정/오탐 구분(3축 점수) → 미탐 개선(사후 로그 역추적) → 분석 방법(시그니처·평판·패턴) → 운영 유의(그림자 모드)
보안 인턴 때 사내 웹 서비스 앞에 붙은 오픈소스 ModSecurity 기반 WAF의 룰 튜닝을 보조한 적이 있습니다. 첫 주에 본 로그가 하루 12만 건의 탐지 이벤트였는데, 그 중 실제 위협은 200건 안쪽으로 추정돼 정/오탐 구분이 첫 일이었습니다.
정/오탐 구분 기준은 세 축이었습니다. 요청 URL·페이로드 시그니처·소스 IP 평판을 각각 점수화하고, 사내 서비스 정상 패턴과 다른지 비교했습니다. 정상 사용자 흐름과 충돌하는 룰은 1차 우회 대상으로 표시했고, 같은 시그니처가 24시간 안에 5회 이상 재현되면 위협 후보로 격상했습니다.
미탐 영역은 실제 침해 이벤트 사후 로그를 거꾸로 짚어보며 추적했습니다. WAF가 통과시킨 요청 중 백엔드 에러 로그·CS 신고와 시간이 겹치는 케이스를 보고, 부분 일치·인코딩 변형·헤더 위변조 패턴을 새 룰로 추가했습니다.
운영 유의사항은 튜닝 전후 비교를 위한 그림자 모드(shadow) 운영이라고 봅니다. 새 룰을 바로 차단으로 두면 정상 트래픽이 끊겨, 1~2주는 로그만 쌓아 영향도를 본 뒤 차단으로 전환하는 결이 안전했습니다.