계를 명확히 설명하고자 합니다. WAF의 비용절감에 대해 구체적으로 논의하기에 앞서 WAF를 비용 관점에서 이해하도록 해보겠습니다.
WAF란 무엇인가?
WAF(Web Application Firewall)는 웹 애플리케이션을 외부의 다양한 보안 위협으로부터 보호하기 위한 방화벽 서비스입니다. 네트워크 방화벽이 IP/포트 기반의 접근을 제어하는 것과 달리, WAF는 애플리케이션 계층(7계층)에서 동작하며 웹 요청의 내용을 검사해 악의적인 패턴을 탐지하고 차단합니다. AWS WAF는 AWS 환경에서 제공되는 매니지드 보안 서비스로, 별도의 하드웨어나 서버 설치 없이 바로 사용할 수 있으며, 웹 트래픽의 흐름에 실시간으로 개입해 보안을 강화합니다.
WAF의 주요 역할은 다음과 같습니다.
공격 차단: SQL 인젝션(SQLi), 크로스사이트 스크립팅(XSS), 파일 포함 공격, 명령어 삽입 공격 등 웹 애플리케이션을 노리는 공격을 탐지해 차단합니다.
봇/크롤러 트래픽 제어: 불필요한 봇, 스크래핑 공격 등을 차단하여 서버 리소스를 보호합니다.
DDoS 완화: 대량의 요청이 한 번에 몰리는 경우 공격 트래픽을 식별해 차단하거나 제한합니다.
커스텀 룰 작성: IP 블록, 헤더 기반 필터링, URI 경로, 쿼리 스트링, HTTP 메서드 등 다양한 조건으로 보안 정책을 정의할 수 있습니다.
로깅 및 모니터링: WAF 로그를 통해 공격 패턴을 분석하고, 필요한 경우 룰셋을 조정해 지속적으로 보안을 강화할 수 있습니다.
WAF는 인터넷을 통해 접근 가능한 모든 웹 애플리케이션이 주요 보호 대상입니다. 특히 다음과 같은 AWS 리소스 앞단에 위치하여 보안을 제공합니다.
Application Load Balancer(ALB): ALB를 통해 서비스되는 웹 애플리케이션 트래픽을 보호
Amazon CloudFront: 글로벌 콘텐츠 배포 네트워크(CDN)에서 웹 요청을 필터링
API Gateway: API 서비스에 대한 악의적 요청 차단
AWS App Runner 및 AWS Amplify: 배포된 애플리케이션에 대한 보안 레이어 제공
기타: 외부 서비스와 통합된 웹 기반 API 및 사용자 인터페이스 보호
AWS WAF, Shield, Firewall Manager의 관계
AWS의 보안 서비스들은 각자 독립적으로 동작하면서도 서로 긴밀하게 통합되어 있어, 단계별 보안 계층을 제공합니다. 이 세 가지 서비스의 관계를 이해하는 것이 클라우드 보안 전략 수립에 매우 중요합니다.
AWS Shield
AWS Shield는 DDoS(Distributed Denial of Service) 공격을 방어하기 위한 AWS의 보안 서비스입니다. DDoS 공격은 웹사이트나 애플리케이션을 과부하 상태로 만들어 정상적인 사용자가 접근할 수 없도록 만드는 공격 방식인데, AWS Shield는 이러한 공격을 탐지하고 자동으로 차단해 줍니다.
Shield는 두 가지 버전으로 제공됩니다. Shield Standard는 AWS에서 기본으로 제공되며, 별도의 추가 비용 없이 모든 AWS 고객이 기본적인 DDoS 보호를 받을 수 있습니다. 이는 대부분의 일반적인 네트워크 계층 공격을 자동으로 방어해 주기 때문에, 특별한 설정 없이도 기본적인 보호를 받을 수 있는 장점이 있습니다.
반면에, Shield Advanced는 좀 더 고급 보호 기능을 제공하는 유료 서비스입니다. 대규모 DDoS 공격까지도 효과적으로 대응할 수 있도록 설계되어 있으며, 공격 발생 시 AWS 보안 전문가(DRT, DDoS Response Team)의 직접 지원, 공격 분석 보고서 제공, 그리고 DDoS 공격으로 인한 비용 폭증에 대한 비용 보호 기능도 포함됩니다. 주로 금융, 게임, 이커머스 등 중요한 서비스를 운영하는 기업에서 Shield Advanced를 선택해 사용합니다.
AWS Firewall Manager
AWS Firewall Manager는 여러 AWS 계정과 리소스를 사용하는 기업 환경에서 WAF, Shield, VPC 보안 그룹 규칙을 한 곳에서 통합 관리할 수 있는 서비스입니다. AWS Organizations를 기반으로 전체 계정을 관리하는 구조를 지원하기 때문에, 대규모 조직이나 팀이 분산된 계정에서 운영하는 경우 특히 유용합니다.
예를 들어, 조직 내에 수십 개의 계정과 수백 개의 리소스(ALB, CloudFront 등)가 있다면, WAF 룰을 하나씩 직접 설정하는 것은 비효율적입니다. 이때 Firewall Manager를 사용하면 중앙에서 WAF 규칙과 보안 정책을 작성해 한 번에 모든 계정과 리소스에 적용할 수 있습니다. Shield Advanced도 마찬가지로 조직 내 모든 계정에 활성화 여부를 설정하고 관리할 수 있습니다.
또한 Firewall Manager는 정책 위반 상황을 감지하고 알림을 제공하여, 보안 상태를 빠르게 파악하고 대응할 수 있도록 도와줍니다. 따라서 Firewall Manager는 보안 설정의 중앙 통제실 역할을 하며, 조직 전체의 보안 정책을 표준화하고 관리 효율성을 크게 높이는 데 기여합니다.
실무에서는 “우리 조직의 모든 ALB에는 반드시 SQL Injection 차단 WAF 룰셋이 적용돼야 한다”는 정책을 수립했을 때, Firewall Manager를 통해 ALB마다 수동으로 WebACL을 설정하지 않고도 자동으로 배포하고 관리할 수 있습니다. 또한 Shield Advanced를 CloudFront 배포에 적용하거나, 보안 그룹 규칙을 강제해 0.0.0.0/0 SSH 허용을 금지하는 등의 정책을 쉽게 배포 및 관리할 수 있어, 대규모 환경에서도 보안 관리의 일관성과 효율성을 크게 높일 수 있습니다.
AWS WAF vs Shield
AWS WAF만으로도 기본적인 DDoS 공격은 일정 부분 막을 수 있습니다. 예를 들어, WAF의 규칙(Rule Set)을 설정해 IP 차단, 요청 수 제한(rate-based rule), 특정 패턴 탐지 등을 통해 애플리케이션 계층(HTTP/HTTPS) DDoS 공격을 탐지하고 차단할 수 있습니다. 특히 OWASP Top 10과 같은 보안 위협에 대한 대응도 가능합니다.
하지만 WAF는 주로 애플리케이션 계층의 공격에 초점을 맞춥니다. WAF의 한계는 네트워크/전송 계층의 대규모 DDoS 공격(TCP SYN Flood, UDP Reflection, DNS Amplification 등)에는 직접 대응하지 못한다는 점입니다. 이런 공격은 HTTP 요청 자체가 서버에 도달하기 전에 발생하기 때문에, WAF 레벨까지 요청이 오지 않습니다.
여기서 AWS Shield의 역할이 중요해집니다.
AWS Shield Standard는 AWS 인프라 전반에 기본 제공되며, 네트워크/전송 계층의 DDoS 공격을 자동으로 완화합니다. 만약 더 높은 수준의 보호가 필요하다면, Shield Advanced를 통해 추가 방어(예: 실시간 모니터링, 공격 알림, 24/7 DDoS Response Team 지원, DDoS 비용 보호 프로그램 등)를 받을 수 있습니다.
즉, WAF와 Shield는 보호 레이어가 다른 보안 도구입니다.
WAF: 애플리케이션 계층 (HTTP 요청 분석, SQL Injection, XSS, rate limiting 등)
Shield: 네트워크/전송 계층 (SYN Flood, UDP Flood, Reflection Attack 등)
WAF만으로는 네트워크 레벨 공격까지는 막을 수 없기 때문에, WAF와 Shield를 함께 사용해야 DDoS 대응 범위를 완성할 수 있는 것입니다.
또 하나, Shield Advanced는 WAF와 연동해 추가 기능을 제공합니다. 예를 들어, Shield Advanced 사용 시 WAF의 요청당 요금이 면제되고, DDoS 비용 보호 프로그램(보상 정책)도 함께 받을 수 있습니다. 따라서 대규모 서비스나 고가용성을 필요로 하는 서비스라면 WAF와 Shield를 함께 사용하는 것이 보안과 비용 리스크 관리 측면에서 훨씬 안전한 선택입니다.
AWS WAF와 AWS Firewall Manager
AWS WAF는 개별 웹 애플리케이션의 보안을 강화하는 강력한 도구인 반면, AWS Firewall Manager는 여러 AWS 계정과 리소스에 걸쳐 WAF 보안 정책을 중앙에서 통합 관리하고 배포하는 서비스입니다. 즉, WAF가 웹 애플리케이션 '개별'의 방패 역할을 한다면, Firewall Manager는 '조직 전체의 WAF 정책을 일관되게 적용하고 관리하는 컨트롤 타워' 역할을 수행합니다.
이 둘을 함께 사용하면 특히 다음과 같은 이점을 얻을 수 있습니다.
일관된 보안 정책 적용: 조직 내 수십, 수백 개의 웹 애플리케이션(ALB, CloudFront 등)에 동일한 WAF 보안 규칙(예: SQL 인젝션 차단 룰셋)을 수동으로 일일이 설정할 필요 없이, Firewall Manager를 통해 한 번에 모든 리소스에 배포하고 관리할 수 있습니다.
관리 효율성 극대화: 보안 관리자는 중앙에서 모든 WAF 규칙을 생성, 수정, 삭제할 수 있으며, 이 변경 사항이 자동으로 모든 대상 리소스에 반영되므로 운영 부담이 크게 줄어듭니다.
보안 규정 준수 및 감사 용이: Firewall Manager는 정책 위반 사항을 지속적으로 감지하고 보고하므로, 조직의 보안 규정 준수 상태를 쉽게 파악하고 감사에 필요한 정보를 효율적으로 얻을 수 있습니다.
따라서, 단일 계정의 소규모 환경에서는 WAF 단독 사용으로 충분할 수 있지만, 여러 계정을 사용하거나 다수의 웹 애플리케이션을 운영하는 대규모 조직이라면 AWS WAF와 AWS Firewall Manager를 함께 사용하여 보안 정책의 일관성과 관리 효율성을 동시에 확보하는 것이 가장 효과적인 전략입니다.
WAF 요금 체계
WAF의 주요 요금 정책은 아래 링크에서 확인할 수 있습니다.
WebACL(웹 ACL) 단위 과금
AWS WAF는 WebACL(Web Access Control List) 단위로 기본 요금이 발생합니다. WebACL은 ALB, CloudFront, API Gateway, AppSync 등 보호하고자 하는 리소스에 적용되는 보안 정책의 컨테이너 역할을 하며, WebACL을 생성하고 활성화하는 시점부터 요금이 청구됩니다.
서울 리전 기준으로, WebACL 1개당 기본 요금은 월 $5.00입니다. 즉, 하나의 ALB와 하나의 API Gateway에 각각 별도로 WebACL을 생성해 적용하면, WebACL 2개 × $5.00 = 월 $10.00의 기본 요금이 발생합니다.
이 요금은 WebACL이 실제로 요청을 차단하거나 허용하지 않더라도, 존재하고 연결되어 있는 것만으로 발생하는 고정 비용입니다.
예를 들어, 하나의 ALB와 하나의 API Gateway에 각각 별도의 WebACL을 적용하면, WebACL 2개에 대한 기본 요금이 청구되며, 이 외에도 추가 규칙과 요청량에 따라 추가 비용이 발생하게 됩니다.
따라서 WebACL을 생성할 때는 정말 필요한 만큼만 만들고, 가능한 한 여러 리소스에 하나의 WebACL을 재사용해 비용을 절감하는 것이 좋습니다.
Rule 단위 과금
AWS WAF는 WebACL 단위 요금 외에도, 각 WebACL에 추가된 Rule 단위로 별도의 요금을 부과합니다. Rule이란 WebACL 내에서 작동하는 개별 보안 조건으로, 예를 들어 다음과 같은 Rule이 여기에 해당합니다.
IPSet Rule (특정 IP 차단/허용)
GeoMatch Rule (국가 기반 필터링)
SQL Injection Rule
XSS 필터링 Rule
Header/String 검사 Rule 등
WAF의 요금 체계는 WebACL을 기본 단위로 하고, 여기에 추가로 사용자가 WebACL 안에 설정한 Rule 개수만큼 추가 과금이 발생하는 방식입니다. 서울 리전 기준 요금은 커스텀 Rule 1개당 월 $1입니다.
예를 들어, 하나의 WebACL에 5개의 Rule(IP Match Rule, Geo Match Rule, String Match Rule 등)을 추가했다면, 해당 WebACL 요금 외에도 5개의 Rule에 대한 요금이 매월 추가로 청구됩니다.
따라서 Rule을 설계할 때는 보안 목적에 필요한 Rule만 최소한으로 구성하고, 불필요하게 중복되는 Rule이 없는지 점검하여 비용이 과도하게 증가하지 않도록 주의해야 합니다.
또한, AWS에서 제공하는 관리형 Rule Group(Managed Rule Group) 사용 시에는 별도의 요금 정책이 적용되므로, 커스텀 Rule과 혼합 사용 시에는 가격 구조를 잘 이해하고 설계하는 것이 중요합니다.
요청 수(Request Count) 단위 과금
AWS WAF의 요금 체계 중 하나는 요청 수(Request Count) 단위 과금입니다. 이는 WebACL과 Rule 설정 외에도, 실제로 WAF가 처리하는 웹 요청의 양에 따라 비용이 추가로 부과되는 구조를 의미합니다.
즉, WebACL과 Rule이 설정된 웹 애플리케이션으로 들어오는 모든 HTTP(S) 요청이 WAF를 통과할 때마다, 해당 요청 수에 따라 일정 금액이 부과됩니다. 예를 들어, WAF를 통해 매달 1000만 건의 요청이 처리된다면, 이 1000만 건의 요청에 대해 별도의 요금이 청구되는 것입니다. 서울 리전 기준 요금은 100만 요청 당 $0.6입니다.
요청 수는 WAF의 주요 비용 결정 요소 중 하나이며, 웹사이트나 API의 트래픽이 많을수록 요청 단위 요금이 누적되기 때문에 주의해야 합니다. 특히 대규모 서비스나 이벤트 트래픽이 몰리는 경우, 요청 수 과금이 전체 WAF 비용에서 큰 비중을 차지할 수 있습니다.
이를 관리하기 위해서는 불필요한 요청을 차단하는 프리필터링 설정을 강화하거나, 특정 트래픽 패턴에 따라 WebACL 적용 범위를 조절하는 등의 전략이 필요합니다.
요약하자면, WAF 요금은 단순히 WebACL과 Rule 설정 비용뿐 아니라, 실제로 들어오는 요청 수에 따라 매월 비용이 누적되므로, 트래픽 규모와 요청 패턴을 고려해 WAF 정책을 설계해야 합니다.
WAF 비용 계산 공식과 주요 Cost Drivers
AWS WAF의 비용은 크게 WebACL 수, Rule 수, 요청량(Request Count) 이 세 가지 요소에 의해 결정됩니다. 이를 단순화해 계산 공식 형태로 정리하면 다음과 같습니다.
월별 WAF 비용 = (WebACL 수 * WebACL 단위 요금) + (Rule 수 * Rule 단위 요금) + (요청 수 * 요청 단위 요금)
예를 들어, 한 달 동안 2개의 WebACL을 사용하고, 각 WebACL에 10개의 Rule을 작성했으며, 처리된 요청량이 1억 건이라면
총비용 = (WebACL 2개 * WebACL 단가) + (Rule 20개 * Rule 단가) + (1억 요청 / 100만 요청 * 요청 단가)
이처럼 WAF 비용은 단일 요인이 아닌, WebACL 수, Rule 수, 요청량의 곱과 합으로 결정됩니다. 따라서 트래픽 규모가 크거나, WebACL과 Rule을 과도하게 사용하는 경우, 전체 비용이 급격히 증가할 수 있습니다.
주요 Cost Drivers 정리
WebACL 수: 적용 대상별 WebACL 작성 시 주의
Rule 수: 불필요한 Rule 최소화, 재사용 가능한 RuleSet 활용
요청량(Request Count): 트래픽 패턴 분석 및 불필요한 요청 차단 전략 필요
따라서 WAF 설계 단계에서부터 비용을 염두에 두고, WebACL 최소화, Rule 최적화, 요청 필터링 강화 등의 전략을 적용하는 것이 필요합니다.
결론
AWS WAF는 웹 애플리케이션을 보호하는 강력한 보안 도구이며, AWS Shield, Firewall Manager와의 유기적인 통합을 통해 다계층 방어 체계를 완성합니다. WAF가 애플리케이션 계층의 위협을 막고, Shield가 네트워크 계층의 DDoS 공격을 방어하며, Firewall Manager가 대규모 환경에서의 중앙 집중식 보안 정책 관리를 가능하게 하는 것처럼, 각 서비스의 역할과 상호 관계를 이해하는 것이 효과적인 클라우드 보안 전략의 첫걸음입니다.
하지만 비용절감의 핵심은 보안이라는 필수적인 가치를 비용 효율적으로 달성하는 것입니다. WAF의 비용은 WebACL 수, Rule 수, 그리고 요청량이라는 세 가지 주요 요소에 의해 결정됩니다. 특히 트래픽 규모가 크거나, 불필요하게 많은 WebACL과 Rule을 사용하는 경우 비용이 기하급수적으로 증가할 수 있습니다.
따라서, WAF를 설계하고 운영할 때는 단순히 보안 기능만을 고려하는 것을 넘어, 초기 단계부터 비용 효율성을 염두에 두어야 합니다.
WebACL 및 Rule의 최소화: 정말 필요한 WebACL만 생성하고, 재사용 가능한 규칙 그룹을 활용하여 불필요한 Rule 생성을 피해야 합니다.
정확한 트래픽 패턴 분석: 실제 웹 요청량을 면밀히 분석하고, 불필요하거나 악의적인 요청을 WAF가 처리하기 전에 차단하는 프리필터링 전략을 강화하여 요청량 기반 과금을 최소화해야 합니다.
Shield Advanced와의 연동 검토: 대규모 서비스의 경우 Shield Advanced와 WAF를 함께 사용하여 DDoS 방어의 범위를 확장하고, WAF 요청당 요금 면제 등의 비용 혜택을 누리는 것을 적극적으로 고려해야 합니다.
결국, AWS WAF는 강력한 보안 기능과 함께 유연한 비용 모델을 제공합니다. 이 비용 모델을 정확히 이해하고 비용절감 원칙에 따라 WAF 설정을 최적화함으로써, 웹 애플리케이션의 보안 수준을 최고로 유지하면서도 불필요한 지출을 줄여 비즈니스 가치를 극대화할 수 있을 것입니다.
