Cloudflare

엔드포인트에서 프롬 (새 탭에서 열림)

Cloudflare One은 현대 기업 보안의 핵심을 '데이터 보안'으로 정의하며, 데이터가 이동하는 모든 경로를 단일 모델로 보호하는 통합 비전을 제시합니다. 데이터는 네트워크 경계를 넘어 엔드포인트, SaaS, 그리고 이제는 AI 프롬프트까지 매우 빠르게 이동하기 때문에, 보안 정책 역시 도구가 아닌 데이터 자체를 따라가야 한다는 것이 핵심입니다. 이를 위해 Cloudflare는 전송 중인 데이터(In Transit)와 저장된 데이터(At Rest)를 넘어, 사용 중인 데이터(In Use)와 AI 상호작용 단계까지 아우르는 포괄적인 통제 기능을 강화하고 있습니다. ### 브라우저 기반 RDP 클립보드 제어 외부 협력업체나 파트너에게 제공되는 브라우저 기반 원격 데스크톱(RDP) 접속 환경에 더욱 세밀한 데이터 보호 기능을 추가했습니다. * **양방향 제어:** 관리자는 로컬 장치와 브라우저 RDP 세션 간의 복사 및 붙여넣기 허용 여부를 정책에 따라 결정할 수 있습니다. * **맥락 기반 정책:** 예를 들어 고객 지원 포털 접속 시, 세션 내부로의 붙여넣기는 허용하여 생산성을 유지하되, 외부로의 복사는 차단하여 민감 정보가 관리되지 않는 기기로 유출되는 것을 방지합니다. * **설정 편의성:** 해당 기능은 Cloudflare One의 Access 애플리케이션 정책 설정 내에서 간편하게 활성화할 수 있습니다. ### 로그 내 작업 매핑을 통한 가시성 강화 단순한 HTTP 요청 데이터만으로는 파악하기 힘든 사용자의 구체적인 행위를 직관적으로 이해할 수 있도록 로그 시스템을 개선했습니다. * **작업 매핑(Operation Mapping):** 복잡한 HTTP 요청을 '프롬프트 전송(SendPrompt)'이나 '업로드(Upload)'와 같은 의미 있는 작업으로 해석하여 기록합니다. * **애플리케이션 제어 그룹:** 유사한 행위들을 그룹화하여 로그에 표시함으로써, 관리자가 별도의 분석 없이도 SaaS 애플리케이션 내의 활동 패턴을 즉시 파악할 수 있습니다. * **조사 가속화:** 강화된 로그 문맥을 통해 보안 사고 조사 시 원인을 빠르게 규명하고, 사용자 업무 방해를 최소화하면서 정책을 정교하게 튜닝할 수 있습니다. ### Cloudflare One 클라이언트 기반 엔드포인트 DLP 데이터가 브라우저를 벗어나 OS 클립보드로 이동하는 순간 발생하는 보안 공백을 메우기 위해 '엔드포인트 DLP' 기능을 통합했습니다. * **사용 중인 데이터(In Use) 보호:** 민감한 코드가 고객 정보가 SaaS 앱에서 복사되어 권한이 없는 AI 도구나 개인 메일로 붙여넣기 되는 상황을 실시간으로 차단합니다. * **단일 에이전트 전략:** 별도의 보안 솔루션을 추가로 설치할 필요 없이, 기존 Cloudflare One 클라이언트 하나로 네트워크 게이트웨이부터 엔드포인트 데이터 보호까지 수행합니다. * **정책 일관성:** 브라우저 탭을 떠난 콘텐츠에 대해서도 기존의 데이터 보호 정책을 일관되게 적용하여 '엔드포인트에서 프롬프트까지'의 보안 체인을 완성합니다. ### API CASB를 통한 Microsoft 365 Copilot 스캔 AI가 기업 데이터의 새로운 인터페이스로 자리 잡음에 따라, Microsoft 365 Copilot 내에서 발생하는 보안 위험을 탐지하는 기능을 도입했습니다. * **AI 활동 분석:** API 기반의 CASB(Cloud Access Security Broker)를 통해 Copilot 내의 채팅 내용과 업로드된 파일이 기업의 DLP 프로필에 위배되는지 스캔합니다. * **풍부한 컨텍스트 제공:** 단순히 위반 사실만 알리는 것이 아니라, 참조된 파일, 매칭된 DLP 프로필 정보, 상호작용 메타데이터를 함께 제공하여 신속한 대응을 돕습니다. * **확장된 AI 커버리지:** ChatGPT, Claude, Gemini에 이어 M365 Copilot까지 지원 범위를 넓혀 기업 내 생성형 AI 사용에 대한 가시성 사각지대를 제거합니다. 현대 보안 환경에서는 데이터가 제품이나 네트워크의 경계를 넘나들기 때문에, 특정 도구에 종속된 보안이 아닌 데이터 중심의 통합 보안 모델을 구축하는 것이 필수적입니다. Cloudflare One이 제공하는 엔드포인트부터 AI 프롬프트까지의 통합 가시성과 통제력을 활용하여, 보안성과 생산성 사이의 균형을 유지하면서도 데이터 유출 위험을 근본적으로 낮추는 전략을 권장합니다.

'Silent drop' 해결: (새 탭에서 열림)

Cloudflare는 Cloudflare One Client에 '동적 경로 MTU 발견(Dynamic Path MTU Discovery, PMTUD)' 기술을 도입하여, 네트워크 경로상에서 패킷 크기 제한으로 인해 연결이 끊기는 'PMTUD 블랙홀' 문제를 해결했습니다. 기존의 수동적인 방식 대신 MASQUE 프로토콜을 활용한 능동적 탐색 방식을 채택함으로써, 사용자는 LTE/5G나 위성 네트워크와 같은 제한적인 환경에서도 패킷 손실 없이 안정적인 연결을 유지할 수 있습니다. 이 기술은 현대적인 보안 암호화로 인해 커진 패킷을 네트워크 환경에 맞춰 실시간으로 최적화하여 하이브리드 작업자와 긴급 구조대원 등의 연결성을 획기적으로 개선합니다. **현대적 보안과 레거시 인프라의 충돌** - 표준 이더넷의 최대 전송 단위(MTU)는 보통 1500바이트이지만, 현대적인 보안 요구사항(FIPS 140-2 준수 등)으로 인해 패킷 내 암호화 및 메타데이터 오버헤드가 증가하고 있습니다. - LTE/5G, 위성 링크, 공공 안전 네트워크 등 일부 환경은 MTU 제한이 1500바이트 미만인 경우가 많아, 보안 패킷이 해당 라우터를 통과하지 못하는 상황이 발생합니다. - 원래는 라우터가 ICMP 메시지를 통해 패킷이 너무 크다는 사실을 알려야 하지만, 방화벽이나 중간 장비(middlebox)가 이 메시지를 차단하면 보낸 쪽에서 이유도 모른 채 데이터가 사라지는 '블랙홀' 현상이 발생하여 연결이 끊어집니다. **능동적 프로빙을 통한 PMTUD 구현** - Cloudflare는 RFC 8899 표준을 기반으로 한 능동적 경로 MTU 발견 방식을 구현하여 레거시 ICMP 피드백에 대한 의존도를 없앴습니다. - Cloudflare의 오픈 소스 QUIC 라이브러리로 구축된 MASQUE 프로토콜을 활용해, 클라이언트가 Cloudflare 에지 서버로 다양한 크기의 암호화된 프로브(Probe) 패킷을 직접 보냅니다. - 지원되는 MTU 범위의 상한선부터 중간값까지 테스트하며 에지 서버의 응답 여부를 확인하고, 해당 경로에 정확히 맞는 MTU 크기를 찾아냅니다. - 사용자가 Wi-Fi(MTU 1500)에서 셀룰러(MTU 1300) 환경으로 이동하더라도, 클라이언트가 실시간으로 가상 인터페이스의 MTU를 조정하여 세션 중단 없이 연결을 유지합니다. **실제 환경에서의 연결 안정성 강화** - 차량용 라우터를 사용하는 긴급 구조대원의 경우, 복잡한 NAT 트래버스나 우선순위 라우팅 층을 거치며 MTU가 급격히 줄어들 때 발생하던 CAD(컴퓨터 지원 파견) 시스템의 연결 끊김 현상을 방지합니다. - 해외 호텔이나 공공 네트워크를 사용하는 하이브리드 작업자는 이중 NAT나 노후화된 중간 장비가 있는 환경에서도 화상 회의나 파일 전송이 끊기지 않는 최적화된 경로를 수 초 내에 확보할 수 있습니다. - 이 기술은 애플리케이션 계층에서 하위 네트워크의 불안정성을 느끼지 못하도록 '스티키(Sticky)'한 연결 상태를 제공합니다. 현재 Windows, macOS, Linux 환경에서 MASQUE 프로토콜을 사용하는 Cloudflare One Client 사용자라면 누구나 이 기능을 무료로 이용할 수 있습니다. 네트워크 변동성이 큰 환경에서 업무를 수행하는 팀이라면 MASQUE 프로토콜 활성화를 통해 패킷 드롭 없는 안정적인 연결을 경험해 보기를 권장합니다.

자동 반환 라우팅이 IP (새 탭에서 열림)

기업의 사설 네트워크 확장 과정에서 발생하는 중복 IP 주소 문제는 기존의 stateless 라우팅 방식으로는 해결하기 어려운 관리적 난제였습니다. Cloudflare는 이를 해결하기 위해 라우팅 테이블에 의존하는 대신, 상태 저장(stateful) 추적 방식을 통해 트래픽이 유입된 경로를 기억하고 정확히 되돌려보내는 '자동 반환 라우팅(ARR, Automatic Return Routing)' 기능을 도입했습니다. 이 솔루션을 통해 기업은 복잡한 NAT 설정이나 VRF 구성 없이도 중복된 네트워크 대역을 안전하고 효율적으로 공존시킬 수 있습니다. ### 사설 네트워크의 IP 중복과 경로 모호성 문제 * **발생 배경**: 두 회사가 합병하며 동일한 사설 IP 대역(예: 10.0.1.0/24)을 사용하는 경우, 혹은 파트너사가 자체 IP 체계로 연결되는 익스트라넷 환경에서 주소 충돌이 빈번하게 발생합니다. * **라우팅 테이블의 한계**: 표준 라우팅 테이블은 목적지가 동일한 두 개의 경로가 있을 때 이를 구분하지 못하는 '비결정적' 특성을 가집니다. 이로 인해 응답 패킷이 엉뚱한 사이트로 전달되는 문제가 생깁니다. * **운영상의 복잡성**: SaaS 제공자나 대형 브랜드가 지점마다 동일한 IP 아키텍처를 복제하여 사용하는 '쿠키 커터' 방식에서도 이러한 중복 문제는 관리를 어렵게 만드는 핵심 요소입니다. ### 기존 해결 방식의 한계와 관리 오버헤드 * **VRF(가상 라우팅 및 전달)**: 라우팅 테이블을 가상으로 격리하여 충돌을 피할 수 있지만, 규모가 커질수록 관리 비용이 급증하며 VRF 간 통신을 위한 '루트 리킹(Route Leaking)' 설정이 매우 까다롭습니다. * **NAT(네트워크 주소 변환)**: 중복된 서브넷을 고유한 IP 범위로 일일이 매핑하는 방식은 확실한 해결책이지만, 새로운 사이트나 파트너가 추가될 때마다 수동으로 설정을 관리해야 하는 번거로움이 큽니다. ### 자동 반환 라우팅(ARR)의 작동 원리 * **상태 저장(Stateful) 추적**: 매 패킷을 독립적으로 처리하는 기존 라우터와 달리, ARR은 네트워크 흐름(Flow)을 메모리에 저장합니다. * **유입 경로 기억**: 특정 사이트에서 IPsec, GRE 터널 또는 네트워크 상호연결(CNI)을 통해 패킷이 유입되면, Cloudflare는 해당 대화가 시작된 '특정 터널'의 정보를 기록합니다. * **라우팅 테이블 우회**: 응답 패킷을 보낼 때 "이 IP가 어디에 있는가?"를 라우팅 테이블에 묻지 않고, "이 대화가 어디서 시작되었는가?"를 메모리에서 확인하여 원래의 터널로 패킷을 즉시 반환합니다. ### ARR 도입의 기술적 이점 * **제로 터치(Zero-touch) 구성**: 관리자가 라우팅 규칙을 한 줄도 수정하거나 복잡한 NAT 매핑을 할 필요가 없습니다. * **결정론적 라우팅**: 동일한 IP 대역을 가진 여러 지점이 있더라도 상태 정보를 기반으로 하기 때문에 데이터가 항상 올바른 목적지로 전달됩니다. * **유연한 확장성**: 네트워크 아키텍처를 변경하지 않고도 새로운 중복 네트워크를 Cloudflare One 환경에 즉시 통합할 수 있습니다. 현재 ARR은 Cloudflare One 고객을 대상으로 폐쇄형 베타(Closed Beta)로 제공되고 있습니다. 기업 인수합병(M&A)이 잦거나 파트너사와의 네트워크 연결이 복잡하여 IP 충돌 문제를 겪고 있다면, 인프라의 근본적인 재설계 없이도 문제를 해결할 수 있는 ARR 기능 활용을 권장합니다.

더 빠른 SASE 클라이언트 (새 탭에서 열림)

Cloudflare는 Zero Trust 보안 환경에서 발생하는 프록시 성능 저하 문제를 해결하기 위해 SASE 클라이언트의 프록시 모드 아키텍처를 완전히 재설계했습니다. 기존의 WireGuard 기반 Layer 3 터널링 대신 QUIC 프로토콜을 활용한 직접 Layer 4 프록싱 방식을 도입하여, 보안 수준을 유지하면서도 데이터 전송 속도를 2배로 높이고 지연 시간을 대폭 단축했습니다. 이번 업데이트를 통해 사용자들은 고해상도 영상 스트리밍이나 대용량 파일 전송 시에도 프록시 사용 전과 다름없는 쾌적한 인터넷 환경을 경험할 수 있게 되었습니다. ### 기존 아키텍처의 한계와 smoltcp의 병목 현상 * **Layer 4와 Layer 3의 충돌**: 초기 Cloudflare One 클라이언트는 호환성을 위해 SOCKS5/HTTP 프록시를 사용했으나, 기반 터널은 Layer 3(L3) 프로토콜인 WireGuard로 구축되어 L4 TCP 트래픽을 L3 패킷으로 변환해야 하는 기술적 난제가 있었습니다. * **사용자 공간 TCP 스택의 제약**: 커널 수준의 변환이 어려운 멀티 플랫폼 환경을 지원하기 위해 Rust 기반의 사용자 공간 TCP 구현체인 `smoltcp`를 사용했으나, 이는 임베디드 시스템에 최적화되어 있어 최신 TCP 기능을 지원하지 못했습니다. * **이중 변환 오버헤드**: 클라이언트에서 L4를 L3 패킷으로 쪼개고, Cloudflare 에지(Edge)에서 이를 다시 L4 스트림으로 복구하는 과정이 반복되면서 고속 광랜 환경에서도 성능 상한선이 발생하는 병목 현상이 나타났습니다. ### QUIC 및 MASQUE를 활용한 직접 L4 프록싱 * **아키텍처의 근본적 변화**: 프록시 모드에서 WireGuard 사용을 중단하고, QUIC의 확장 프로토콜인 MASQUE를 도입하여 트래픽을 Layer 4 수준에서 직접 처리하도록 변경했습니다. * **HTTP/3 CONNECT 메서드 활용**: RFC 9114 표준을 따르는 HTTP/3의 CONNECT 메서드를 사용하여 브라우저의 요청을 L3 패킷으로 분해하지 않고 QUIC 스트림에 직접 캡슐화합니다. * **기술적 이점**: `smoltcp` 레이어를 완전히 제거하여 패킷 처리 오버헤드를 없앴으며, QUIC 고유의 현대적인 혼잡 제어(Congestion Control) 및 흐름 제어 기능을 활용할 수 있게 되었습니다. * **최적화 가능성**: 클라이언트와 Cloudflare 에지 사이의 QUIC 파라미터를 세밀하게 조정하여 네트워크 환경에 최적화된 성능 구현이 가능해졌습니다. ### 새로운 프록시 모드의 주요 수혜 사례 * **타사 VPN과의 공존**: 특정 사내 자원 접속을 위해 레거시 VPN을 병행 사용해야 하는 환경에서, 성능 저하 없이 웹 트래픽에만 Zero Trust 보안을 계층적으로 적용할 수 있습니다. * **고대역폭 애플리케이션 분할**: 브라우저 트래픽만 Cloudflare Gateway로 라우팅하는 환경에서 고화질 콘텐츠 스트리밍이나 대규모 데이터셋 처리가 원활해집니다. * **개발자 및 파워 유저**: CLI 도구나 스크립트에서 SOCKS5 보조 리스너를 사용하는 개발자들이 원격 API 호출 및 데이터 전송 시 Cloudflare 글로벌 네트워크의 저지연 이점을 그대로 누릴 수 있습니다. ### 적용 방법 및 확인 사항 새로운 성능 개선 사항을 적용하려면 Cloudflare One 클라이언트 버전이 **2025.8.779.0 이상**(Windows, macOS, Linux)이어야 합니다. 관리자 대시보드의 장치 프로필 설정에서 서비스 모드를 'Local proxy mode'로, 터널 프로토콜을 'MASQUE'로 설정해야 합니다. 사용 중인 프로토콜은 터미널에서 `warp-cli settings | grep protocol` 명령어를 통해 직접 확인할 수 있습니다.

상시 탐지: WAF (새 탭에서 열림)

Cloudflare는 기존 WAF의 고질적인 문제인 '로그와 차단 사이의 절충(log versus block trade-off)'을 해결하기 위해 새로운 '상시 가동 탐지(Always-on detections)' 시스템을 도입했습니다. 이 기술은 탐지와 대응을 분리하여 모든 요청에 대해 실시간으로 보안 메타데이터를 생성하며, 이를 통해 성능 저하 없이 보안 가시성을 극대화합니다. 결과적으로 보안 팀은 오탐 걱정 없이 신속하게 차단 정책을 수립하고, 향후 요청과 응답을 모두 분석하는 '전체 트랜잭션 탐지'로 진화할 수 있는 기반을 마련하게 되었습니다. ### 기존 WAF의 한계와 상시 가동 프레임워크 * **로그와 차단의 딜레마:** 기존 WAF는 오탐을 피하기 위해 먼저 로그 전용 모드에서 긴 시간 수동 튜닝을 거쳐야 했으며, 차단 모드에서는 특정 규칙이 발동되면 분석이 중단되어 다른 잠재적 위협에 대한 가시성을 잃는 문제가 있었습니다. * **탐지와 대응의 분리:** 새로운 프레임워크는 모든 요청에 대해 공격 시그니처 탐지를 상시 가동(Always-on)합니다. 탐지 결과는 메타데이터 형태로 요청에 부착되어 보안 분석 및 규칙 엔진에서 활용됩니다. * **지연 시간 최적화:** 차단 규칙이 설정되지 않은 경우 탐지 프로세스는 요청이 원본 서버로 전달된 후 실행되도록 설계되어 서비스 성능에 영향을 주지 않습니다. 차단 규칙 적용 시에만 인라인(In-line) 방식으로 전환되어 효율성을 극대화합니다. ### 공격 시그니처 탐지(Attack Signature Detection)의 기술적 구성 * **다양한 공격 벡터 커버리지:** SQL 삽입(SQLi), 교차 사이트 스크립팅(XSS), 원격 코드 실행(RCE) 및 특정 CVE(취약점)를 타겟팅하는 700개 이상의 관리형 규칙을 활용합니다. * **신뢰도(Confidence) 시스템:** 각 시그니처는 '높음(High)'과 '중간(Medium)' 신뢰도로 분류됩니다. '높음'은 오탐 가능성이 낮아 즉시 차단에 적합하며, '중간'은 실제 트래픽 환경에 따른 추가 검토가 권장됩니다. * **보안 규칙 필드 제공:** `cf.waf.signature.request.confidence`, `categories`, `ref` 등 3가지 주요 필드를 제공하여 사용자가 보안 분석 플랫폼에서 데이터를 확인하고 이를 기반으로 정교한 맞춤형 차단 정책을 수립할 수 있게 합니다. ### 전체 트랜잭션 탐지(Full-Transaction Detection)로의 진화 * **요청과 응답의 상관관계 분석:** 현재 개발 중인 이 기술은 수신되는 요청뿐만 아니라 그에 따른 서버의 응답까지 함께 분석하는 전체 HTTP 트랜잭션 탐지를 지향합니다. * **정교한 위협 식별:** 요청과 응답을 결합하여 분석함으로써 '반사형 SQL 삽입(Reflective SQLi)'이나 미세한 데이터 유출 패턴 등 요청만으로는 파악하기 어려운 위협을 효과적으로 찾아냅니다. * **오탐 감소:** 전체 맥락을 파악함으로써 기존 요청 기반 엔진보다 훨씬 낮은 오탐률을 구현하며, 서버의 잘못된 설정으로 인해 발생하는 보안 허점까지 포착할 수 있습니다. Cloudflare의 새로운 보안 모델을 활용하고자 한다면, 우선 '공격 시그니처 탐지'를 활성화하여 보안 분석 대시보드에서 트래픽 데이터를 축적하는 것이 좋습니다. 이를 통해 실제 위협 패턴을 파악한 뒤, 신뢰도가 높은 시그니처부터 단계적으로 차단 규칙을 적용하면 서비스 중단 없이 보안성을 최대로 높일 수 있습니다.

부팅부터 로그인까지 빈틈없는 (새 탭에서 열림)

Cloudflare는 원격 접속 보안의 사각지대를 제거하기 위해 '필수 인증(Mandatory Authentication)'과 '자체 다중 인증(MFA)'이라는 두 가지 새로운 도구를 출시했습니다. 이 기능들은 기기 부팅 시점부터 로그인까지 발생하는 보안 공백을 메워주며, 기존 신뢰 엔진의 한계를 보완하여 지속적인 보안 가동 상태를 유지합니다. 이를 통해 기업은 사용자 편의성을 저해하지 않으면서도 보안 사고 발생 시 피해 범위를 최소화하는 제로 트러스트 환경을 구축할 수 있습니다. ### 설치와 인증 사이의 보안 공백 해소 Cloudflare One Client가 MDM을 통해 설치되었더라도 사용자가 아직 인증하지 않았거나 세션이 만료된 경우, 기기는 가시성 밖의 '어두운 모퉁이'에 놓이게 됩니다. '필수 인증' 기능은 이러한 위험을 다음과 같이 해결합니다. * **기본 인터넷 차단:** 사용자가 활발하게 인증되지 않은 상태에서는 시스템 방화벽을 사용하여 기본적으로 모든 인터넷 트래픽을 차단합니다. * **인증 전용 예외 허용:** 기기 클라이언트의 인증 흐름에 필요한 특정 프로세스 트래픽만을 예외적으로 허용하여 인증을 유도합니다. * **사용자 가이드 제공:** 사용자가 인증 버튼을 직접 찾아 헤매지 않도록 인증 프로세스를 안내하는 프롬프트를 노출합니다. * **플랫폼 지원:** 해당 기능은 Windows용 Cloudflare One 클라이언트에서 우선 지원되며, 향후 다른 플랫폼으로 확대될 예정입니다. ### IdP 의존성을 탈피한 독자적 다중 인증 Okta나 Entra ID 같은 단일 인증(SSO) 서비스는 공격자의 주요 타겟이며, 세션 하이재킹 등에 취약할 수 있습니다. Cloudflare의 독립적 MFA는 네트워크 에지에서 작동하는 '단계별(Step-up) MFA' 역할을 수행합니다. * **이중 신뢰 구조:** 기본 IdP 자격 증명이 침해되더라도 Cloudflare가 관리하는 별도의 인증 계층을 통과해야 하므로 중요 자산에 대한 접근을 효과적으로 방어합니다. * **다양한 인증 수단:** 생체 인식(Windows Hello, Apple Touch ID/Face ID), 보안 키(WebAuthn, FIDO2), 인증 앱을 통한 TOTP 등 현대적인 인증 방식을 모두 지원합니다. * **세밀한 정책 제어:** 채팅 앱은 낮은 수준의 MFA를 허용하고 소스 코드 저장소는 물리 보안 키를 요구하는 등 애플리케이션별로 차등화된 정책을 적용할 수 있습니다. * **레거시 및 외부 협력자 관리:** MFA를 지원하지 않는 오래된 앱에 인증 계층을 추가하거나, 개인 이메일을 사용하는 외부 계약자에게도 강력한 인증을 강제할 수 있습니다. ### 실용적인 권장 사항 기업 보안 책임자는 '필수 인증'을 통해 관리형 기기가 항상 정책의 통제하에 있도록 설정하고, 민감한 내부 데이터베이스나 인프라 접근에는 Cloudflare의 독립적 MFA를 추가로 적용하는 것이 좋습니다. 이러한 방식은 단일 패스워드 유출이 전체 침해로 이어지는 것을 방지하며, 관리자에게는 정책 이행에 대한 확실성을, 사용자에게는 자동화된 보안 경험을 제공합니다.

딥페이크 격퇴: 노트북 (새 탭에서 열림)

현대 보안 아키텍처에서 신뢰는 가장 위험한 취약점이 되었으며, 특히 생성형 AI와 딥페이크를 이용한 원격 IT 노동자 사기가 새로운 위협으로 급부상하고 있습니다. 클라우드플레어(Cloudflare)는 이를 해결하기 위해 신원 검증 전문 기업 네임태그(Nametag)와 파트너십을 맺고, 기기나 자격 증명을 넘어 '실제 사람'을 확인하는 신원 보증 기반의 제로 트러스트 모델을 제시합니다. 이 솔루션은 노트북 팜(Laptop farms)과 같은 조직적 침투 시도를 차단하고 온보딩부터 업무 수행 전 과정에 걸쳐 강력한 신원 확인 계층을 추가하는 것을 골자로 합니다. ### "원격 IT 노동자" 사기와 노트북 팜의 진화 * **조직적 침투:** 북한 등 국가 차원의 지원을 받는 공격자들이 도용된 신원과 딥페이크 기술을 사용해 원격 개발자로 취업한 뒤, 지적 재산권을 탈취하고 자금을 유출하는 사례가 급증하고 있습니다. * **노트북 팜(Laptop Farm)의 실체:** 공격자는 국내 거점에 노트북을 배송시킨 뒤 KVM 스위치와 VPN을 통해 원격으로 접속합니다. 보안 시스템 입장에서는 기업이 지급한 정식 기기에서 유효한 자격 증명으로 접속하는 것으로 보여 탐지가 매우 어렵습니다. * **신원 보증의 공백:** 기존 제로 트러스트 모델은 기기의 상태와 계정 정보는 검증하지만, 정작 키보드 앞에 앉아 있는 '사람'이 누구인지는 확인하지 못하는 허점이 있습니다. ### Nametag을 통한 신원 검증 기반 제로 트러스트 * **물리적 신원 확인:** 클라우드플레어 액세스(Cloudflare Access)에 네임태그의 신원 검증 기술을 통합하여, 신규 입사자 온보딩이나 민감 데이터 접근 시 실제 인물을 대조합니다. * **딥페이크 방어(Deepfake Defense™):** AI와 고급 암호화 기술을 활용해 사진을 카메라에 비추는 프리젠테이션 공격이나 고도로 조작된 딥페이크 영상을 통한 우회 시도를 차단합니다. * **신뢰 추정의 폐기:** 원격 근무 환경에서 이메일로 초기 비밀번호를 보내는 식의 '가정된 신뢰'를 배제하고, 정부 발행 신분증과 생체 인식 정보를 기반으로 한 '검증된 신뢰'로 대체합니다. ### 신원 검증 워크플로우 및 작동 방식 * **OIDC 통합:** 네임태그는 OpenID Connect(OIDC)를 통해 클라우드플레어 액세스의 신원 제공업체(IdP)로 설정되거나 기존 IdP(Okta, Azure AD 등)와 체이닝되어 작동합니다. * **검증 프로세스:** 사용자가 온보딩 포털에 접속하면 네임태그 인증이 실행됩니다. 사용자는 스마트폰으로 정부 발행 신분증을 스캔하고 셀카를 촬영하여 본인임을 증명합니다. * **즉각적인 통제:** 검증은 30초 이내에 완료되며, 성공 시에만 OIDC 토큰이 클라우드플레어로 반환되어 내부 리소스 접근이 허용됩니다. 검증 과정에서 사용된 생체 정보는 저장되지 않아 개인정보를 보호합니다. ### 다층 방어와 지속적인 위험 관리 * **통합 보안 시너지:** 신원 검증은 기존의 데이터 유출 방지(DLP), 원격 브라우저 격리(RBI), 클라우드 접근 보안 중개(CASB)와 결합하여 더욱 강력한 내부 위협 방어 체계를 형성합니다. * **사용자 위험 점수:** 클라우드플레어 액세스는 사용자 위험 점수를 실시간으로 반영합니다. 정상적인 직원이더라도 계정 탈취가 의심되거나 위험 점수가 상승하면 즉시 접근을 차단하거나 재인증을 요구합니다. AI가 얼굴과 목소리를 완벽하게 모방할 수 있는 시대에 더 이상 단순한 아이디와 패스워드만으로는 보안을 유지할 수 없습니다. 원격 근무 인력을 운영하는 기업은 하드웨어와 자격 증명 중심의 보안을 넘어, 암호학적으로 증명된 생체 기반 신원 확인을 제로 트러스트 정책의 필수 요소로 도입해야 합니다.

사용자 리스크 스코어 (새 탭에서 열림)

클라우드플레어는 기존의 정적인 보안 모델을 넘어, 사용자의 행동을 실시간으로 분석하여 접근 권한을 동적으로 제어하는 '사용자 위험 점수(User Risk Scoring)' 기능을 도입했습니다. 이는 단순히 로그인 자격 증명이나 기기의 상태를 확인하는 것에서 나아가, 데이터 유출 시도나 비정상적인 로그인 패턴 같은 실시간 행동 데이터를 바탕으로 보안 결정을 내릴 수 있게 합니다. 이를 통해 보안 팀은 침해 사고에 사후 대응하는 대신, 위험 수준에 따라 자동으로 접근을 차단하거나 인증을 강화함으로써 선제적인 제로 트러스트 보안을 실현할 수 있습니다. **사용자 행동 기반의 지능형 위험 산출** - 클라우드플레어 원(Cloudflare One) 플랫폼은 내부 시스템과 외부 파트너사의 데이터를 결합하여 조직 내 모든 사용자의 위험 점수를 실시간으로 계산합니다. - **내부 시그널 활용:** Cloudflare Access의 로그인 로그(지리적 위치, 로그인 실패 등)와 Cloudflare Gateway의 트래픽 데이터(멀웨어 감지, DLP 규칙 위반, 비정상적 브라우징 등)를 지속적으로 모니터링합니다. - **서드파티 통합:** CrowdStrike 및 SentinelOne과의 서비스 간 통합을 통해 외부 기기 보안 상태 및 위협 텔레메트리를 사용자 프로필에 직접 반영합니다. - **결정론적 산출 로직:** 관리자가 정의한 특정 위험 행동(예: 불가능한 이동 거리 발생 시 '높음') 중 발생한 가장 높은 위험 수준을 사용자의 현재 점수로 할당하며, 사고 조사 후 수동으로 점수를 재설정할 수도 있습니다. **자동화된 적응형 접근 제어(Adaptive Access)** - 기존에는 의심스러운 사용자를 발견하면 관리자가 수동으로 세션을 만료시켜야 했으나, 이제는 ZTNA 정책에 '사용자 위험 점수' 항목을 조건으로 추가하여 자동화된 대응이 가능합니다. - **동적 정책 적용:** 예를 들어 위험 점수가 '높음'인 사용자는 즉시 재무 시스템 접근을 차단하고, '중간'인 사용자는 물리적 보안 키를 이용한 추가 인증을 거치도록 설정할 수 있습니다. - **실시간 세션 관리:** 사용자의 위험 점수가 상승하면 활성 세션 도중이라도 즉시 접근 권한을 취소할 수 있으며, 점수가 정상화되면 정책에 따라 접근 권한이 자동으로 복구됩니다. **보안 생태계와의 실시간 동기화** - Shared Signals Framework를 통해 Okta와 같은 ID 공급자(IdP)와 위험 신호를 공유함으로써, 네트워크 단의 위협 정보를 SSO(Single Sign-On) 인증 단계까지 확장하여 적용합니다. - 향후에는 활성 세션 중간에 위험 점수가 변할 경우 MFA(다중 인증)를 즉시 요구하는 '스텝업(Step-up) 인증' 기능을 추가하여 보안 강도를 더욱 높일 예정입니다. **실용적인 결론 및 추천** 클라우드플레어 사용자는 현재 대시보드에서 위험 시그널 설정을 즉시 시작할 수 있으며, 최대 50인까지는 무료로 제공되므로 소규모 환경에서 먼저 적응형 보안을 테스트해 보기에 적합합니다. 대규모 조직의 경우 CrowdStrike나 SentinelOne 같은 기존 보안 도구와 연동하여 네트워크 전반에 걸친 통합적인 제로 트러스트 아키텍처를 구축할 것을 권장합니다.

번호판에서 배지로: (새 탭에서 열림)

Cloudflare는 에이전트 설치가 불가능한 환경에서도 사용자 신원을 확인하고 보안 정책을 적용할 수 있는 'Gateway Authorization Proxy'를 출시했습니다. 기존의 IP 기반 필터링에서 벗어나 브라우저의 기본 프록시 기능과 Cloudflare Access를 결합함으로써, 관리되지 않는 기기에서도 사용자별로 세밀한 트래픽 제어와 가시성 확보가 가능해졌습니다. 이는 기업 인수합병(M&A), VDI 환경, 규제가 엄격한 산업군에서 보안 공백을 메우는 강력한 해결책이 될 것입니다. ### IP 기반 프록시의 한계와 정체성 위기 * 기존의 프록시 엔드포인트 방식은 정적 IP 주소에 의존하여 사용자를 식별했기 때문에, '누가' 접속하는지가 아닌 '어느 IP'에서 오는지만 인식할 수 있었습니다. * 사용자가 장소를 옮겨 IP가 변경되면 정책이 제대로 적용되지 않는 취약함이 있었으며, 보안 로그에는 사용자 이름 대신 익명 IP만 기록되는 문제가 있었습니다. * 또한 프록시 설정을 안내하는 PAC(Proxy Auto-Configuration) 파일을 기업이 직접 호스팅하고 수동으로 관리해야 하는 운영상의 번거로움이 존재했습니다. ### 신원 기반 인증 프록시의 작동 원리 * 새로운 방식은 차량 번호판(IP) 대신 개별 배지(ID)를 확인하는 것과 같으며, Cloudflare Access와 연동하여 사용자가 누구인지 먼저 검증한 뒤 Gateway 필터링 정책을 적용합니다. * 서명된 JWT(JSON Web Token) 쿠키를 사용하여 신원을 유지하며, 도메인별 보안 토큰을 생성하여 세션을 관리합니다. * 이 모든 인증 과정은 Cloudflare의 글로벌 에지 네트워크에서 수 밀리초 내에 처리되므로, 사용자는 리다이렉트 과정을 거의 느끼지 못한 채 평소처럼 웹 서핑을 할 수 있습니다. ### 다중 ID 공급자 지원 및 통합 관리 * Okta, Azure AD 등 여러 ID 공급자(IdP)를 동시에 지원하여, 서로 다른 인증 체계를 가진 기업들이 합병되는 과정에서도 유연하게 보안을 통합할 수 있습니다. * 클라이언트를 설치하지 않고도 "재무팀만 특정 회계 도구에 접속 가능"과 같은 정교한 사용자별 정책 수립이 가능합니다. * 사용자별 라이선스(Seat) 기반의 단순한 과금 체계를 적용하여 기존 Cloudflare One Client 사용자들과 동일한 방식으로 비용을 관리할 수 있습니다. ### PAC 파일 호스팅 자동화와 AI 지원 * 기업은 이제 PAC 파일을 직접 관리할 필요 없이 Cloudflare 네트워크에서 직접 호스팅하고 배포할 수 있습니다. * 다양한 설정 템플릿을 제공하여 수 분 내에 설정을 완료할 수 있으며, AI 어시스턴트 'Cloudy'가 복잡한 PAC 코드를 요약하고 설명해 주어 설정 오류를 방지합니다. ### 권장 활용 시나리오 Cloudflare는 최상의 사용자 경험을 위해 전용 클라이언트(Cloudflare One Client) 설치를 우선적으로 권장하지만, 다음과 같은 특수 상황에서는 Gateway Authorization Proxy가 최적의 대안이 됩니다. * **VDI(가상 데스크톱) 환경:** 사용자가 가상 머신에 로그인하여 브라우저를 통해서만 인터넷에 접속하는 경우 * **인수합병(M&A):** 서로 다른 보안 환경을 가진 두 회사를 신속하게 하나의 보안 체계로 통합해야 할 때 * **규제 준수 및 제한적 환경:** 보안 정책이나 법적 문제로 인해 엔드포인트 기기에 소프트웨어를 설치할 수 없는 경우

2026 Cloudflare 위 (새 탭에서 열림)

2026년의 사이버 위협 지형은 단순한 기술적 정교함을 넘어 결과 중심의 '효율성 측정(MOE, Measure of Effectiveness)'을 최우선시하는 산업화된 구조로 진화했습니다. 공격자들은 이제 막대한 비용이 드는 제로데이 취약점 대신 탈취된 세션 토큰이나 신뢰받는 클라우드 도구를 활용하여 방어망을 교묘히 우회하고 있습니다. 이번 보고서는 이러한 고신뢰 기반 착취 모델과 AI 기반의 고속화된 공격 전략에 대응하기 위한 전략적 로드맵을 제시합니다. ### 공격의 새로운 기준: 효율성 측정(MOE)의 부상 * 현대의 공격자들은 복잡하고 값비싼 일회성 해킹 기법보다는 최소한의 노력으로 최대의 결과를 얻을 수 있는 '처리량(Throughput)' 중심의 MOE 지표를 따릅니다. * 공격자들은 비싼 제로데이 취약점을 찾는 대신, 이미 인증된 세션 토큰을 탈취하거나 평판이 좋은 클라우드 인프라(LotX)를 활용해 탐지를 피하면서 전달률을 높이는 경제적 선택을 합니다. * AI는 민감 데이터의 연결 고리를 식별하는 작업을 자동화하여, 공격자가 가장 짧은 시간 내에 임무를 완수할 수 있는 연속적인 시스템을 구축하도록 돕습니다. ### 2026년의 8대 핵심 보안 트렌드 * **AI 기반 고속 운영**: 생성형 AI를 활용한 실시간 네트워크 매핑과 공격 코드 개발, 딥페이크 제작이 보편화되면서 숙련도가 낮은 공격자도 고영향도 작전을 수행할 수 있게 되었습니다. * **국가 주도 인프라 침투**: 중국 기반 공격 그룹인 Salt Typhoon과 Linen Typhoon 등은 장기적인 지정학적 우위를 점하기 위해 북미의 통신, 정부, IT 서비스 인프라에 사전 침투해 거점을 마련하고 있습니다. * **SaaS 통합 리스크 확장**: 과도한 권한이 부여된 서드파티 API 연동(Salesloft 사례 등)을 통해 단일 접점의 침투가 수백 개의 기업 환경으로 확산되는 연쇄 피해가 발생하고 있습니다. * **신뢰 기반 도구의 무기화**: 구글 캘린더, 드롭박스, 깃허브 등 합법적인 SaaS 및 IaaS 도구를 악용해 명령 및 제어(C2) 트래픽을 정상적인 기업 활동처럼 위장합니다. * **딥페이크 위장 취업**: 북한의 국가 주도 해커들이 딥페이크와 허위 신분으로 서구 기업에 원격 IT 인력으로 위장 취업하여 첩보 활동과 불법 수익 창출을 병행하고 있습니다. * **다중 인증(MFA) 무력화**: LummaC2와 같은 정보 탈취 도구를 사용해 활성 세션 토큰을 직접 수확함으로써, 기존의 다중 인증 절차를 건너뛰고 바로 사후 인증 단계로 진입합니다. * **브랜드 위장 피싱**: 메일 서버의 발신자 재검증 허점을 노린 피싱 봇들이 신뢰도 높은 브랜드로 위장해 사용자 편지함에 직접 침투하는 사례가 늘고 있습니다. * **초대형 DDoS 공격**: Aisuru와 같은 대규모 봇넷을 이용한 하이퍼 볼륨 DDoS 공격이 기록을 경신하며, 인간이 대응할 수 있는 시간적 여유를 완전히 박탈하고 있습니다. ### 클라우드 서비스의 'Living off the Land' 전략 * 공격자들은 자체 악성 서버를 운영하는 대신 구글 드라이브, MS 팀즈, 아마존 S3와 같은 합법적인 클라우드 생태계를 활용하는 'Living off anything-as-a-service' 전략을 구사합니다. * Amazon SES나 SendGrid와 같이 대량 메일 발송을 위해 설계된 서비스를 악용하여 정교한 피싱 및 멀웨어를 유포함으로써 기존 스팸 필터를 효과적으로 우회합니다. * 이러한 방식은 신뢰받는 서비스의 외피를 입고 수행되기에 정상적인 기업 트래픽과 구분이 거의 불가능하며, 공격 인프라의 확장성과 신뢰성을 동시에 확보해 줍니다. 조직은 더 이상 고전적인 경계 보안이나 단순 기술적 방어에만 의존해서는 안 됩니다. 공격자들의 MOE 중심 전략을 이해하고, 신뢰받는 SaaS 도구에 대한 가시성 확보 및 세션 토큰 보호와 같은 'ID 중심 보안' 체계로의 근본적인 전환이 필요합니다.

Cloudflare 위협 인텔리전 (새 탭에서 열림)

Cloudflare는 복잡한 ETL(추출, 변환, 적재) 파이프라인을 제거하고 SQLite 기반의 샤딩된 아키텍처를 활용하여 차세대 위협 인텔리전스 플랫폼(TIP)을 구축했습니다. 이 플랫폼은 전 세계 네트워크 엣지에서 GraphQL을 직접 실행함으로써 수백만 건의 위협 이벤트를 1초 미만의 지연 시간으로 쿼리하고 시각화할 수 있는 성능을 제공합니다. 이를 통해 보안 팀은 단순히 위협을 관찰하는 수준을 넘어, 위협 행위자와 멀웨어를 실시간으로 연결하고 Cloudflare 네트워크 전체에서 공격을 선제적으로 차단할 수 있는 통합된 방어 체계를 갖추게 되었습니다. ### 위협 인텔리전스 플랫폼의 필요성과 진화 Cloudforce One 팀이 공격자 인프라를 추적하기 위해 내부용으로 개발했던 도구가 이제 모든 사용자를 위한 클라우드 네이티브 위협 인텔리전스 플랫폼으로 발전했습니다. 단순히 데이터를 나열하는 것이 아니라 위협의 전체 생명주기를 매핑하여 공격자와 멀웨어, 케이스, 지표를 하나로 연결합니다. * **데이터의 유용성 확보:** 방대한 텔레메트리 데이터 속에서 실행 가능한 통찰력을 추출하여 보안 운영 센터(SOC)의 의사결정을 지원합니다. * **엣지 기반의 혁신:** Cloudflare Workers 환경을 활용하여 실시간으로 위협 이벤트를 그래프와 다이어그램으로 합성하며, 데이터 수집과 가용성 사이의 지연 시간을 완전히 제거했습니다. ### SIEM의 한계 극복과 지능형 강화 실시간 로그 집계와 알람에 최적화된 기존 SIEM과 달리, TIP는 공격자 패턴을 추적하기 위한 전용 스키마와 장기 보관 기능을 제공하여 보안 생태계를 보완합니다. * **상황 맥락 제공:** 단순한 IP나 해시 값을 넘어 해당 지표의 역사, 관련 위협 행위자, 캠페인 내 역할 및 위험 점수를 즉각적으로 제공하여 분석가의 수동 조사 시간을 단축합니다. * **선순환 피드백 루프:** 분석가가 발견한 새로운 침해 지표(IOC)를 플랫폼에 다시 입력하면 자동화된 방어 기능이 강화되어, 모든 사용자가 실시간으로 업데이트된 인텔리전스의 혜택을 누릴 수 있습니다. ### 병목 현상을 제거한 ETL-less 아키텍처 중앙 집중식 데이터베이스의 성능 한계를 극복하기 위해 SQLite 기반의 Durable Objects를 활용한 분산 샤딩 구조를 채택했습니다. * **고가용성 샤딩:** 위협 이벤트를 수천 개의 논리적 샤드(Durable Objects)로 분산 저장하여 쓰기 병목 현상을 방지하고 고성능 트랜잭션을 보장합니다. * **계층화된 저장소:** 고부하 공격 시 발생하는 데이터 스파이크를 Cloudflare Queues로 처리하며, 장기 데이터는 R2에 저장하고 즉각적인 조회가 필요한 인덱스는 Durable Object 내의 SQLite에 유지합니다. ### 엣지에서의 병렬 쿼리 실행 사용자가 GraphQL 엔드포인트를 통해 검색을 수행하면 플랫폼은 단일 테이블이 아닌 네트워크 전역에 분산된 여러 샤드에 쿼리를 동시에 전송(Fan-out)합니다. * **지연 시간 최소화:** Smart Placement 기술을 통해 쿼리를 처리하는 Worker를 데이터가 보관된 Durable Object와 물리적으로 가까운 곳에 배치하여 응답 속도를 극대화했습니다. * **권한 기반 필터링:** 쿼리 실행 전 사용자 권한과 날짜 기반 샤드 필터링을 거쳐 필요한 데이터만 병렬로 취합함으로써 효율적인 데이터 검색을 실현합니다. 보안 운영의 효율성을 높이기 위해서는 데이터의 양보다 그 데이터가 얼마나 빠르게 실행 가능한 정보로 전환되는지가 중요합니다. Cloudflare의 새로운 TIP는 인텔리전스를 별도의 분리된 데이터셋이 아닌 방어 체계의 일부로 통합함으로써, 보안 팀이 사후 대응 방식에서 벗어나 선제적이고 능동적인 방어 태세를 구축할 수 있도록 돕습니다.

Cloudy가 복잡한 보안 (새 탭에서 열림)

Cloudflare의 'Cloudy'는 복잡한 보안 텔레메트리와 머신러닝 탐지 결과를 인간이 이해할 수 있는 언어로 번역해주는 LLM 기반의 설명 레이어입니다. 이 기술은 보안 팀과 엔드 유저가 탐지 결과의 이면에 있는 '이유'를 즉각적으로 파악하게 함으로써, 단순한 알림을 넘어 실질적인 행동 변화를 이끌어내는 것을 목표로 합니다. 결과적으로 Cloudy는 보안 운영 센터(SOC)의 업무 부하를 줄이고 조직 전체의 보안 의사결정 수준을 한 단계 높이는 역할을 수행합니다. ### 이메일 보안의 투명성 강화와 Phishnet 업그레이드 * **탐지 근거의 명확화**: 기존 머신러닝 모델은 악성 메일을 정확히 분류하지만, 왜 그렇게 판단했는지에 대한 설명이 부족했습니다. Cloudy는 발신 평판, 링크 동작, 인프라 메타데이터 등을 분석해 사용자에게 읽기 쉬운 요약본을 제공합니다. * **불필요한 SOC 보고 감소**: 사용자가 의심스러운 메일을 모두 SOC로 보낼 경우 발생하는 백로그 문제를 해결합니다. Cloudy의 실시간 요약을 통해 사용자는 스스로 위험을 판단할 수 있게 되어, 실제 조사가 필요한 메일만 선별적으로 보고하게 됩니다. * **상황 맥락적 보안 교육**: 정기적인 보안 교육 대신, 실제 위협에 직면한 순간에 구체적인 가이드를 제공함으로써 사용자의 보안 인식과 대응 능력을 실시간으로 강화합니다. ### Workers AI를 활용한 실시간 기술 구현 * **글로벌 엣지 처리**: Cloudy는 Cloudflare의 글로벌 네트워크인 Workers AI 플랫폼에서 구동됩니다. 사용자가 Phishnet 버튼을 클릭하는 즉시 실시간으로 작동하여 지연 시간을 최소화합니다. * **신호 집계 및 번역**: SPF/DKIM/DMARC 인증 결과, 발신자 평판, 콘텐츠 분석 등 복잡한 기술 신호를 수집한 뒤, 이를 평이한 자연어로 변환합니다. * **사용자 맞춤형 언어 선택**: 관리자 대시보드에서는 기술적인 디테일을 강조하는 반면, 일반 사용자용 Phishnet 화면에서는 'ASN'이나 'IP 평판' 같은 전문 용어 대신 "보낸 사람 확인 실패"와 같은 직관적인 표현을 사용합니다. ### CASB를 통한 SaaS 환경의 위험 관리 최적화 * **복잡한 설정 오류 해석**: Cloudflare CASB(Cloud Access Security Broker) 엔진과 결합하여 SaaS 환경의 잘못된 설정이나 위험한 액세스 권한을 분석합니다. * **신속한 해결 경로 제시**: 관리자가 복잡한 기술 신호를 일일이 수동으로 분석할 필요 없이, Cloudy가 제시하는 위험 요인과 조치 경로를 통해 즉각적인 위협 완화가 가능해집니다. ### 실용적인 제언 조직의 보안 담당자는 단순히 '차단'이나 '허용'의 이분법적 접근에서 벗어나, Cloudy와 같은 설명 가능한 보안(Explainable Security) 도구를 도입하여 사용자 참여형 보안 문화를 구축해야 합니다. 특히 SOC 팀의 리소스가 부족한 조직이라면, Phishnet의 Cloudy 업그레이드를 통해 사용자 발(發) 노이즈를 줄이고 고부하 위협 대응에 집중할 수 있는 환경을 조성할 것을 추천합니다.

위험 탐지부터 해결까지: (새 탭에서 열림)

Cloudflare가 자사의 Cloud Access Security Broker(CASB)에 탐지된 보안 위험을 대시보드에서 즉시 수정할 수 있는 '리메디이에션(Remediation)' 기능을 도입했습니다. 그동안 CASB가 SaaS 앱 내의 설정 오류나 과도한 파일 공유를 시각화하는 데 집중했다면, 이제는 보안 팀이 별도의 관리 도구 없이 원클릭으로 문제를 해결할 수 있는 능동적인 제어 평면으로 진화했습니다. 이 기능은 먼저 Microsoft 365와 Google Workspace를 대상으로 출시되어 비즈니스 크리티컬한 데이터의 노출을 신속하게 차단합니다. **SaaS 보안 가시성에서 즉각적인 조치로의 확장** * Cloudflare CASB는 Microsoft 365, Google Workspace, Slack, GitHub 등 다양한 SaaS 환경과 API로 연결되어 통합된 보안 뷰를 제공합니다. * 기존 프로세스에서는 보안 팀이 발견된 위험을 해결하기 위해 각 앱의 개별 관리자 UI에 접속하거나 해당 툴의 담당자에게 티켓을 발송해야 하는 번거로움이 있었습니다. * 리메디이에션 기능은 이러한 루프를 폐쇄하여, 발견(Finding) 페이지에서 직접 공유 설정을 변경함으로써 조치 시간을 획기적으로 단축합니다. **고위험 파일 공유 리스크 해결** * 인터넷상의 누구나 접근 가능한 공공 링크, 전사적 공유 설정, 외부 도메인이나 개인 계정으로의 공유 등 가장 빈번하고 위험한 공유 패턴을 즉시 해제합니다. * 특히 고객 정보나 금융 데이터 등 민감 정보를 포함한 DLP(데이터 손실 방지) 프로필과 일치하는 파일에 대해 우선적인 조치가 가능합니다. * 이 기능은 파일 자체를 삭제하거나 소유권을 변경하지 않고 '위험한 공유 구성'만을 제거하여 업무의 연속성을 해치지 않으면서 보안을 강화합니다. **서버리스 아키텍처를 통한 기술적 안정성 확보** * Cloudflare Workers, Workflows, Queues, Hyperdrive 등 자사의 기술 스택을 활용해 대규모 환경에서도 빠르고 견고한 실행 환경을 구축했습니다. * 서드파티 API 호출 시 발생하는 속도 제한(429 에러) 문제를 Workflows의 기본 재시도(Retry) 기능을 통해 별도의 복잡한 상태 추적 시스템 없이도 효율적으로 관리합니다. * 성능 테스트 결과, 작업 완료 시간 중간값(p50)은 48초, 90분위수(p90)는 72초로 매우 빠른 응답성을 보이며 모든 조치 내역은 SIEM 연동을 위해 관리자 로그에 기록됩니다. **향후 계획 및 자동화 방향** * 향후 고위험 파일을 안전한 장소로 격리하는 'Quarantine' 조치와 티켓 생성 등 외부 워크플로우를 트리거하는 '커스텀 웹훅' 기능을 추가할 예정입니다. * 보안 정책에 따라 CASB가 자동으로 위험을 수정하는 '자동 리메디이에션(Autoremediation)' 정책을 도입하여 보안 운영의 효율성을 더욱 높일 계획입니다. SaaS 환경에서 발생하는 데이터 유출 사고의 상당수가 실수로 설정된 공유 권한에서 기인하는 만큼, Microsoft 365나 Google Workspace를 사용하는 조직은 CASB 리메디이에션 기능을 통해 '가시성 확보'와 '즉각적인 위험 제거'라는 두 마리 토끼를 잡을 것을 권장합니다. 특히 DLP 프로필과 연계하여 민감한 데이터가 포함된 파일의 외부 공유를 정기적으로 점검하고 즉시 조치하는 프로세스를 수립하는 것이 좋습니다.

사후 대응에서 선제적 대응 (새 탭에서 열림)

클라우드플레어는 기존의 사후 대응 중심의 이메일 보안 체계를 대규모 언어 모델(LLM)을 활용한 선제적 방어 체계로 전환하고 있습니다. 사용자가 신고한 피싱 메일에만 의존하던 방식에서 벗어나, LLM의 문맥 이해 능력을 통해 수백만 건의 이메일 데이터에서 보이지 않던 위협 패턴을 식별하고 이를 탐지 모델 학습에 즉시 반영하는 것이 핵심입니다. 이러한 변화를 통해 위협이 실제 피해로 이어지기 전 미리 대응할 수 있는 능력을 확보하고, 특히 교묘한 '영업 제안(Sales Outreach)' 형태의 피싱 공격을 효과적으로 억제하는 성과를 거두고 있습니다. ### 기존 사후 대응 방식의 한계 * 전통적인 보안 시스템은 공격자가 이미 성공한 사례, 즉 사용자가 사후에 신고한 이메일(EML)을 분석하여 모델을 업데이트하는 방식에 의존했습니다. * 이는 '생존자 편향'의 문제와 같아서, 시스템을 이미 통과한 위협에 대해서는 효과적이지만 다음에 올 새로운 공격 기법에는 여전히 취약하다는 맹점이 있습니다. * 공격자의 기술은 끊임없이 진화하는 반면, 기존 방식은 공격자가 한 발 앞서 나가는 상황을 뒤늦게 쫓아가는 구조적 한계를 보입니다. ### LLM을 활용한 위협 지형 매핑 * LLM은 이메일의 비정형 데이터를 깊이 있게 분석하여 의도(intent), 긴급성(urgency), 기만성(deception)과 같은 복잡한 개념을 맥락적으로 이해합니다. * 과거에는 수백만 건의 메시지를 세부적으로 분류하는 것이 불가능했으나, 이제는 실시간에 가까운 속도로 위협 벡터를 자동 분류하고 태그를 부여할 수 있습니다. * 이를 통해 보안 분석가는 수동 조사 시간을 대폭 단축하고, 새로운 공격 패턴이 널리 확산되기 전에 이를 감지하여 맞춤형 머신러닝 모델을 구축할 수 있는 고해상도 신호를 얻게 됩니다. ### '영업 제안(Sales Outreach)' 피싱 탐지 강화 * B2B 비즈니스 메일을 모방하여 악성 링크 클릭이나 자격 증명 탈취를 유도하는 '영업 제안' 형태의 피싱이 주요 타겟으로 선정되었습니다. * LLM을 사용해 이러한 특성을 가진 메시지를 체계적으로 격리하고, 이를 바탕으로 실제 환경의 사례들을 포함하는 고정밀 말뭉치(Corpus)를 구축했습니다. * 단순한 정적 지표가 아닌 설득력 있는 프레임워크, 조작된 긴급성, 거래적 언어 등 언어적/구조적 특성을 추출하여 전용 감성 분석 모델을 학습시켰습니다. ### 언어 분석을 통한 보안 집행 및 최적화 * 학습된 모델은 메시지가 알려진 공격 패턴과 얼마나 일치하는지 나타내는 '위험 점수'를 산출하며, 이는 발신자 평판 및 링크 동작 등 기존 신호와 결합되어 최종 판단에 활용됩니다. * 공격자가 언어 스타일을 바꾸더라도 LLM이 새로운 변종을 발견하면 즉시 학습 파이프라인에 피드백되어 사용자의 신고 없이도 모델이 지속적으로 정교해집니다. * 이러한 시스템 도입 결과, 2025년 3분기 대비 4분기에는 사용자가 놓친 피싱 메일 신고 건수가 약 20.4% 감소했으며, 2026년 1분기에는 미탐지 신고가 기존의 1/3 수준으로 대폭 줄어드는 성과를 냈습니다. 사용자가 위협을 인지하고 신고하기를 기다리는 대신, LLM의 강력한 언어 이해 능력을 탐지 초기 단계(Discovery layer)에 배치하여 잠재적 위협을 먼저 찾아내는 것이 현대적인 이메일 보안의 핵심 전략입니다. 이를 통해 보안 팀은 리소스 소모를 줄이고, 사용자는 더욱 안전한 비즈니스 커뮤니케이션 환경을 보장받을 수 있습니다.

진정으로 프로그래밍 가능한 S (새 탭에서 열림)

Cloudflare는 단순한 설정 변경을 넘어 실시간 로직 주입이 가능한 진정한 의미의 프로그래밍 가능한 SASE(Secure Access Service Edge) 플랫폼을 지향합니다. Cloudflare One과 개발자 플랫폼(Workers)이 동일한 네트워크 인프라 위에서 기본적으로 통합되어 있어, 사용자는 대기 시간 없이 보안 이벤트를 가로채고 외부 컨텍스트를 결합하여 맞춤형 보안 결정을 내릴 수 있습니다. 이는 정적인 보안 정책의 한계를 극복하고 각 기업의 고유한 요구사항에 맞춘 유연한 보안 아키텍처 구축을 가능하게 합니다. **진정한 프로그래밍 가능성의 의미** - 업계에서 흔히 말하는 API 제공이나 Terraform 지원 같은 '기초적인 프로그래밍 가능성'을 넘어, 실시간으로 보안 이벤트를 가로채고 외부 데이터를 보충하여 즉각적인 조치를 취하는 능력을 의미합니다. - 예를 들어, 특정 앱 접속 시 사용자의 규정 준수 교육 이수 여부를 외부 시스템(LMS)에서 즉시 확인하여, 미이수자에게는 접속 차단 대신 교육 포털로 리다이렉트하는 동적인 정책 결정이 가능합니다. **SASE와 개발자 플랫폼의 결합** - Cloudflare One(SASE)과 Workers(개발자 플랫폼)는 동일한 전 세계 330개 이상의 도시 인프라 및 동일한 서버 자원 위에서 실행됩니다. - 별도의 외부 클라우드에서 자동화를 실행할 필요가 없어 불필요한 네트워크 왕복 지연(Latency)이 발생하지 않으며, 보안 정책 내에서 밀리초 단위로 커스텀 로직을 수행할 수 있습니다. - 웹 보호, 사용자 보안, 프라이빗 네트워크 보안 모두가 동일한 개발 도구와 기본 요소를 공유하므로 아키텍처의 일관성을 보장합니다. **확장된 보안 액션과 워크플로우** - 기존 보안 게이트웨이의 제한적인 옵션(허용, 차단, 격리 등)에서 벗어나, 사용자 정의 로직을 실행할 수 있는 '커스텀 액션' 기능을 제공합니다. - 사용자 ID 클레임에 기반한 동적 헤더 삽입, 외부 리스크 엔진의 실시간 판독 결과 반영, 근무 시간 및 위치에 따른 정교한 접근 제어 등을 구현할 수 있습니다. - '관리형 액션(템플릿)'을 통해 ITSM 통합이나 규정 준수 자동화를 쉽게 설정하거나, '커스텀 액션'을 통해 Cloudflare Worker를 직접 호출하여 정교한 코드를 실행할 수 있습니다. **실제 활용 사례: 자동화된 세션 관리** - 특정 고객은 정해진 시간 동안 활동이 없는 기기의 세션을 강제로 종료해야 하는 보안 요건을 Cloudflare Workers를 통해 해결하고 있습니다. - 'Scheduled Worker'가 주기적으로 실행되어 기기 API(Devices API)를 쿼리하고, 비활성 임계값을 초과한 기기의 등록을 자동으로 취소하여 사용자가 ID 공급자를 통해 다시 인증하도록 강제합니다. - 이는 표준 기능으로 제공되지 않는 복잡한 보안 요구사항도 프로그래밍을 통해 즉시 해결할 수 있음을 보여줍니다. 보안 요구사항이 복잡해질수록 단순한 설정 중심의 솔루션은 한계에 부딪힙니다. Cloudflare One의 프로그래밍 가능성을 활용하여 기업 고유의 비즈니스 로직을 보안 스택에 직접 통합하면, 성능 저하 없이도 가장 강력하고 유연한 제로 트러스트 환경을 구축할 수 있습니다.