Post

Vercel Firewall 자연어 규칙 훑어보면서 든 생각

Vercel이 WAF 규칙을 자연어로 생성하는 기능을 냈다. 접근성과 검증 책임 사이에서 든 생각들을 정리했다.

Posted
Vercel Firewall 자연어 규칙 훑어보면서 든 생각
Vercel Firewall 자연어 규칙 훑어보면서 든 생각
By jerry
7 min read
Vercel Firewall 자연어 규칙 훑어보면서 든 생각

Vercel 블로그에 Firewall 관련 업데이트가 올라왔다. WAF 커스텀 규칙을 자연어로 만들 수 있게 됐다는 내용이었는데, 읽다가 “이게 어디까지 통하는 거지?” 하는 생각이 들어서 좀 더 살펴봤다.

Firewall 설정은 프론트 공부하면서 한 번도 직접 닿아본 적이 없는 영역이었다. rate limiting이나 IP 차단 같은 단어는 들어봤지만, WAF 규칙을 실제로 어떻게 구성하는지는 막막하게 느껴졌다. 그런 상황에서 자연어로 설명하면 규칙이 생성된다는 얘기가 꽤 흥미로웠다.

1️⃣ 이게 뭐냐?

Vercel Firewall에 WAF 커스텀 규칙을 자연어로 만드는 기능이 추가됐다. 대시보드에서 원하는 동작을 글로 설명하면, 거기에 맞는 규칙이 생성되는 구조인 것 같다.

예를 들어 이런 식이다:

  • /api/webhook으로 오는 요청 중 인증 헤더가 없으면 로그 남기기
  • /wp-admin 경로는 전부 차단
  • 미국 외 지역에서 /checkout에 접근하면 챌린지 적용

이런 내용을 그냥 문장으로 입력하면 된다. 지원하는 동작은 로깅(log), 차단(block), 챌린지(challenge), 속도 제한(rate limit), 리다이렉트가 있다. 조건은 IP 주소, 경로, 국가, User-Agent 같은 걸 기준으로 설정할 수 있다.

이전에는 이 조건들을 직접 조합해서 규칙을 만들어야 했다. 지금은 의도를 문장으로 설명하면 규칙이 만들어지는 방식인 것 같다. 문서를 읽어보니, 대시보드의 firewall custom rules 페이지에서 rate-limiting 예시를 시작점으로 바로 시도해볼 수 있게 돼 있었다.

2️⃣ 내가 든 생각

처음 읽었을 때 든 생각은 “이게 진짜로 잘 작동하는 걸까?”였다. 자연어로 입력받아서 규칙을 생성한다는 게, 보안 쪽에서는 좀 조심스러운 지점이 아닐까 싶었다. 예외 조건 하나 잘못 되면 막아야 할 트래픽이 통과하거나, 반대로 정상 요청이 차단될 수 있으니까.

디자이너 입장에서 이 기능이 흥미로운 건 접근성 때문이다. 지금까지 WAF 규칙은 DevOps나 백엔드 쪽에서 다루는 영역이었다. 규칙 문법을 알아야 하고, 조건 조합 방식도 이해해야 했다. 프론트 공부하는 입장에서는 늘 약간 먼 세계처럼 느껴졌던 게 사실이었다.

자연어 입력이라면 적어도 “어떤 걸 막고 싶다”는 의도는 전달할 수 있다. 내가 이해한 바로는, 이 기능의 핵심은 규칙을 만드는 기술보다 규칙의 의도를 명확히 표현하는 능력 쪽에 더 가까운 것 같다. 생성된 규칙이 정확한지 확인하는 건 여전히 사람의 몫이지만, 시작점을 만드는 방식은 확실히 달라진 것 같다.

👉🏻 흥미로웠던 건, 이런 자연어 인터페이스가 “도구를 쓸 수 있는 사람”의 범위를 어디까지 넓힐 수 있느냐는 질문이었다.

💡 그런데 이런 생각도 든다: 생성된 규칙을 믿고 적용할 수 있는 판단 기준은 결국 어디서 오는 걸까? 자연어로 만들어준다고 해도, 그게 맞는 규칙인지 검증하는 능력은 여전히 사람한테 있어야 한다.

3️⃣ 배우는 입장에서 본 이 기능

공부한 내용 기준으로 생각해보면, 이 기능이 가장 잘 동작할 것 같은 순간은 “어떤 트래픽을 어떻게 처리해야 하지?”라는 질문이 이미 명확할 때인 것 같다. 규칙의 의도가 뚜렷하면 자연어 입력도 구체적이 되고, 생성된 결과도 검증하기 쉬울 것 같다.

반대로, 뭘 막아야 할지 모르는 상태에서 자연어 입력이 얼마나 도움이 될지는 잘 모르겠다. 보안 설정은 “이게 위협이 된다”는 도메인 지식이 먼저인 것 같고, 자연어 생성은 그 이후 단계에서 도움이 되는 도구에 가까울 것 같다.

⭐️ 마지막으로, 공부하면서 든 생각

이런 류의 도구를 볼 때 자꾸 같은 질문을 하게 되는 것 같다 — 도구가 쉬워질수록, 결과를 검증하는 책임은 오히려 더 커지는 게 아닐까.

이 기능도 그 맥락에 있는 것 같다. 규칙 생성은 쉬워졌지만, 그게 실제 상황에서 맞는 규칙인지 보는 눈은 줄어들지 않았다. 공부 중에 자꾸 걸렸던 건, 자연어로 만든 규칙을 신뢰할 수 있는 수준이 되려면 결국 규칙이 어떻게 동작하는지 알고 있어야 한다는 점이었다.

참고 원문: Create Vercel Firewall rules with natural language

Frontend
vercel firewall waf security frontend
This post is licensed under CC BY 4.0 by the author.