웹방화벽 포지티브 정책과 네거티브 정책 차이, 허용·차단 기준 쉽게 정리
- IT정보/IT보안자료
- 2026. 6. 25. 13:43
웹방화벽 포지티브 정책과 네거티브 정책 차이, 허용·차단 기준 쉽게 정리
안녕하세요. 휴잉의 블로그입니다. 웹방화벽을 운영하다 보면 포지티브 정책, 네거티브 정책이라는 말을 자주 듣게 됩니다. 처음 들으면 용어가 조금 어렵게 느껴질 수 있지만, 실제 개념은 생각보다 간단합니다.
쉽게 말해 포지티브 정책은 허용된 것만 통과시키는 방식이고, 네거티브 정책은 위험한 것만 차단하는 방식입니다. 이번 글에서는 웹방화벽에서 포지티브 정책과 네거티브 정책이 무엇인지, 두 방식의 차이와 장단점, 실제 운영 시 어떤 방식이 더 적합한지 쉽게 정리해보겠습니다.
1. 웹방화벽 WAF란 무엇일까?
웹방화벽 WAF는 Web Application Firewall의 약자로, 웹사이트나 웹서비스 앞단에서 HTTP/HTTPS 요청을 검사하는 보안 장비 또는 보안 솔루션입니다.
일반 방화벽이 IP, 포트, 프로토콜 중심으로 트래픽을 제어한다면, 웹방화벽은 웹 요청 안에 포함된 URL, 파라미터, 쿠키, 헤더, 파일 업로드, 요청 방식 등을 분석합니다.
예를 들어 로그인 페이지, 게시판, 파일 업로드, 검색창 같은 웹 기능에 공격자가 악성 코드를 넣어 보내는 경우 웹방화벽이 이를 탐지하고 차단할 수 있습니다.
쉽게 정리하면
웹방화벽 = 웹서버 앞에서 웹 요청을 검사하고 공격성 요청을 차단하는 보안 장비
2. 포지티브 정책이란?
포지티브 정책은 허용된 요청만 통과시키고 나머지는 차단하는 방식입니다. 흔히 화이트리스트 방식이라고도 표현합니다.
예를 들어 특정 웹페이지에서 허용되는 파라미터 이름, 값의 형식, 요청 방식, 파일 확장자, URL 경로 등을 미리 정의해두고, 그 기준에 맞는 요청만 정상으로 보는 방식입니다.
포지티브 정책 핵심
“정상으로 정의한 요청만 허용하고, 정의되지 않은 요청은 차단한다.”
예를 들어 회원가입 페이지에서 이름 입력칸에는 한글, 영문, 숫자만 허용하고 특수문자나 스크립트 문자가 들어오면 차단하도록 설정할 수 있습니다.
3. 네거티브 정책이란?
네거티브 정책은 위험하다고 알려진 요청만 차단하고 나머지는 허용하는 방식입니다. 흔히 블랙리스트 방식이라고도 합니다.
예를 들어 SQL Injection, XSS, Directory Traversal, 파일 업로드 공격, 명령어 삽입 공격처럼 알려진 공격 패턴을 룰로 등록해두고, 해당 패턴과 일치하는 요청이 들어오면 차단합니다.
네거티브 정책 핵심
“위험한 패턴을 찾아 차단하고, 그 외 요청은 기본적으로 허용한다.”
대부분의 웹방화벽 기본 보안룰은 네거티브 방식에 가깝습니다. 알려진 공격 문자열이나 비정상 요청 패턴을 탐지해 차단하는 구조이기 때문입니다.
4. 포지티브 정책과 네거티브 정책 차이 한눈에 보기
| 구분 | 포지티브 정책 | 네거티브 정책 |
|---|---|---|
| 기본 개념 | 허용된 것만 통과 | 위험한 것만 차단 |
| 방식 | 화이트리스트 | 블랙리스트 |
| 기본 동작 | 기본 차단 후 허용 | 기본 허용 후 차단 |
| 보안성 | 높은 편 | 룰 품질에 따라 달라짐 |
| 운영 난이도 | 높은 편 | 상대적으로 낮은 편 |
| 오탐 가능성 | 설정이 빡빡하면 높음 | 룰에 따라 발생 |
가장 큰 차이는 기본 기준이 허용인지 차단인지입니다. 포지티브 정책은 허용 기준을 먼저 만들고, 네거티브 정책은 차단 기준을 먼저 만듭니다.
5. 포지티브 정책의 장점과 단점
포지티브 정책의 가장 큰 장점은 보안성이 높다는 점입니다. 정상 요청의 형태를 미리 정의해두기 때문에, 정의되지 않은 이상한 요청은 공격 패턴이 아니더라도 차단할 수 있습니다.
- 허용된 요청만 통과하므로 보안성이 높음
- 알려지지 않은 공격이나 변형 공격에 강할 수 있음
- 업무 시스템처럼 기능이 정해진 웹서비스에 적합함
- 입력값 형식이 명확한 서비스에 적용하기 좋음
하지만 단점도 있습니다. 웹서비스 구조를 잘 알아야 하고, 정상 요청 기준을 세밀하게 만들어야 합니다. 설정이 너무 강하면 정상 사용자 요청까지 차단될 수 있습니다.
주의할 점
포지티브 정책은 보안성은 좋지만, 서비스 구조를 정확히 모르면 정상 트래픽까지 막을 수 있습니다.
6. 네거티브 정책의 장점과 단점
네거티브 정책의 가장 큰 장점은 운영이 비교적 쉽다는 점입니다. 웹방화벽에서 제공하는 기본 공격 룰을 적용하면 SQL Injection, XSS 같은 대표적인 웹 공격을 빠르게 차단할 수 있습니다.
- 기본 룰 적용만으로 빠르게 운영 가능
- 알려진 공격 패턴 차단에 효과적
- 초기 웹방화벽 구축 시 적용하기 쉬움
- 서비스 구조를 완벽히 몰라도 운영 가능
하지만 네거티브 정책은 알려진 공격 패턴을 기준으로 차단하기 때문에, 새로운 공격이나 우회된 공격 패턴에는 약할 수 있습니다. 또한 룰이 너무 강하면 정상 요청을 공격으로 오탐할 수 있습니다.
쉽게 말하면
네거티브 정책은 시작하기 쉽지만, 룰 업데이트와 로그 모니터링이 중요합니다.
7. 실제 예시로 이해하기
예를 들어 로그인 페이지가 있다고 가정해보겠습니다. 로그인 페이지에는 보통 아이디와 비밀번호 입력값이 전달됩니다.
| 상황 | 포지티브 정책 | 네거티브 정책 |
|---|---|---|
| 아이디 입력 | 영문, 숫자, 길이 제한만 허용 | SQL Injection 패턴이 있으면 차단 |
| 게시판 글쓰기 | 허용 태그와 입력 길이 제한 | 스크립트 삽입 패턴 차단 |
| 파일 업로드 | jpg, png, pdf만 허용 | exe, jsp, php 등 위험 확장자 차단 |
이렇게 보면 포지티브 정책은 정상 기준을 먼저 정하는 방식이고, 네거티브 정책은 위험 기준을 먼저 정하는 방식이라는 차이가 보입니다.
8. 운영 환경에서는 보통 혼합해서 사용합니다
실제 운영 환경에서는 포지티브 정책과 네거티브 정책 중 하나만 사용하는 경우보다 두 방식을 함께 사용하는 경우가 많습니다.
예를 들어 기본적으로는 네거티브 정책으로 알려진 공격을 차단하고, 중요한 페이지나 관리자 페이지, 로그인 페이지, 파일 업로드 페이지에는 포지티브 정책을 추가로 적용할 수 있습니다.
- 전체 웹서비스에는 기본 공격 차단 룰 적용
- 로그인 페이지에는 입력값 검증 강화
- 관리자 페이지에는 접근 경로와 요청 방식 제한
- 파일 업로드에는 허용 확장자와 용량 제한
- 결제 페이지에는 파라미터 변조 방지 정책 적용
이렇게 운영하면 네거티브 정책의 편의성과 포지티브 정책의 강한 보안성을 함께 가져갈 수 있습니다.
9. 오탐과 미탐을 이해해야 합니다
웹방화벽 정책을 운영할 때는 오탐과 미탐을 이해해야 합니다. 오탐은 정상 요청인데 공격으로 판단해 차단하는 것이고, 미탐은 공격 요청인데 탐지하지 못하고 통과시키는 것입니다.
| 구분 | 의미 | 영향 |
|---|---|---|
| 오탐 | 정상 요청을 공격으로 판단 | 사용자 불편, 서비스 장애 가능 |
| 미탐 | 공격 요청을 탐지하지 못함 | 보안 사고 가능 |
포지티브 정책은 설정이 강하면 오탐이 늘어날 수 있고, 네거티브 정책은 룰이 부족하면 미탐이 발생할 수 있습니다. 그래서 웹방화벽은 단순히 설치만 하는 것이 아니라 로그를 보면서 계속 조정하는 과정이 중요합니다.
운영 포인트
웹방화벽 정책은 처음부터 완벽하게 맞추기 어렵습니다. 차단 로그와 허용 로그를 보면서 오탐과 미탐을 줄이는 것이 핵심입니다.
10. 결론: 포지티브는 허용 기준, 네거티브는 차단 기준입니다
웹방화벽의 포지티브 정책과 네거티브 정책은 어렵게 생각할 필요가 없습니다. 핵심은 기준이 어디에 있느냐입니다.
최종 정리
포지티브 정책 = 허용된 정상 요청만 통과
네거티브 정책 = 알려진 공격 요청을 차단
실제 운영 = 두 방식을 혼합해서 사용하는 경우가 많음
보안성만 보면 포지티브 정책이 더 강력할 수 있지만, 설정과 운영 난이도가 높습니다. 반대로 네거티브 정책은 적용이 쉽고 빠르지만, 새로운 공격이나 우회 패턴에는 한계가 있을 수 있습니다.
따라서 웹방화벽을 운영할 때는 서비스 특성에 맞게 기본 공격 차단 룰을 적용하고, 중요한 페이지에는 포지티브 방식의 세밀한 정책을 추가하는 방식이 현실적입니다.
