AWS WAF HTTP/2 본문 검사 이슈: CVE-2026-13762·CVE-2026-13763 점검 사항

AWS가 AWS WAF에서 HTTP/2 멀티프레임 요청 본문 검사와 관련된 CVE-2026-13762, CVE-2026-13763을 공개했다. 핵심은 배포 경로별 영향 차이다. CloudFront와 연동된 AWS WAF는 AWS 측 서버사이드 조치가 완료됐지만, ALB와 연동된 환경은 특정 조건에서 요청 본문이 일부만 검사될 수 있어 현재 설정 상태를 확인하는 것이 중요하다.

이슈 핵심: HTTP/2 멀티프레임 요청에서 본문 검사 누락 가능성

AWS 설명에 따르면 이번 이슈는 AWS WAF의 HTTP/2 멀티프레임 요청 본문 검사 처리와 관련된다. 특히 CVE-2026-13763은 ALB 연동 환경에서 조작된 멀티프레임 HTTP/2 요청이 들어올 때 요청 본문 전체가 아니라 일부만 검사되는 상황이 발생할 수 있다는 점이 핵심이다.

웹 방화벽이 본문 기반 규칙을 적용하는 환경에서는 이 유형의 검사 누락이 탐지 정확도에 직접 영향을 줄 수 있다. 요청 헤더 중심 규칙보다 요청 본문 매칭, 페이로드 패턴 탐지, 업로드·API 입력값 필터링에 의존하는 운영 환경일수록 우선 점검 대상이 된다.

배포 경로별 영향 차이: CloudFront는 조치 완료, ALB는 설정 확인 필요

CVE-2026-13762는 CloudFront와 함께 배포된 AWS WAF에 영향을 주는 사안으로, AWS는 서버 측에서 이미 수정했으며 고객 조치는 필요 없다고 밝혔다. 따라서 운영자는 별도 패치보다는 현재 보호 정책과 로그 모니터링이 정상인지 확인하는 수준으로 대응하면 된다.

반면 CVE-2026-13763은 ALB와 함께 배포된 AWS WAF가 대상이다. AWS는 ALB 측 조치를 적용했다고 밝혔지만, 완전한 보호를 위해서는 고객이 ALB에서 AWS WAF의 HTTP/2 요청 본문 검사 방식 설정을 확인해야 한다고 안내했다. 즉 ALB 기반 서비스는 단순 공지 확인만으로 끝내지 말고 실제 WAF 검사 구성을 재점검해야 한다.

운영 체크리스트: ALB 기반 서비스에서 확인할 항목

우선 인터넷 구간에서 HTTP/2를 수용하는 ALB 앞단 서비스가 있는지 식별하고, 해당 ALB에 AWS WAF가 연결돼 있는지 확인할 필요가 있다. 그다음 요청 본문 검사에 의존하는 규칙이나 관리형 룰 운용 여부를 점검해야 한다.

AWS 원문이 권고한 범위 안에서 실무적으로는 ALB의 AWS WAF HTTP/2 요청 본문 검사 설정을 확인하고, 동일 구성이 적용된 표준 배포 템플릿이나 인프라 코드에도 같은 설정이 반영돼 있는지 살펴보는 것이 적절하다. 다수 리전에 동일 ALB 구성을 복제해 쓰는 환경이라면 운영 누락이 없는지 함께 점검하는 편이 안전하다.

서버호스팅이나 코로케이션 사업자가 직접 AWS WAF를 제공하는 구조는 아니더라도, 고객 웹 서비스가 AWS ALB와 연계돼 있거나 하이브리드 구성을 쓰는 경우라면 보안 운영팀이 애플리케이션 담당자와 함께 HTTP/2 종단 지점과 WAF 검사 지점을 매칭해 보는 것이 도움이 된다.

핵심 포인트

• CVE-2026-13762는 CloudFront 연동 AWS WAF 이슈로 서버사이드 조치가 완료됐으며 고객 추가 조치는 필요 없다.
• CVE-2026-13763은 ALB 연동 AWS WAF에서 특정 HTTP/2 멀티프레임 요청 시 본문 일부만 검사될 수 있는 이슈다.
• ALB 기반 환경은 AWS WAF의 HTTP/2 요청 본문 검사 설정을 확인해야 완전한 보호를 기대할 수 있다.