Cloudflare / cloudflare-one

From the endpoint to the prompt: a unified data security vision in Cloudflare One (새 탭에서 열림)

Cloudflare One은 현대 기업 보안의 핵심을 '데이터 보안'으로 정의하며, 데이터가 이동하는 모든 경로를 단일 모델로 보호하는 통합 비전을 제시합니다. 데이터는 네트워크 경계를 넘어 엔드포인트, SaaS, 그리고 이제는 AI 프롬프트까지 매우 빠르게 이동하기 때문에, 보안 정책 역시 도구가 아닌 데이터 자체를 따라가야 한다는 것이 핵심입니다. 이를 위해 Cloudflare는 전송 중인 데이터(In Transit)와 저장된 데이터(At Rest)를 넘어, 사용 중인 데이터(In Use)와 AI 상호작용 단계까지 아우르는 포괄적인 통제 기능을 강화하고 있습니다. ### 브라우저 기반 RDP 클립보드 제어 외부 협력업체나 파트너에게 제공되는 브라우저 기반 원격 데스크톱(RDP) 접속 환경에 더욱 세밀한 데이터 보호 기능을 추가했습니다. * **양방향 제어:** 관리자는 로컬 장치와 브라우저 RDP 세션 간의 복사 및 붙여넣기 허용 여부를 정책에 따라 결정할 수 있습니다. * **맥락 기반 정책:** 예를 들어 고객 지원 포털 접속 시, 세션 내부로의 붙여넣기는 허용하여 생산성을 유지하되, 외부로의 복사는 차단하여 민감 정보가 관리되지 않는 기기로 유출되는 것을 방지합니다. * **설정 편의성:** 해당 기능은 Cloudflare One의 Access 애플리케이션 정책 설정 내에서 간편하게 활성화할 수 있습니다. ### 로그 내 작업 매핑을 통한 가시성 강화 단순한 HTTP 요청 데이터만으로는 파악하기 힘든 사용자의 구체적인 행위를 직관적으로 이해할 수 있도록 로그 시스템을 개선했습니다. * **작업 매핑(Operation Mapping):** 복잡한 HTTP 요청을 '프롬프트 전송(SendPrompt)'이나 '업로드(Upload)'와 같은 의미 있는 작업으로 해석하여 기록합니다. * **애플리케이션 제어 그룹:** 유사한 행위들을 그룹화하여 로그에 표시함으로써, 관리자가 별도의 분석 없이도 SaaS 애플리케이션 내의 활동 패턴을 즉시 파악할 수 있습니다. * **조사 가속화:** 강화된 로그 문맥을 통해 보안 사고 조사 시 원인을 빠르게 규명하고, 사용자 업무 방해를 최소화하면서 정책을 정교하게 튜닝할 수 있습니다. ### Cloudflare One 클라이언트 기반 엔드포인트 DLP 데이터가 브라우저를 벗어나 OS 클립보드로 이동하는 순간 발생하는 보안 공백을 메우기 위해 '엔드포인트 DLP' 기능을 통합했습니다. * **사용 중인 데이터(In Use) 보호:** 민감한 코드가 고객 정보가 SaaS 앱에서 복사되어 권한이 없는 AI 도구나 개인 메일로 붙여넣기 되는 상황을 실시간으로 차단합니다. * **단일 에이전트 전략:** 별도의 보안 솔루션을 추가로 설치할 필요 없이, 기존 Cloudflare One 클라이언트 하나로 네트워크 게이트웨이부터 엔드포인트 데이터 보호까지 수행합니다. * **정책 일관성:** 브라우저 탭을 떠난 콘텐츠에 대해서도 기존의 데이터 보호 정책을 일관되게 적용하여 '엔드포인트에서 프롬프트까지'의 보안 체인을 완성합니다. ### API CASB를 통한 Microsoft 365 Copilot 스캔 AI가 기업 데이터의 새로운 인터페이스로 자리 잡음에 따라, Microsoft 365 Copilot 내에서 발생하는 보안 위험을 탐지하는 기능을 도입했습니다. * **AI 활동 분석:** API 기반의 CASB(Cloud Access Security Broker)를 통해 Copilot 내의 채팅 내용과 업로드된 파일이 기업의 DLP 프로필에 위배되는지 스캔합니다. * **풍부한 컨텍스트 제공:** 단순히 위반 사실만 알리는 것이 아니라, 참조된 파일, 매칭된 DLP 프로필 정보, 상호작용 메타데이터를 함께 제공하여 신속한 대응을 돕습니다. * **확장된 AI 커버리지:** ChatGPT, Claude, Gemini에 이어 M365 Copilot까지 지원 범위를 넓혀 기업 내 생성형 AI 사용에 대한 가시성 사각지대를 제거합니다. 현대 보안 환경에서는 데이터가 제품이나 네트워크의 경계를 넘나들기 때문에, 특정 도구에 종속된 보안이 아닌 데이터 중심의 통합 보안 모델을 구축하는 것이 필수적입니다. Cloudflare One이 제공하는 엔드포인트부터 AI 프롬프트까지의 통합 가시성과 통제력을 활용하여, 보안성과 생산성 사이의 균형을 유지하면서도 데이터 유출 위험을 근본적으로 낮추는 전략을 권장합니다.

How Automatic Return Routing solves IP overlap (새 탭에서 열림)

기업의 사설 네트워크 확장 과정에서 발생하는 중복 IP 주소 문제는 기존의 stateless 라우팅 방식으로는 해결하기 어려운 관리적 난제였습니다. Cloudflare는 이를 해결하기 위해 라우팅 테이블에 의존하는 대신, 상태 저장(stateful) 추적 방식을 통해 트래픽이 유입된 경로를 기억하고 정확히 되돌려보내는 '자동 반환 라우팅(ARR, Automatic Return Routing)' 기능을 도입했습니다. 이 솔루션을 통해 기업은 복잡한 NAT 설정이나 VRF 구성 없이도 중복된 네트워크 대역을 안전하고 효율적으로 공존시킬 수 있습니다. ### 사설 네트워크의 IP 중복과 경로 모호성 문제 * **발생 배경**: 두 회사가 합병하며 동일한 사설 IP 대역(예: 10.0.1.0/24)을 사용하는 경우, 혹은 파트너사가 자체 IP 체계로 연결되는 익스트라넷 환경에서 주소 충돌이 빈번하게 발생합니다. * **라우팅 테이블의 한계**: 표준 라우팅 테이블은 목적지가 동일한 두 개의 경로가 있을 때 이를 구분하지 못하는 '비결정적' 특성을 가집니다. 이로 인해 응답 패킷이 엉뚱한 사이트로 전달되는 문제가 생깁니다. * **운영상의 복잡성**: SaaS 제공자나 대형 브랜드가 지점마다 동일한 IP 아키텍처를 복제하여 사용하는 '쿠키 커터' 방식에서도 이러한 중복 문제는 관리를 어렵게 만드는 핵심 요소입니다. ### 기존 해결 방식의 한계와 관리 오버헤드 * **VRF(가상 라우팅 및 전달)**: 라우팅 테이블을 가상으로 격리하여 충돌을 피할 수 있지만, 규모가 커질수록 관리 비용이 급증하며 VRF 간 통신을 위한 '루트 리킹(Route Leaking)' 설정이 매우 까다롭습니다. * **NAT(네트워크 주소 변환)**: 중복된 서브넷을 고유한 IP 범위로 일일이 매핑하는 방식은 확실한 해결책이지만, 새로운 사이트나 파트너가 추가될 때마다 수동으로 설정을 관리해야 하는 번거로움이 큽니다. ### 자동 반환 라우팅(ARR)의 작동 원리 * **상태 저장(Stateful) 추적**: 매 패킷을 독립적으로 처리하는 기존 라우터와 달리, ARR은 네트워크 흐름(Flow)을 메모리에 저장합니다. * **유입 경로 기억**: 특정 사이트에서 IPsec, GRE 터널 또는 네트워크 상호연결(CNI)을 통해 패킷이 유입되면, Cloudflare는 해당 대화가 시작된 '특정 터널'의 정보를 기록합니다. * **라우팅 테이블 우회**: 응답 패킷을 보낼 때 "이 IP가 어디에 있는가?"를 라우팅 테이블에 묻지 않고, "이 대화가 어디서 시작되었는가?"를 메모리에서 확인하여 원래의 터널로 패킷을 즉시 반환합니다. ### ARR 도입의 기술적 이점 * **제로 터치(Zero-touch) 구성**: 관리자가 라우팅 규칙을 한 줄도 수정하거나 복잡한 NAT 매핑을 할 필요가 없습니다. * **결정론적 라우팅**: 동일한 IP 대역을 가진 여러 지점이 있더라도 상태 정보를 기반으로 하기 때문에 데이터가 항상 올바른 목적지로 전달됩니다. * **유연한 확장성**: 네트워크 아키텍처를 변경하지 않고도 새로운 중복 네트워크를 Cloudflare One 환경에 즉시 통합할 수 있습니다. 현재 ARR은 Cloudflare One 고객을 대상으로 폐쇄형 베타(Closed Beta)로 제공되고 있습니다. 기업 인수합병(M&A)이 잦거나 파트너사와의 네트워크 연결이 복잡하여 IP 충돌 문제를 겪고 있다면, 인프라의 근본적인 재설계 없이도 문제를 해결할 수 있는 ARR 기능 활용을 권장합니다.

Stop reacting to breaches and start preventing them with User Risk Scoring (새 탭에서 열림)

클라우드플레어는 기존의 정적인 보안 모델을 넘어, 사용자의 행동을 실시간으로 분석하여 접근 권한을 동적으로 제어하는 '사용자 위험 점수(User Risk Scoring)' 기능을 도입했습니다. 이는 단순히 로그인 자격 증명이나 기기의 상태를 확인하는 것에서 나아가, 데이터 유출 시도나 비정상적인 로그인 패턴 같은 실시간 행동 데이터를 바탕으로 보안 결정을 내릴 수 있게 합니다. 이를 통해 보안 팀은 침해 사고에 사후 대응하는 대신, 위험 수준에 따라 자동으로 접근을 차단하거나 인증을 강화함으로써 선제적인 제로 트러스트 보안을 실현할 수 있습니다. **사용자 행동 기반의 지능형 위험 산출** - 클라우드플레어 원(Cloudflare One) 플랫폼은 내부 시스템과 외부 파트너사의 데이터를 결합하여 조직 내 모든 사용자의 위험 점수를 실시간으로 계산합니다. - **내부 시그널 활용:** Cloudflare Access의 로그인 로그(지리적 위치, 로그인 실패 등)와 Cloudflare Gateway의 트래픽 데이터(멀웨어 감지, DLP 규칙 위반, 비정상적 브라우징 등)를 지속적으로 모니터링합니다. - **서드파티 통합:** CrowdStrike 및 SentinelOne과의 서비스 간 통합을 통해 외부 기기 보안 상태 및 위협 텔레메트리를 사용자 프로필에 직접 반영합니다. - **결정론적 산출 로직:** 관리자가 정의한 특정 위험 행동(예: 불가능한 이동 거리 발생 시 '높음') 중 발생한 가장 높은 위험 수준을 사용자의 현재 점수로 할당하며, 사고 조사 후 수동으로 점수를 재설정할 수도 있습니다. **자동화된 적응형 접근 제어(Adaptive Access)** - 기존에는 의심스러운 사용자를 발견하면 관리자가 수동으로 세션을 만료시켜야 했으나, 이제는 ZTNA 정책에 '사용자 위험 점수' 항목을 조건으로 추가하여 자동화된 대응이 가능합니다. - **동적 정책 적용:** 예를 들어 위험 점수가 '높음'인 사용자는 즉시 재무 시스템 접근을 차단하고, '중간'인 사용자는 물리적 보안 키를 이용한 추가 인증을 거치도록 설정할 수 있습니다. - **실시간 세션 관리:** 사용자의 위험 점수가 상승하면 활성 세션 도중이라도 즉시 접근 권한을 취소할 수 있으며, 점수가 정상화되면 정책에 따라 접근 권한이 자동으로 복구됩니다. **보안 생태계와의 실시간 동기화** - Shared Signals Framework를 통해 Okta와 같은 ID 공급자(IdP)와 위험 신호를 공유함으로써, 네트워크 단의 위협 정보를 SSO(Single Sign-On) 인증 단계까지 확장하여 적용합니다. - 향후에는 활성 세션 중간에 위험 점수가 변할 경우 MFA(다중 인증)를 즉시 요구하는 '스텝업(Step-up) 인증' 기능을 추가하여 보안 강도를 더욱 높일 예정입니다. **실용적인 결론 및 추천** 클라우드플레어 사용자는 현재 대시보드에서 위험 시그널 설정을 즉시 시작할 수 있으며, 최대 50인까지는 무료로 제공되므로 소규모 환경에서 먼저 적응형 보안을 테스트해 보기에 적합합니다. 대규모 조직의 경우 CrowdStrike나 SentinelOne 같은 기존 보안 도구와 연동하여 네트워크 전반에 걸친 통합적인 제로 트러스트 아키텍처를 구축할 것을 권장합니다.

The truly programmable SASE platform (새 탭에서 열림)

Cloudflare는 단순한 설정 변경을 넘어 실시간 로직 주입이 가능한 진정한 의미의 프로그래밍 가능한 SASE(Secure Access Service Edge) 플랫폼을 지향합니다. Cloudflare One과 개발자 플랫폼(Workers)이 동일한 네트워크 인프라 위에서 기본적으로 통합되어 있어, 사용자는 대기 시간 없이 보안 이벤트를 가로채고 외부 컨텍스트를 결합하여 맞춤형 보안 결정을 내릴 수 있습니다. 이는 정적인 보안 정책의 한계를 극복하고 각 기업의 고유한 요구사항에 맞춘 유연한 보안 아키텍처 구축을 가능하게 합니다. **진정한 프로그래밍 가능성의 의미** - 업계에서 흔히 말하는 API 제공이나 Terraform 지원 같은 '기초적인 프로그래밍 가능성'을 넘어, 실시간으로 보안 이벤트를 가로채고 외부 데이터를 보충하여 즉각적인 조치를 취하는 능력을 의미합니다. - 예를 들어, 특정 앱 접속 시 사용자의 규정 준수 교육 이수 여부를 외부 시스템(LMS)에서 즉시 확인하여, 미이수자에게는 접속 차단 대신 교육 포털로 리다이렉트하는 동적인 정책 결정이 가능합니다. **SASE와 개발자 플랫폼의 결합** - Cloudflare One(SASE)과 Workers(개발자 플랫폼)는 동일한 전 세계 330개 이상의 도시 인프라 및 동일한 서버 자원 위에서 실행됩니다. - 별도의 외부 클라우드에서 자동화를 실행할 필요가 없어 불필요한 네트워크 왕복 지연(Latency)이 발생하지 않으며, 보안 정책 내에서 밀리초 단위로 커스텀 로직을 수행할 수 있습니다. - 웹 보호, 사용자 보안, 프라이빗 네트워크 보안 모두가 동일한 개발 도구와 기본 요소를 공유하므로 아키텍처의 일관성을 보장합니다. **확장된 보안 액션과 워크플로우** - 기존 보안 게이트웨이의 제한적인 옵션(허용, 차단, 격리 등)에서 벗어나, 사용자 정의 로직을 실행할 수 있는 '커스텀 액션' 기능을 제공합니다. - 사용자 ID 클레임에 기반한 동적 헤더 삽입, 외부 리스크 엔진의 실시간 판독 결과 반영, 근무 시간 및 위치에 따른 정교한 접근 제어 등을 구현할 수 있습니다. - '관리형 액션(템플릿)'을 통해 ITSM 통합이나 규정 준수 자동화를 쉽게 설정하거나, '커스텀 액션'을 통해 Cloudflare Worker를 직접 호출하여 정교한 코드를 실행할 수 있습니다. **실제 활용 사례: 자동화된 세션 관리** - 특정 고객은 정해진 시간 동안 활동이 없는 기기의 세션을 강제로 종료해야 하는 보안 요건을 Cloudflare Workers를 통해 해결하고 있습니다. - 'Scheduled Worker'가 주기적으로 실행되어 기기 API(Devices API)를 쿼리하고, 비활성 임계값을 초과한 기기의 등록을 자동으로 취소하여 사용자가 ID 공급자를 통해 다시 인증하도록 강제합니다. - 이는 표준 기능으로 제공되지 않는 복잡한 보안 요구사항도 프로그래밍을 통해 즉시 해결할 수 있음을 보여줍니다. 보안 요구사항이 복잡해질수록 단순한 설정 중심의 솔루션은 한계에 부딪힙니다. Cloudflare One의 프로그래밍 가능성을 활용하여 기업 고유의 비즈니스 로직을 보안 스택에 직접 통합하면, 성능 저하 없이도 가장 강력하고 유연한 제로 트러스트 환경을 구축할 수 있습니다.

Modernizing with agile SASE: a Cloudflare One blog takeover (새 탭에서 열림)

현대 기업 네트워크 환경이 재택근무의 일상화와 AI 에이전트의 등장으로 경계가 없는 시대로 진입함에 따라, 기존의 파편화된 보안 솔루션과 레거시 VPN은 더 이상 유효하지 않은 기술 부채가 되었습니다. 클라우드플레어는 이러한 복잡성을 해결하고 비즈니스 성장을 가속화하기 위해 가볍고 유연한 '애자일 SASE(Agile SASE)' 플랫폼인 Cloudflare One을 제시합니다. 이는 네트워킹과 보안을 단일 글로벌 연결 클라우드로 통합하여 성능 저하 없이 실시간 대응력을 극대화하는 현대적 보안 아키텍처를 지향합니다. ## 기존 SASE의 한계와 애자일 SASE의 정의 * 과거의 보안 방식은 하드웨어 박스와 VPN 농축기에 의존하여 수천 개의 방화벽 규칙과 수동 패치 등 관리하기 어려운 기술 부채를 야기해 왔습니다. * 1세대 SASE 제공업체들은 단순히 기존의 파편화된 구조를 클라우드로 옮겨놓은 것에 불과하여, 데이터 센터 간의 운영 사일로(Silo) 문제를 해결하지 못했습니다. * 애자일 SASE는 전 세계 300개 이상의 도시에 구축된 글로벌 네트워크를 기반으로, 모든 보안 검사를 모든 서버에서 동시에 실행하는 구조를 가집니다. * 데이터가 여러 도구를 순차적으로 거치는 '서비스 체이닝(Service-chaining)' 방식에서 벗어나 '싱글 패스(Single-pass)' 아키텍처를 채택함으로써 보안 프로세스가 비즈니스의 병목이 아닌 추진력이 되도록 설계되었습니다. ## 프로그래밍 가능한 보안 및 통합 가시성 * Cloudflare One은 단순한 보안 솔루션을 넘어 개발자 플랫폼인 Cloudflare Workers와 결합되어 기업이 보안 이벤트를 실시간으로 가로채고 코드로 제어할 수 있는 구성 가능성(Composability)을 제공합니다. * 단순한 '허용/차단' 규칙을 넘어 정교한 자동화 운영이 가능하며, 이는 블랙박스 형태의 기존 레거시 벤더들과 차별화되는 지점입니다. * AI 기술을 역으로 활용해 대량의 보안 데이터에서 유의미한 신호를 추출하고, 사람이 읽을 수 있는 실시간 조치로 전환하는 'AI를 대항하는 AI' 전략을 사용합니다. * 신원 확인 체계 역시 단순 패스워드를 넘어 인간과 장치에 대한 포괄적인 검증 시스템으로 진화시키고 있습니다. ## SASE 전환을 위한 단계별 실행 전략 * **원격 접속 현대화:** 유지보수 비용이 높은 VPN을 대체하여 더 빠르고 안전한 클라이언트리스(Clientless) 제로 트러스트 접속 환경을 구축합니다. * **이메일 및 DNS 보호:** AI 기반 플랫폼으로 비즈니스 이메일 침해(BEC)를 차단하고, 세계에서 가장 빠른 1.1.1.1 리졸버를 활용해 악성 사이트 접속을 원천 차단합니다. * **안전한 AI 도입:** 기업 내에서 몰래 사용되는 섀도우 AI(Shadow AI)를 파악하고, 생성형 AI 프롬프트로 유입되는 민감 데이터를 관리하는 거버넌스를 수립합니다. * **지점 네트워크 단순화:** 무거운 하드웨어 장비 없이도 모든 사무실을 원격지처럼 취급하여 지점 네트워크 구성을 간소화합니다. 향후 10년의 인터넷 환경은 AI와 양자 수준의 리스크가 공존할 것이며, 느린 마이그레이션 일정은 비즈니스의 장애물이 될 것입니다. 클라우드플레어는 최대 50인까지 무료로 제공되는 Cloudflare One을 통해 기업들이 리스크 없이 제로 트러스트 현대화를 시작하고, 비즈니스 규모에 맞춘 유연한 보안 체계를 구축할 것을 권장합니다.

Cloudflare One is the first SASE offering modern post-quantum encryption across the full platform (새 탭에서 열림)

Cloudflare One은 보안 웹 게이트웨이(SWG), Zero Trust, WAN 솔루션을 포함한 전체 SASE 플랫폼에 현대적인 양자 내성 암호(PQC)를 도입하며 업계 최초의 완결된 보안 체계를 구축했습니다. 표준 기반의 하이브리드 ML-KEM 방식을 채택하여 기존 인프라의 성능 저하 없이 미래의 양자 컴퓨터 위협으로부터 기업 데이터를 선제적으로 보호합니다. 이는 단순한 기술 시연을 넘어 2030년 NIST 암호 표준 전환 마감 시한에 대비한 구체적인 실행 방안을 제시합니다. **양자 내성 암호 도입의 시급성** - **NIST 표준 준수:** 미국 국립표준기술연구소(NIST)는 2030년까지 기존 RSA 및 타원곡선 암호(ECC)를 폐기할 것을 권고하고 있어, 조직의 컴플라이언스 유지를 위한 마이그레이션이 필수적입니다. - **"선수집 후복호화" 차단:** 공격자가 현재 암호화된 데이터를 미리 수집한 뒤, 미래에 고성능 양자 컴퓨터가 개발되면 이를 복호화하려는 시도(Harvest Now, Decrypt Later)에 대응해야 합니다. - **암호화 민첩성(Crypto Agility):** 암호 알고리즘 교체는 수십 년이 걸릴 수 있는 어려운 작업이므로, 플랫폼 레벨에서 알고리즘을 손쉽게 교체할 수 있는 구조를 미리 갖추는 것이 중요합니다. **하이브리드 ML-KEM 기반의 암호화 체계** - **키 교환 방식의 혁신:** 표준 기반의 격자 구조 암호인 ML-KEM을 기존 타원곡선 디피-헬먼(ECDHE)과 혼합한 '하이브리드 ML-KEM' 방식을 사용하여 보안성을 극대화했습니다. - **하드웨어 제약 해소:** 양자 키 분배(QKD)와 달리 특수한 물리적 장치 없이 소프트웨어 업데이트만으로 구현 가능하며, 일반적인 TLS 통신 환경에서도 성능 저하가 거의 없습니다. - **단계적 마이그레이션 전략:** 현재는 양자 컴퓨터의 '수동적 공격'을 막기 위한 키 교환(Key Establishment) 단계의 업그레이드에 집중하고 있으며, 향후 디지털 서명 분야로 확대할 계획입니다. **IPsec 및 WAN 보안 강화** - **표준 기반 IPsec 구현:** 상호운용성이 낮은 기존 방식 대신 RFC 9370(다중 키 교환) 표준을 지원하여 IPsec 터널 구간에서의 양자 내성 보안을 실현했습니다. - **Cloudflare One 어플라이언스 업데이트:** 물리적·가상 WAN 어플라이언스 버전 2026.2.0부터 하이브리드 ML-KEM을 정식 지원하여 사이트 간(Site-to-site) 연결을 보호합니다. - **클라우드 네이티브 WAN 서비스:** Cloudflare IPsec 베타를 통해 고객 네트워크에서 Cloudflare 글로벌 네트워크로 이어지는 모든 경로에 양자 내성 암호를 적용할 수 있습니다. **실용적인 결론 및 추천** 데이터의 유효 기간이 수년 이상 지속되어 장기적인 기밀 유지가 필요한 기업은 Cloudflare One Appliance를 최신 버전으로 업데이트할 것을 권장합니다. 특히 규제 준수가 중요한 금융, 의료, 공공 부문은 현재 제공되는 IPsec PQC 베타 프로그램에 참여하여 인프라의 암호화 민첩성을 미리 점검하고 양자 컴퓨팅 시대의 위협에 선제적으로 대응해야 합니다.