네트워크 보안 | 보안 관점에서 보는 CDN과 WAF의 차이 🔐

보안 관점에서 보는 CDN과 WAF의 차이 🔐

CDN이 보안 기능을 점점 더 많이 포함하면서, “그럼 WAF랑 뭐가 다른데?”라는 질문이 자연스럽게 나옵니다.
겉으로 보면 둘 다 웹 서비스 앞단에 붙고, 트래픽을 통과시키고, 차단도 하니까 더 헷갈립니다.

이 글에서는 순수 보안 관점에서 CDN과 WAF의 차이를 정리해봅니다.

(성능/전송 이야기보다 “무엇을, 어디까지 방어하느냐”에 집중)

---

1. 한 줄 정리 먼저 🎯

보안 관점에서 딱 한 줄로 정리하면 이렇게 볼 수 있습니다:

• CDN 👉 공격 트래픽을 엣지에서 흡수·완충해서 Origin을 보호
• WAF 👉 개별 HTTP 요청을 정밀 분석해서 애플리케이션 레벨 공격을 탐지·차단

즉,

CDN = 보안적인 “방패 + 완충 구간”
WAF = 보안적인 “판단 엔진”

---

2. Threat Model(위협 모델) 기준 비교 🧨

무슨 공격을 다루는지부터 비교해보면 차이가 확실합니다.

구분	CDN (보안 기능 포함 기준)	WAF
주요 계층	L3~L4 + 일부 L7	L7 (HTTP/HTTPS)
주요 목표	대량 트래픽 흡수, Edge에서 필터링	애플리케이션 취약점 공격 탐지·차단
대표 위협	Volumetric DDoS, SYN Flood, UDP Flood, L7 대량 요청, 국가·IP 기반 차단	SQL Injection, XSS, CSRF, Command Injection, Path Traversal, 악성 API 호출
관심 포인트	트래픽 양, 패턴, 출발지, 빈도	URI, 파라미터, Header, Body, Payload 구조

 

한마디로, CDN은 “얼마나, 어디서 들어오는지”에 더 관심이 있고,
WAF는 “무엇을, 어떻게 공격하려는지”에 더 관심이 있습니다.

---

3. OSI 계층 관점 비교 📡

보안 관점에서 자주 쓰는 OSI 계층 기준으로도 나눠보면:

계층	CDN (보안 기능 기준)	WAF
L3 (네트워크)	Anycast, IP 블록, Geo/ASN 필터	대부분 관여하지 않음
L4 (전송)	TCP/UDP 기반 DDoS 완화	거의 관여하지 않음
L7 (애플리케이션)	일부 L7 DDoS, Rate Limiting, 간단한 Request 필터링	HTTP Request/Response 전체 분석, 패턴·룰·정책 기반 차단

 

그래서, CDN은 네트워크 보안 + 일부 L7 보안,
WAF는 L7 애플리케이션 보안에 올인이라고 보면 이해가 쉽습니다.

---

4. 트래픽 흐름으로 보는 차이 🔄

4-1. CDN 보안 중심 흐름

[Client]
   │  (대량 요청, 전 세계 여러 위치)
   ▼
[CDN Edge / POP]
   │ - L3/L4 DDoS 완화
   │ - Geo/IP/ASN Block
   │ - 일부 Rate Limiting
   ▼
[Origin 혹은 WAF]
   │  (이미 1차로 걸러진 트래픽만 도달)
   ▼
[애플리케이션]

 

CDN의 보안 포인트는 Origin까지 오기 전에 최대한 걸러내는 것입니다.
그래서 “완충지대” 역할을 한다고 볼 수 있습니다.

4-2. WAF 중심 흐름

[Client]
   │  (정상/악성 HTTP 요청 혼재)
   ▼
[WAF]
   │ - URI/파라미터/Body 분석
   │ - SQLi, XSS, RCE 등 탐지
   │ - 정책/룰 기반 차단
   ▼
[애플리케이션 서버]

 

WAF는 들어오는 각 요청의 내용을 보고,
"이건 서비스 로직을 노리는 공격인가?"를 판단하는 데 집중합니다.

---

5. 보안 운영 관점에서의 차이 🛠️

실제로 운영·관제할 때 느끼는 차이도 있습니다.

포인트	CDN 보안 기능	WAF
역할	Edge에서 트래픽 양·출발지 기준으로 필터링, 완충	요청 내용(Payload) 기준으로 공격 탐지·차단
효과	Origin 부하 감소, 대역폭 절감, 대규모 DDoS 방어	취약점 악용 방어, 데이터 탈취·변조 방지
탐지 단위	IP/세션/Region/초당 요청 수 등	URI·파라미터·JSON Body·쿠키·Header
정책 설계	라이트한 룰 (Geo Block, Rate Limit, IP Block)	디테일한 룰 (특정 URI/메소드/파라미터 패턴 정책)
로깅 관점	대량 트래픽 패턴, 공격 시도량, 지역/ASN 통계	구체적인 공격 페이로드, 룰 매칭 내역, FP/FN 분석

 

즉, CDN은 “어디서 얼마나 들어오는지” 통계와 패턴에 강하고,
WAF는 “무슨 내용을 어떻게 공격하는지” 세부 분석에 강합니다.

---

6. “CDN도 WAF 기능이 있다는데?”에 대한 정리 🧨

요즘 CDN 벤더들이 WAF 기능을 함께 제공하면서 경계가 조금 헷갈립니다. 여기서 포인트는:

• CDN에 붙은 WAF = 위치가 Edge일 뿐, 역할은 WAF
• “CDN 자체”와 “CDN 위에서 동작하는 WAF 모듈”은 구분해서 볼 것
• 벤더별로 WAF의 깊이·정교함·튜닝 범위가 전통 WAF와 차이남

그래서 보안 설계 시에는 보통 이런 식으로 나눠서 생각합니다:

• CDN 레벨: DDoS, Geo/IP/ASN 필터링, Rate Limiting, Bot/Abuse 기초 방어
• WAF 레벨: 애플리케이션 취약점 공격, API Abuse, 정밀 HTTP 정책

---

7. 함께 쓸 때 구조 🧱

현실적인 베스트 프랙티스는 둘 중 하나입니다.

7-1. CDN + Origin WAF 조합

Client → CDN(Edge 보안) → WAF → Origin

• CDN: 대량 트래픽, DDoS, 지역/네트워크 필터링
• WAF: 세부 HTTP 공격 탐지·차단

7-2. CDN(WAF 내장) 사용

Client → CDN(Edge WAF 포함) → Origin

• CDN Edge에서 WAF 룰까지 처리
• Origin은 거의 “정상 트래픽만” 받도록 설계

어떤 모델을 쓰든, CDN은 “방어 라인의 바깥쪽”, WAF는 “앱 바로 앞”에 붙는 느낌으로 생각하면 구조가 깔끔해집니다.

---

8. 정리 🧾

보안 관점에서 CDN과 WAF의 차이를 다시 한 번 요약하면:

• CDN
  • 엣지(Edge)에서 트래픽을 완충하고 줄여서 Origin을 보호
  • 대규모 DDoS, 지역/IP 기반 필터링, Rate Limit 등에 강점
• WAF
  • HTTP 요청 내용을 정교하게 분석해서 공격 여부를 판단
  • SQLi, XSS, CSRF, Command Injection, API Abuse 같은 L7 공격에 강점

그래서 결론은 단순합니다:

CDN은 “바깥에서 막는 1차 방어선”,
WAF는 “서비스 앞에 붙어 판단하는 정밀 필터”

 

둘 중 하나를 고르는 문제가 아니라,
“CDN으로 얼마나 밖에서 걸러낼지, WAF로 어디까지 깊게 볼지”를 설계하는 문제라고 보는 게 더 현실적인 접근입니다.