[클라우드 보안 실무 #5] AWS WAF, Rate-based 룰을 활용한 봇 차단 전략

🚧 과도한 요청, 정말 봇일까?

WAF 설정을 하다 보면 종종 마주치는 상황이 있어요. 특정 페이지에 수천 번씩 요청이 들어오거나, 비정상적인 속도로 반복되는 트래픽이 감지될 때 말이죠.

이런 경우 대부분은 **스크래핑 봇, 계정 크롤링, 로그인 브루트포스** 등의 자동화 공격일 가능성이 높습니다. 이럴 때 가장 유용한 도구가 바로 Rate-based 룰이에요.

---

📌 Rate-based 룰이란?

Rate-based 룰은 **IP 주소별 요청 빈도(rate)를 기준으로 룰을 작동**시키는 기능입니다. 즉, 설정한 시간(5분) 동안 특정 IP가 설정한 임계값(예: 1000건)을 넘으면 자동으로 차단하거나 CAPTCHA 등 조치를 취할 수 있어요.

이는 정상적인 트래픽을 유지하면서도 과도한 요청을 효율적으로 걸러낼 수 있는 실용적인 방법이죠.

---

🛠 실무에서 주로 쓰는 시나리오

• 💥 로그인 페이지에 수초 간격으로 수백 건의 요청이 들어올 때
• 📈 검색 API에 특정 키워드로 과도한 조회 요청이 몰릴 때
• 🛒 쇼핑몰 장바구니 자동등록 봇 감지

이럴 때 Rate-based 룰로 **의심되는 IP만 선별 차단**하거나, 차단 전 CAPTCHA로 검증하는 방식으로 운영하면 정상 사용자 피해 없이 보안 수준을 높일 수 있어요.

---

🧪 설정 방법: 예시와 팁

AWS 콘솔에서 WAF → 웹 ACL → 룰 추가 → Rate-based rule을 선택하세요.

주요 설정 항목:

• Rate limit: IP당 5분간 허용할 최대 요청 수 (예: 1000)
• Scope: 단일 IP 기준 (CIDR 범위도 가능)
• Action: 차단(Block), 허용(Allow), CAPTCHA, Challenge 등

👉 팁: 차단 전에 CAPTCHA나 Challenge로 확인 절차를 거치면 오탐을 줄일 수 있어요.

---

📈 CloudWatch로 로그 모니터링도 함께

Rate-based 룰을 설정한 뒤에는 CloudWatch 로그를 통해 IP 별 요청 수와 차단 상태를 함께 확인하세요.

지속적으로 로그를 분석하면서 **반복적으로 탐지되는 IP → 차단 목록에 등록**하거나, **자주 나타나는 URI → 정적 페이지로 리디렉션 처리**도 고려할 수 있습니다.

---

✅ 정리하며

Rate-based 룰은 단순하지만, WAF 실무에서 자주 쓰이는 "트래픽 흐름 제어"의 핵심 도구입니다.

지금까지 설정한 ACL과 룰만으로는 부족하다면, 속도 기반 탐지를 추가하는 것만으로도 훨씬 안정적인 보호 체계를 구축할 수 있어요.

적절한 기준을 설정하고, 로그와 함께 운영하며 WAF를 지속적으로 학습시키는 구조가 중요합니다.