Cloudflare / network-security

500 Tbps of capacity: 16 years of scaling our global network (새 탭에서 열림)

Cloudflare는 지난 16년간의 성장을 통해 전 세계 330개 이상의 도시에서 총 500Tbps의 외부 연결 용량을 확보하며 글로벌 네트워크의 중추적인 역할을 수행하고 있습니다. 이 거대한 용량은 단순히 트래픽을 처리하는 것을 넘어 대규모 DDoS 공격을 감내할 수 있는 '보안 예산'의 역할을 하며, 네트워크 전체에 분산된 지능형 소프트웨어를 통해 인간의 개입 없이도 초당 수십 테라비트급의 공격을 자동으로 방어합니다. 결과적으로 Cloudflare는 단순한 콘텐츠 전달 네트워크를 넘어 에지 컴퓨팅과 차세대 라우팅 프로토콜을 주도하는 지능형 인프라로 진화했습니다. ### 500 Tbps 용량의 의미와 네트워크 확장 * 500 Tbps는 피크 트래픽 수치가 아니라, transit 제공업체, 피어링 파트너, 인터넷 교환지(IX) 등과 연결된 모든 외부 포트 용량의 합계를 의미합니다. * 2010년 단일 서비스 제공업체로 시작한 이후, 현재는 전 세계 웹 트래픽의 20% 이상을 보호하는 330개 도시 규모의 거대 네트워크로 성장했습니다. * 일상적인 트래픽은 이 용량의 일부만 사용하며, 나머지 유휴 용량은 대규모 DDoS 공격을 흡수하고 차단하기 위한 일종의 '보안 버퍼'로 활용됩니다. ### 분산형 자동 방어 체계: 31.4 Tbps 공격의 차단 과정 * 2025년 발생한 31.4 Tbps 규모의 Aisuru-Kimwolf 봇넷 공격을 엔지니어의 개입 없이 단 35초 만에 자동으로 완화했습니다. * 모든 서버는 xdpd(eXpress Data Path)와 eBPF 기반의 l4drop 프로그램을 실행하여, 공격 트래픽이 CPU 자원을 소모하기 전에 네트워크 카드(NIC) 수준에서 즉시 폐기합니다. * dosd(DoS 데몬)가 각 서버의 샘플링 데이터를 바탕으로 공격 패턴을 분석하면, 이 규칙이 Quicksilver(분산 KV 저장소)를 통해 전 세계 모든 데이터 센터에 수초 내로 전파되어 동시 대응이 이루어집니다. * 중앙 집중식 스크러빙 센터로 트래픽을 돌리지 않고, 공격이 유입된 현장에서 즉시 처리함으로써 지연 시간을 최소화하고 가용성을 보장합니다. ### 차세대 라우팅 보안: RPKI와 ASPA * BGP 하이재킹과 경로 왜곡을 방지하기 위해 RPKI(리소스 공공키 기반구조)를 전면 도입하여 잘못된 경로로 유입되는 트래픽을 원천 차단합니다. * RPKI가 경로의 '소유권'을 확인한다면, 새롭게 도입 중인 ASPA(자율 시스템 제공자 인증)는 트래픽이 거쳐온 '경로의 정당성'까지 검증하여 경로 누출(Route Leak) 사고를 예방합니다. * Cloudflare는 이러한 프로토콜의 초기 채택자로서, 인터넷 전체의 보안 표준을 높이고 더 안전한 글로벌 라우팅 환경을 구축하는 데 기여하고 있습니다. ### AI 에이전트 부상에 따른 트래픽 변화 대응 * 현재 전체 HTML 요청의 4% 이상이 AI 크롤러와 학습 파이프라인에서 발생하고 있으며, 이는 기존 검색 엔진 크롤러에 필적하는 수준입니다. * AI 크롤러는 일반 사용자 브라우저와 달리 쉼 없이 최대 대역폭으로 리소스를 긁어가는 특성이 있어, 이를 일반적인 공격 트래픽과 구분하는 것이 새로운 기술적 과제로 부상했습니다. * TLS 핑거프린팅, 행동 분석, 로봇 배제 표준(robots.txt) 준수 신호 등을 결합하여 정당한 AI 트래픽은 허용하고 악의적인 수집은 차단하는 정교한 탐지 시스템을 운영합니다. Cloudflare의 사례는 현대 인프라가 단순히 하드웨어의 확장을 넘어, 소프트웨어 기반의 지능형 자동화와 강력한 에지 컴퓨팅 역량을 갖추어야 함을 시사합니다. 기업들은 전 세계 어디서나 일관된 성능과 보안을 제공받기 위해, 대규모 분산 네트워크 인프라와 결합된 클라우드 네이티브 보안 모델을 적극적으로 고려해야 합니다.

From bytecode to bytes- automated magic packet generation (새 탭에서 열림)

리눅스 악성코드는 커널 내에서 네트워크 트래픽을 처리하는 BPF(Berkeley Packet Filter) 프로그램을 이용해 특정 '매직 패킷'을 받을 때까지 잠복하는 방식을 자주 사용합니다. 수백 줄에 달하는 복잡한 BPF 바이트코드를 수동으로 역공학하여 매직 패킷의 구조를 파악하는 것은 분석가에게 매우 고무적인 작업이나 시간 소모가 큽니다. 이 글은 Z3 정리 증명기(Theorem Prover)를 활용한 심볼릭 실행(Symbolic Execution) 기법을 통해, 복잡한 필터 조건을 논리적 제약식으로 변환하고 이를 통과하는 패킷을 단 몇 초 만에 자동으로 생성하는 자동화 도구의 원리와 성과를 설명합니다. ### Classic BPF와 악성코드의 은닉 기법 * **Classic BPF의 특성:** 현대적인 eBPF와 달리 2개의 레지스터만을 사용하는 단순한 가상 머신 구조로, tcpdump와 같은 도구에서 네트워크 트래픽을 고속 필터링하기 위해 설계되었습니다. * **백도어 활용:** 커널 깊숙한 곳에서 동작하며 사용자 공간의 보안 도구로부터 트래픽을 숨길 수 있다는 점 때문에, BPFDoor와 같은 지능형 지속 위협(APT) 공격자들이 선호합니다. * **분석의 한계:** 악성 BPF 프로그램은 100줄 이상의 복잡한 명령어로 구성되기도 하며, LLM을 활용한 코드 해석만으로는 실제 필터를 통과하는 정확한 네트워크 패킷 바이트를 재현하기 어렵습니다. ### BPFDoor 사례를 통한 필터 논리 분석 * **동작 원리:** BPFDoor는 특정 포트를 열지 않고 유입되는 모든 트래픽을 감시하다가, 미리 정의된 특정 조건(오프셋, 프로토콜, 포트 등)을 만족하는 패킷이 들어오면 활성화됩니다. * **명령어 구조:** 실제 샘플 분석 결과, 이더넷 타입(IPv4/IPv6), 프로토콜(UDP), 목적지 포트(DNS/53) 등을 순차적으로 검사하여 'ACCEPT' 또는 'DROP' 여부를 결정하는 논리적 경로를 가집니다. * **경로 탐색:** 필터 내에는 패킷을 허용(ACCEPT)하는 여러 경로가 존재하며, 각 경로는 특정 바이트 위치의 값이 무엇이어야 하는지에 대한 구체적인 제약 조건을 포함하고 있습니다. ### 심볼릭 실행 및 Z3를 이용한 패킷 자동 생성 * **제약 조건 해결:** BPF의 결정론적(Deterministic) 특성을 활용해, 패킷 데이터를 미지수(Symbolic)로 두고 Z3 정리 증명기를 통해 필터 조건을 만족하는 값을 역산합니다. * **최단 경로 탐색 알고리즘:** 큐(Queue) 기반의 탐색 방식을 사용하여 'ACCEPT' 결과에 도달하는 가장 효율적인 명령어 실행 경로를 추적합니다. * **자동화의 이점:** 분석가가 수동으로 어셈블리 코드를 보며 패킷 바이트를 계산할 필요 없이, 알고리즘이 자동으로 유효한 명령어 경로를 따라가며 매직 패킷의 전체 바이트 배열을 생성해 줍니다. 이러한 자동화 방식은 수 시간이 걸리던 수동 분석 작업을 단 몇 초 만에 완료할 수 있게 해줍니다. 보안 분석가들은 이 기술을 활용해 BPF 기반 백도어를 신속하게 무력화하고, 침해 사고 대응 과정에서 공격자가 사용하는 통제 신호를 즉각적으로 식별할 수 있습니다.

Our ongoing commitment to privacy for the 1.1.1.1 public DNS resolver (새 탭에서 열림)

Cloudflare는 1.1.1.1 공용 DNS 리졸버 출시 8주년을 맞아 독립적인 외부 기관을 통해 실시한 개인정보 보호 실사 결과를 발표했습니다. 이번 검토를 통해 사용자 데이터를 제3자에게 판매하지 않고 소스 IP 주소를 25시간 내에 삭제한다는 핵심 원칙이 여전히 철저히 준수되고 있음을 재확인했습니다. 기술적 환경 변화 속에서도 투명성을 유지함으로써 사용자 신뢰를 강화하고 업계의 개인정보 보호 표준을 선도하겠다는 의지를 보여줍니다. **독립적 검토를 통한 신뢰성 확보** - 2020년 첫 실사 이후 기술 스택의 규모와 복잡성이 증가함에 따라, Big 4 회계법인을 통해 시스템 전반에 대한 두 번째 독립 검토를 완료했습니다. - 단순한 선언을 넘어 외부 전문가의 객관적인 검증을 통해 1.1.1.1의 개인정보 보호 제어 장치가 실제 운영 환경에서 약속대로 작동하고 있음을 입증했습니다. - DNS 쿼리 데이터를 다른 Cloudflare 데이터나 제3자 데이터와 결합하여 개별 사용자를 식별하지 않는다는 약속을 기술적으로 뒷받침하고 있습니다. **핵심 개인정보 보호 원칙의 재확인** - **데이터 판매 및 공유 금지**: 사용자의 개인정보를 제3자에게 판매하거나 공유하지 않으며, 광고 타겟팅 목적으로 데이터를 활용하지 않습니다. - **최소 정보 원칙**: 요청 내용(What)만 처리하며, 요청자가 누구인지(Who) 식별할 수 있는 정보는 보관하거나 사용하지 않습니다. - **신속한 데이터 삭제**: 사용자의 소스 IP 주소는 익명화 처리를 거친 후 25시간 이내에 시스템에서 영구적으로 삭제됩니다. **운영의 투명성과 기술적 예외 사항** - **네트워크 문제 해결**: 전체 트래픽의 최대 0.05%에 해당하는 무작위 샘플링 패킷은 네트워크 트러블슈팅 및 공격 방어 목적으로만 제한적으로 사용됩니다. - **익명화 데이터 활용**: Cloudflare Radar와 같은 연구 및 분석 서비스를 위해 익명화된 로그 데이터를 활용하지만, 이는 개인 식별이 불가능한 구조 내에서 이루어집니다. - **범위의 집중**: 이번 조사는 개인정보 보호 약속에 초점을 맞추어 진행되었으며, 기술적 변화 속에서도 개인의 프라이버시에 영향이 없음을 확인했습니다. 인터넷 사용자의 활동이 추적되지 않아야 한다는 철학 아래, Cloudflare는 기술적·제도적 장치를 통해 1.1.1.1 리졸버의 안전성을 지속적으로 증명하고 있습니다. 개인정보 보호와 속도를 동시에 확보하고자 하는 사용자라면, 독립적인 검증을 마친 1.1.1.1 DNS를 기본 리졸버로 설정하여 사용하는 것을 추천합니다.

Introducing Programmable Flow Protection: custom DDoS mitigation logic for Magic Transit customers (새 탭에서 열림)

클라우드플레어는 매직 트랜짓(Magic Transit) 고객이 자신의 네트워크 환경에 맞춘 DDoS 방어 로직을 직접 설계하고 배포할 수 있는 '프로그래밍 가능한 플로우 보호(Programmable Flow Protection)' 기능을 출시했습니다. 이 기능은 표준화되지 않은 독자적인 UDP 프로토콜을 사용하는 기업들이 eBPF 프로그램을 통해 트래픽의 정당성을 직접 판단하게 함으로써, 기존의 일률적인 차단 방식이 가졌던 오탐 문제를 해결합니다. 고객은 클라우드플레어의 글로벌 네트워크 인프라 위에서 직접 작성한 코드를 실행해 대규모 공격을 정교하고 유연하게 방어할 수 있습니다. ### 커스텀 UDP 프로토콜 방어의 한계 극복 * 기존 DDoS 방어 시스템은 TCP, DNS, NTP 등 잘 알려진 프로토콜의 특성을 활용해 공격을 식별하지만, 기업 고유의 커스텀 UDP 프로토콜은 내부 구조를 알 수 없어 정교한 대응이 어려웠습니다. * 알려지지 않은 UDP 트래픽에 공격이 발생할 경우, 기존에는 특정 IP나 포트 전체를 차단하거나 속도 제한(Rate Limit)을 거는 투박한 방식을 사용해야 했습니다. * 이러한 방식은 공격 트래픽뿐만 아니라 정상적인 사용자의 패킷까지 차단하여 서비스 지연이나 연결 끊김을 유발하는 부작용이 있었습니다. ### eBPF 기반의 맞춤형 방어 메커니즘 * 고객은 eBPF(Extended Berkeley Packet Filter) 프로그램을 작성하여 어떤 패킷이 '정상'이고 '비정상'인지 직접 정의할 수 있습니다. * 작성된 프로그램은 클라우드플레어의 전 세계 엣지 네트워크에 배포되어 모든 유입 패킷에 대해 즉각적인 판단(통과, 차단, 챌린지 등)을 수행합니다. * 커널 공간이 아닌 사용자 공간(Userspace)에서 프로그램을 실행함으로써 보안성을 확보하면서도, 클라우드플레어의 기존 DDoS 방어 계층 이후에 실행되어 다층적인 보호를 제공합니다. ### 상태 저장 및 고급 기능 지원 * 단순한 패킷 필터링을 넘어, 클라이언트의 상태를 저장하고 관리할 수 있는 '상태 저장(Stateful)' 기능을 지원합니다. * 클라우드플레어는 프로그램 실행 간 상태 유지, 암호화 검증, 챌린지 패킷 발송 등을 돕는 전용 API 및 헬퍼 함수(Helper Functions)를 제공합니다. * 이를 통해 게임 엔진의 고유 헤더 검증이나 토큰 기반의 인증 등 복잡한 애플리케이션 계층의 방어 로직을 네트워크 하단에서 구현할 수 있습니다. ### 실무 적용 예시: 독자적인 게임 프로토콜 보호 * 독자적인 헤더 구조를 가진 UDP 포트 기반 온라인 게임 서버의 경우, 공격자가 무작위 페이로드를 보내면 일반적인 장비로는 구분할 수 없습니다. * '프로그래밍 가능한 플로우 보호'를 활용하면 패킷 헤더 내의 특정 바이트나 고유 토큰을 검사하는 코드를 배포하여, 유효하지 않은 모든 트래픽을 클라우드플레어 엣지에서 즉시 제거합니다. * 결과적으로 원본 서버(Origin)에 도달하기 전에 공격이 차단되어 서버 자원을 보호하고 실제 이용자에게는 쾌적한 환경을 제공하게 됩니다. 현재 이 기능은 매직 트랜짓 엔터프라이즈 고객을 대상으로 베타 서비스 중입니다. 표준 프로토콜을 벗어난 고유의 통신 방식을 보유하고 있으며, 기존의 단순 차단 방식만으로는 서비스 품질 유지가 어려운 기업에게 이 기능을 통한 정밀한 트래픽 제어를 권장합니다.

Investigating multi-vector attacks in Log Explorer (새 탭에서 열림)

Cloudflare Log Explorer는 애플리케이션 서비스와 Cloudflare One(Zero Trust) 포트폴리오를 아우르는 14개 이상의 데이터셋을 통합하여 다중 벡터(multi-vector) 공격에 대한 360도 가시성을 제공합니다. 보안 분석가는 애플리케이션 계층의 HTTP 요청, 네트워크 계층의 DDoS 및 방화벽 로그, 제로 트러스트 인증 이벤트를 상호 연관시켜 분석함으로써 평균 탐지 시간(MTTD)을 획기적으로 단축할 수 있습니다. 결과적으로 이 플랫폼은 정교하게 설계된 다층적 공격의 실체를 신속하게 파악하고 대응할 수 있는 강력한 포렌식 환경을 구축합니다. ### 클라우드 스택 전체를 위한 '비행 기록 장치' * Log Explorer는 애플리케이션의 모든 상호작용, 공격 시도, 성능 병목 현상을 캡처하는 '비행 기록 장치(Flight Recorder)' 역할을 수행하며, 중앙 집중화된 인터페이스를 통해 신속한 조사를 지원합니다. * Cloudflare는 사용자와 서버 사이의 에지(Edge)에서 작동하므로, 요청이 실제 기업 인프라에 도달하기 전에 모든 이벤트를 로깅하여 보안 사각지대를 제거합니다. ### 영역(Zone) 기반의 외부 트래픽 보안 로그 * **HTTP Requests & Firewall Events:** 애플리케이션 계층 트래픽의 기본 기록으로서 세션 활동을 재구성하고, WAF 규칙이나 IP 평판에 의해 차단된 위협의 구체적 증거를 제공합니다. * **DNS & Spectrum Logs:** DNS 캐시 포이즈닝 시도나 도메인 하이재킹을 식별하며, SSH/RDP와 같은 비웹(L4) 프로토콜에 대한 무차별 대입 공격을 모니터링합니다. * **Page Shield & Zaraz Events:** 사이트 내 자바스크립트의 무단 변경을 감시하고 제3자 스크립트의 데이터 상호작용을 감사하여 클라이언트 측 보안과 개인정보 보호를 강화합니다. ### 계정(Account) 기반의 내부 및 제로 트러스트 로그 * **Access & Gateway Logs:** 사용자의 신원 기반 인증 이벤트를 추적하고, 네트워크 전체(DNS/HTTP/L3)의 트래픽을 모니터링하여 섀도우 IT나 악성 페이로드 다운로드를 탐지합니다. * **Magic IDS & IPSec:** 네트워크 계층(L3/L4)에서 침입 탐지 시그니처를 대조하여 알려진 익스플로잇 패턴이나 터널 상태, BGP 라우팅 변경 등을 감시합니다. * **Device Posture & DEX:** 연결된 기기의 보안 준수 상태를 확인하고, 사용자 관점의 성능 지표를 통해 보안 사고와 단순 성능 저하를 구분합니다. * **CASB & Email Security:** SaaS 애플리케이션(Google Drive, MS 365 등)의 설정 오류와 데이터 노출 위험을 진단하고, 게이트웨이 단계에서 피싱 및 이메일 기반 공격 유입을 추적합니다. ### 단계별 공격 탐지 및 포렌식 활용 * **정찰 단계(Reconnaissance) 탐지:** `http_requests` 로그에서 특정 IP가 401, 403, 404 상태 코드를 과도하게 생성하거나 `/.env`, `/wp-admin` 같은 민감한 경로에 접근하는 패턴을 쿼리하여 스캐닝 도구를 식별합니다. * **네트워크 계층 분석:** `magic_ids_detections` 로그를 사용하여 단일 소스 IP가 짧은 시간 내에 여러 포트에서 시그니처 기반 탐지를 유발하는지 분석함으로써 Nmap 스캔이나 SYN 스텔스 스캔을 파악합니다. * **내부 이동 추적:** 자격 증명이 탈취된 경우, `Access` 및 `Audit` 로그를 통해 공격자가 내부 네트워크에서 이동한 경로와 변경한 구성 설정을 추적하여 피해 범위를 확정합니다. 보안 팀은 Log Explorer를 활용해 외부에서 유입되는 정찰 활동부터 내부망에서의 수평 이동(Lateral Movement)에 이르기까지 공격의 전 과정을 단일 플랫폼에서 시각화할 수 있습니다. 특히 다양한 로그 소스를 상호 참조함으로써 개별적으로는 무해해 보이는 활동들이 결합되어 발생하는 정교한 보안 위협을 효과적으로 차단할 것을 권장합니다.

Mind the gap: new tools for continuous enforcement from boot to login (새 탭에서 열림)

Cloudflare는 원격 접속 보안의 사각지대를 제거하기 위해 '필수 인증(Mandatory Authentication)'과 '자체 다중 인증(MFA)'이라는 두 가지 새로운 도구를 출시했습니다. 이 기능들은 기기 부팅 시점부터 로그인까지 발생하는 보안 공백을 메워주며, 기존 신뢰 엔진의 한계를 보완하여 지속적인 보안 가동 상태를 유지합니다. 이를 통해 기업은 사용자 편의성을 저해하지 않으면서도 보안 사고 발생 시 피해 범위를 최소화하는 제로 트러스트 환경을 구축할 수 있습니다. ### 설치와 인증 사이의 보안 공백 해소 Cloudflare One Client가 MDM을 통해 설치되었더라도 사용자가 아직 인증하지 않았거나 세션이 만료된 경우, 기기는 가시성 밖의 '어두운 모퉁이'에 놓이게 됩니다. '필수 인증' 기능은 이러한 위험을 다음과 같이 해결합니다. * **기본 인터넷 차단:** 사용자가 활발하게 인증되지 않은 상태에서는 시스템 방화벽을 사용하여 기본적으로 모든 인터넷 트래픽을 차단합니다. * **인증 전용 예외 허용:** 기기 클라이언트의 인증 흐름에 필요한 특정 프로세스 트래픽만을 예외적으로 허용하여 인증을 유도합니다. * **사용자 가이드 제공:** 사용자가 인증 버튼을 직접 찾아 헤매지 않도록 인증 프로세스를 안내하는 프롬프트를 노출합니다. * **플랫폼 지원:** 해당 기능은 Windows용 Cloudflare One 클라이언트에서 우선 지원되며, 향후 다른 플랫폼으로 확대될 예정입니다. ### IdP 의존성을 탈피한 독자적 다중 인증 Okta나 Entra ID 같은 단일 인증(SSO) 서비스는 공격자의 주요 타겟이며, 세션 하이재킹 등에 취약할 수 있습니다. Cloudflare의 독립적 MFA는 네트워크 에지에서 작동하는 '단계별(Step-up) MFA' 역할을 수행합니다. * **이중 신뢰 구조:** 기본 IdP 자격 증명이 침해되더라도 Cloudflare가 관리하는 별도의 인증 계층을 통과해야 하므로 중요 자산에 대한 접근을 효과적으로 방어합니다. * **다양한 인증 수단:** 생체 인식(Windows Hello, Apple Touch ID/Face ID), 보안 키(WebAuthn, FIDO2), 인증 앱을 통한 TOTP 등 현대적인 인증 방식을 모두 지원합니다. * **세밀한 정책 제어:** 채팅 앱은 낮은 수준의 MFA를 허용하고 소스 코드 저장소는 물리 보안 키를 요구하는 등 애플리케이션별로 차등화된 정책을 적용할 수 있습니다. * **레거시 및 외부 협력자 관리:** MFA를 지원하지 않는 오래된 앱에 인증 계층을 추가하거나, 개인 이메일을 사용하는 외부 계약자에게도 강력한 인증을 강제할 수 있습니다. ### 실용적인 권장 사항 기업 보안 책임자는 '필수 인증'을 통해 관리형 기기가 항상 정책의 통제하에 있도록 설정하고, 민감한 내부 데이터베이스나 인프라 접근에는 Cloudflare의 독립적 MFA를 추가로 적용하는 것이 좋습니다. 이러한 방식은 단일 패스워드 유출이 전체 침해로 이어지는 것을 방지하며, 관리자에게는 정책 이행에 대한 확실성을, 사용자에게는 자동화된 보안 경험을 제공합니다.

The truly programmable SASE platform (새 탭에서 열림)

Cloudflare는 단순한 설정 변경을 넘어 실시간 로직 주입이 가능한 진정한 의미의 프로그래밍 가능한 SASE(Secure Access Service Edge) 플랫폼을 지향합니다. Cloudflare One과 개발자 플랫폼(Workers)이 동일한 네트워크 인프라 위에서 기본적으로 통합되어 있어, 사용자는 대기 시간 없이 보안 이벤트를 가로채고 외부 컨텍스트를 결합하여 맞춤형 보안 결정을 내릴 수 있습니다. 이는 정적인 보안 정책의 한계를 극복하고 각 기업의 고유한 요구사항에 맞춘 유연한 보안 아키텍처 구축을 가능하게 합니다. **진정한 프로그래밍 가능성의 의미** - 업계에서 흔히 말하는 API 제공이나 Terraform 지원 같은 '기초적인 프로그래밍 가능성'을 넘어, 실시간으로 보안 이벤트를 가로채고 외부 데이터를 보충하여 즉각적인 조치를 취하는 능력을 의미합니다. - 예를 들어, 특정 앱 접속 시 사용자의 규정 준수 교육 이수 여부를 외부 시스템(LMS)에서 즉시 확인하여, 미이수자에게는 접속 차단 대신 교육 포털로 리다이렉트하는 동적인 정책 결정이 가능합니다. **SASE와 개발자 플랫폼의 결합** - Cloudflare One(SASE)과 Workers(개발자 플랫폼)는 동일한 전 세계 330개 이상의 도시 인프라 및 동일한 서버 자원 위에서 실행됩니다. - 별도의 외부 클라우드에서 자동화를 실행할 필요가 없어 불필요한 네트워크 왕복 지연(Latency)이 발생하지 않으며, 보안 정책 내에서 밀리초 단위로 커스텀 로직을 수행할 수 있습니다. - 웹 보호, 사용자 보안, 프라이빗 네트워크 보안 모두가 동일한 개발 도구와 기본 요소를 공유하므로 아키텍처의 일관성을 보장합니다. **확장된 보안 액션과 워크플로우** - 기존 보안 게이트웨이의 제한적인 옵션(허용, 차단, 격리 등)에서 벗어나, 사용자 정의 로직을 실행할 수 있는 '커스텀 액션' 기능을 제공합니다. - 사용자 ID 클레임에 기반한 동적 헤더 삽입, 외부 리스크 엔진의 실시간 판독 결과 반영, 근무 시간 및 위치에 따른 정교한 접근 제어 등을 구현할 수 있습니다. - '관리형 액션(템플릿)'을 통해 ITSM 통합이나 규정 준수 자동화를 쉽게 설정하거나, '커스텀 액션'을 통해 Cloudflare Worker를 직접 호출하여 정교한 코드를 실행할 수 있습니다. **실제 활용 사례: 자동화된 세션 관리** - 특정 고객은 정해진 시간 동안 활동이 없는 기기의 세션을 강제로 종료해야 하는 보안 요건을 Cloudflare Workers를 통해 해결하고 있습니다. - 'Scheduled Worker'가 주기적으로 실행되어 기기 API(Devices API)를 쿼리하고, 비활성 임계값을 초과한 기기의 등록을 자동으로 취소하여 사용자가 ID 공급자를 통해 다시 인증하도록 강제합니다. - 이는 표준 기능으로 제공되지 않는 복잡한 보안 요구사항도 프로그래밍을 통해 즉시 해결할 수 있음을 보여줍니다. 보안 요구사항이 복잡해질수록 단순한 설정 중심의 솔루션은 한계에 부딪힙니다. Cloudflare One의 프로그래밍 가능성을 활용하여 기업 고유의 비즈니스 로직을 보안 스택에 직접 통합하면, 성능 저하 없이도 가장 강력하고 유연한 제로 트러스트 환경을 구축할 수 있습니다.

Beyond the blank slate: how Cloudflare accelerates your Zero Trust journey (새 탭에서 열림)

Cloudflare One은 강력한 SASE(Secure Access Service Edge) 플랫폼이지만, 모든 보안 기능을 최적으로 활용하기 위해서는 복잡한 설정 과정을 거쳐야 하는 '빈 캔버스'의 어려움이 존재합니다. 이를 해결하기 위해 Cloudflare는 전문가의 노하우를 코드화하여 자동 배포하는 '프로젝트 헬릭스(Project Helix)'를 도입했습니다. 이 프로젝트를 통해 고객은 수동 설정의 번거로움 없이 단 몇 분 만에 베스트 프랙티스가 적용된 제로 트러스트 환경을 구축할 수 있습니다. ### 초기 설정의 복잡성과 제로 트러스트 도입의 장벽 * Cloudflare One은 DNS 보호, 네트워크 보호, SWG 등 방대한 기능을 제공하지만, 초기 테넌트는 대개 운영 환경의 중단을 방지하기 위해 최소한의 설정만 되어 있는 '빈 상태'로 제공됩니다. * 고급 보안 기능인 TLS 검사, DLP(데이터 손실 방지), AV 스캔 등을 활성화하려면 수많은 스위치와 정책을 일일이 조정해야 하며, 이는 관리자에게 큰 부담이 됩니다. * 수동 설정 방식은 문서화가 어렵고 휴먼 에러의 가능성이 높으며, 특히 여러 시나리오를 동시에 적용해야 할 때 설정 간 충돌이나 누락이 발생하기 쉽습니다. ### 프로젝트 헬릭스: 전문가 노하우의 코드화와 자동화 * Cloudflare의 솔루션 엔지니어와 파트너들이 실제 구축 현장에서 겪은 베스트 프랙티스를 수집하여 이를 실행 가능한 코드(IaC) 형태로 변환했습니다. * 단순한 보안 정책 설정을 넘어, 신규 등록 도메인에 대한 원격 브라우저 격리(RBI), AI 애플리케이션 제어, 특정 SaaS 인스턴스만 허용하는 테넌트 제어(Tenant Control) 등 고도화된 설정을 포함합니다. * 사용자 경험 개선을 위해 Zoom과 같은 실시간 통신 앱의 트래픽 분리(Split Tunnel) 설정이나 공항·호텔의 캡티브 포털(Captive Portal) 접속을 위한 최적의 설정을 사전 구성으로 제공합니다. ### Terraform과 Cloudflare Workers를 활용한 기술적 구현 * **Terraform 기반 관리:** 확장 가능하고 유연한 Terraform 템플릿을 설계하여 복잡한 설정 파편과 정책을 일관되게 전달합니다. * **웹 기반 UI와 Workers:** Cloudflare Workers 및 Cloudflare Containers를 활용해 사용자가 기본 정보만 입력하면 테라폼 템플릿이 즉시 실행되는 웹 인터페이스를 구축했습니다. * **보안성 확보:** 실행 환경을 휘발성(Ephemeral)으로 구성하여 로그나 인증 토큰을 영구 저장하지 않으므로 보안 리스크를 최소화했습니다. * **효율성 극대화:** 수동으로 수 시간이 소요되던 구성 작업을 단 몇 분으로 단축하며, 클릭 한 번으로 권장 보안 정책 세트를 즉시 배포할 수 있습니다. Cloudflare One을 처음 도입하거나 환경을 재정비하려는 조직은 프로젝트 헬릭스를 통해 시행착오를 줄일 수 있습니다. 수동 설정 대신 자동화된 베스트 프랙티스 템플릿을 활용하여 보안 공백을 메우고 서비스 가동 시간을 빠르게 확보하는 것을 추천합니다.

Modernizing with agile SASE: a Cloudflare One blog takeover (새 탭에서 열림)

현대 기업 네트워크 환경이 재택근무의 일상화와 AI 에이전트의 등장으로 경계가 없는 시대로 진입함에 따라, 기존의 파편화된 보안 솔루션과 레거시 VPN은 더 이상 유효하지 않은 기술 부채가 되었습니다. 클라우드플레어는 이러한 복잡성을 해결하고 비즈니스 성장을 가속화하기 위해 가볍고 유연한 '애자일 SASE(Agile SASE)' 플랫폼인 Cloudflare One을 제시합니다. 이는 네트워킹과 보안을 단일 글로벌 연결 클라우드로 통합하여 성능 저하 없이 실시간 대응력을 극대화하는 현대적 보안 아키텍처를 지향합니다. ## 기존 SASE의 한계와 애자일 SASE의 정의 * 과거의 보안 방식은 하드웨어 박스와 VPN 농축기에 의존하여 수천 개의 방화벽 규칙과 수동 패치 등 관리하기 어려운 기술 부채를 야기해 왔습니다. * 1세대 SASE 제공업체들은 단순히 기존의 파편화된 구조를 클라우드로 옮겨놓은 것에 불과하여, 데이터 센터 간의 운영 사일로(Silo) 문제를 해결하지 못했습니다. * 애자일 SASE는 전 세계 300개 이상의 도시에 구축된 글로벌 네트워크를 기반으로, 모든 보안 검사를 모든 서버에서 동시에 실행하는 구조를 가집니다. * 데이터가 여러 도구를 순차적으로 거치는 '서비스 체이닝(Service-chaining)' 방식에서 벗어나 '싱글 패스(Single-pass)' 아키텍처를 채택함으로써 보안 프로세스가 비즈니스의 병목이 아닌 추진력이 되도록 설계되었습니다. ## 프로그래밍 가능한 보안 및 통합 가시성 * Cloudflare One은 단순한 보안 솔루션을 넘어 개발자 플랫폼인 Cloudflare Workers와 결합되어 기업이 보안 이벤트를 실시간으로 가로채고 코드로 제어할 수 있는 구성 가능성(Composability)을 제공합니다. * 단순한 '허용/차단' 규칙을 넘어 정교한 자동화 운영이 가능하며, 이는 블랙박스 형태의 기존 레거시 벤더들과 차별화되는 지점입니다. * AI 기술을 역으로 활용해 대량의 보안 데이터에서 유의미한 신호를 추출하고, 사람이 읽을 수 있는 실시간 조치로 전환하는 'AI를 대항하는 AI' 전략을 사용합니다. * 신원 확인 체계 역시 단순 패스워드를 넘어 인간과 장치에 대한 포괄적인 검증 시스템으로 진화시키고 있습니다. ## SASE 전환을 위한 단계별 실행 전략 * **원격 접속 현대화:** 유지보수 비용이 높은 VPN을 대체하여 더 빠르고 안전한 클라이언트리스(Clientless) 제로 트러스트 접속 환경을 구축합니다. * **이메일 및 DNS 보호:** AI 기반 플랫폼으로 비즈니스 이메일 침해(BEC)를 차단하고, 세계에서 가장 빠른 1.1.1.1 리졸버를 활용해 악성 사이트 접속을 원천 차단합니다. * **안전한 AI 도입:** 기업 내에서 몰래 사용되는 섀도우 AI(Shadow AI)를 파악하고, 생성형 AI 프롬프트로 유입되는 민감 데이터를 관리하는 거버넌스를 수립합니다. * **지점 네트워크 단순화:** 무거운 하드웨어 장비 없이도 모든 사무실을 원격지처럼 취급하여 지점 네트워크 구성을 간소화합니다. 향후 10년의 인터넷 환경은 AI와 양자 수준의 리스크가 공존할 것이며, 느린 마이그레이션 일정은 비즈니스의 장애물이 될 것입니다. 클라우드플레어는 최대 50인까지 무료로 제공되는 Cloudflare One을 통해 기업들이 리스크 없이 제로 트러스트 현대화를 시작하고, 비즈니스 규모에 맞춘 유연한 보안 체계를 구축할 것을 권장합니다.

ASPA: making Internet routing more secure (새 탭에서 열림)

인터넷 라우팅의 핵심 프로토콜인 BGP는 설정 오류나 악의적인 공격으로 인해 트래픽이 엉뚱한 경로로 흐르는 '경로 리크(Route Leak)' 취약점을 안고 있습니다. 이를 해결하기 위해 기존의 목적지 검증 기술인 ROA를 넘어, 전체 이동 경로를 암호화 기술로 보호하는 새로운 표준인 ASPA(Autonomous System Provider Authorization)가 도입되고 있습니다. 클라우드플레어는 이러한 흐름에 발맞춰 ASPA 채택 현황을 실시간으로 추적할 수 있는 모니터링 기능을 Radar 서비스에 추가하며 더욱 안전한 인터넷 환경 구축을 지원합니다. ### ASPA의 개념과 필요성 * **기존 RPKI(ROA)의 한계**: 현재 사용되는 ROA(Route Origin Authorization)는 특정 IP 주소를 선언할 권한이 있는 AS(자율 시스템)가 누구인지, 즉 '목적지'만 확인하며 트래픽이 거치는 중간 경로는 검증하지 못합니다. * **경로 검증의 도입**: ASPA는 각 AS가 자신의 상위 프로바이더(Upstream Provider) 목록을 RPKI 시스템에 공식적으로 등록하게 함으로써, 데이터가 승인된 네트워크 체인을 통해서만 이동하는지 확인합니다. * **디지털 인증 기반**: ASPA 레코드는 일종의 인증서 역할을 하여, 수신 측 네트워크가 BGP 내의 AS_PATH를 보고 해당 경로가 사전에 정의된 상위 공급자 관계와 일치하는지 대조할 수 있게 합니다. ### "Valley-Free" 원리를 이용한 리크 탐지 * **상향 및 하향 램프 검증**: 인터넷 라우팅은 일반적으로 고객에서 프로바이더로 올라갔다가(Up-Ramp), 다시 목적지 고객으로 내려가는(Down-Ramp) 산 모양의 계층 구조를 가집니다. * **경로 일관성 확인**: ASPA는 경로의 양단에서 검증을 시작합니다. 출발지부터 상위 프로바이더로 이어지는 체인과 목적지부터 거꾸로 올라오는 체인이 정상적으로 만나는지 확인하여 경로의 유효성을 판단합니다. * **계곡(Valley) 현상 방지**: 고객 네트워크가 두 대형 프로바이더 사이에서 원치 않는 중계 역할을 할 때 발생하는 '경로 리크'는 ASPA 검증 과정에서 두 체인이 연결되지 않는 '단절'로 나타나며, 시스템은 이를 즉시 차단 대상으로 식별합니다. ### 위조된 근원지 하이재킹 방어 * **공격 차단**: 공격자가 실제 목적지 AS인 것처럼 속이면서 가짜 BGP 경로를 생성하는 '위조된 근원지 하이재킹(Forged-origin hijack)' 상황에서 ASPA는 강력한 방어 수단이 됩니다. * **관계의 진실성**: 공격자가 경로 상에 존재하더라도 피해 네트워크가 사전에 정의한 '승인된 프로바이더' 목록에 공격자가 포함되어 있지 않다면, 해당 경로는 유효하지 않은 것으로 간주되어 거부됩니다. * **기술적 한계**: 다만, 프로바이더가 자신의 고객에게 직접 가짜 경로를 광고하는 특수한 형태의 위조 공격 등은 ASPA만으로는 완벽하게 방어하기 어려운 영역으로 남아 있습니다. 인터넷 보안 강화를 위해 네트워크 운영자는 자신의 AS에 대한 ASPA 레코드를 발행하고, 클라우드플레어 Radar와 같은 도구를 통해 전 세계적인 ASPA 채택 추이를 주시하며 라우팅 보안 표준을 준수할 것을 권장합니다.

Bringing more transparency to post-quantum usage, encrypted messaging, and routing security (새 탭에서 열림)

Cloudflare는 인터넷 보안의 투명성을 높이기 위해 Radar 플랫폼에 양자 내성 암호(PQ), 메시징 시스템의 키 투명성(Key Transparency), 그리고 라우팅 보안(ASPA)과 관련된 새로운 데이터셋과 도구를 대거 도입했습니다. 이번 업데이트는 클라이언트 측에 국한되었던 보안 모니터링을 오리진 서버와 메시징 인프라까지 확장하여, 다가오는 양자 컴퓨팅 시대와 고도화되는 네트워크 공격에 대비한 가시성을 제공하는 것을 핵심으로 합니다. **오리진 서버의 양자 내성 암호(PQ) 지원 모니터링** * **지원 범위 확장:** 기존 클라이언트 측 PQ 지원 모니터링을 넘어, Cloudflare 에지 서버와 고객의 오리진 서버 간 연결에 대한 PQ 호환성 데이터를 Radar에 추가했습니다. * **하이브리드 알고리즘 추적:** 고전적 방식인 X25519와 격자 기반 PQ 방식인 ML-KEM을 결합한 'X25519MLKEM768' 알고리즘의 채택 현황을 중점적으로 추적합니다. * **성장 지표:** 오리진 서버의 PQ 지원율은 2025년 초 1% 미만에서 2026년 2월 기준 10%로 약 10배 급증했으며, 이는 OpenSSL, Go 등 주요 암호화 라이브러리의 기본 설정 변경이 주도하고 있습니다. * **실시간 테스트 도구:** Cloudflare Containers를 활용하여 특정 호스트네임의 PQ 지원 여부를 즉시 확인할 수 있는 도구를 출시했으며, 이는 실제 TLS 핸드셰이크를 수행하여 협상된 알고리즘을 보여줍니다. **종단간 암호화(E2EE) 메시징을 위한 키 투명성** * **신뢰 문제 해결:** WhatsApp이나 Signal 같은 서비스에서 사용자가 서비스 제공자의 공공 키 배포를 무조건 신뢰해야 했던 취약점을 보완하기 위해 '키 투명성(Key Transparency)' 섹션을 신설했습니다. * **공개 감사 대시보드:** Cloudflare가 독립적인 감사자(Auditor)로서 WhatsApp 등의 메시징 서비스가 제공하는 공공 키 로그의 무결성을 실시간으로 검증하고 그 결과를 공개합니다. * **조작 방지:** 공격자가 공공 키를 가로채거나 교체하는 중간자 공격(MITM)을 방지할 수 있도록, 누구나 API를 통해 감사 증명을 독립적으로 검증할 수 있는 인터페이스를 제공합니다. **라우팅 보안 및 ASPA 배포 현황** * **BGP 경로 누출 방지:** 인터넷 라우팅의 고질적인 문제인 BGP 경로 누출을 탐지하고 방지하기 위한 새로운 표준인 ASPA(Autonomous System Provider Authorization) 관련 정보를 제공합니다. * **다각적 분석:** 글로벌 수준은 물론 국가 및 개별 네트워크(AS) 단위에서 ASPA가 얼마나 도입되었는지에 대한 상세한 인사이트를 확인할 수 있습니다. **결론 및 권장 사항** 인프라 운영자는 Cloudflare Radar의 새로운 PQ 테스트 도구를 활용해 자사 오리진 서버의 양자 내성 암호 준비 상태를 점검해야 합니다. 특히 최신 보안 표준을 유지하기 위해 OpenSSL 3.5.0+, Go 1.24+ 등 하이브리드 PQ를 기본으로 지원하는 최신 암호화 라이브러리로의 업데이트를 적극 권장합니다.

Cloudflare One is the first SASE offering modern post-quantum encryption across the full platform (새 탭에서 열림)

Cloudflare One은 보안 웹 게이트웨이(SWG), Zero Trust, WAN 솔루션을 포함한 전체 SASE 플랫폼에 현대적인 양자 내성 암호(PQC)를 도입하며 업계 최초의 완결된 보안 체계를 구축했습니다. 표준 기반의 하이브리드 ML-KEM 방식을 채택하여 기존 인프라의 성능 저하 없이 미래의 양자 컴퓨터 위협으로부터 기업 데이터를 선제적으로 보호합니다. 이는 단순한 기술 시연을 넘어 2030년 NIST 암호 표준 전환 마감 시한에 대비한 구체적인 실행 방안을 제시합니다. **양자 내성 암호 도입의 시급성** - **NIST 표준 준수:** 미국 국립표준기술연구소(NIST)는 2030년까지 기존 RSA 및 타원곡선 암호(ECC)를 폐기할 것을 권고하고 있어, 조직의 컴플라이언스 유지를 위한 마이그레이션이 필수적입니다. - **"선수집 후복호화" 차단:** 공격자가 현재 암호화된 데이터를 미리 수집한 뒤, 미래에 고성능 양자 컴퓨터가 개발되면 이를 복호화하려는 시도(Harvest Now, Decrypt Later)에 대응해야 합니다. - **암호화 민첩성(Crypto Agility):** 암호 알고리즘 교체는 수십 년이 걸릴 수 있는 어려운 작업이므로, 플랫폼 레벨에서 알고리즘을 손쉽게 교체할 수 있는 구조를 미리 갖추는 것이 중요합니다. **하이브리드 ML-KEM 기반의 암호화 체계** - **키 교환 방식의 혁신:** 표준 기반의 격자 구조 암호인 ML-KEM을 기존 타원곡선 디피-헬먼(ECDHE)과 혼합한 '하이브리드 ML-KEM' 방식을 사용하여 보안성을 극대화했습니다. - **하드웨어 제약 해소:** 양자 키 분배(QKD)와 달리 특수한 물리적 장치 없이 소프트웨어 업데이트만으로 구현 가능하며, 일반적인 TLS 통신 환경에서도 성능 저하가 거의 없습니다. - **단계적 마이그레이션 전략:** 현재는 양자 컴퓨터의 '수동적 공격'을 막기 위한 키 교환(Key Establishment) 단계의 업그레이드에 집중하고 있으며, 향후 디지털 서명 분야로 확대할 계획입니다. **IPsec 및 WAN 보안 강화** - **표준 기반 IPsec 구현:** 상호운용성이 낮은 기존 방식 대신 RFC 9370(다중 키 교환) 표준을 지원하여 IPsec 터널 구간에서의 양자 내성 보안을 실현했습니다. - **Cloudflare One 어플라이언스 업데이트:** 물리적·가상 WAN 어플라이언스 버전 2026.2.0부터 하이브리드 ML-KEM을 정식 지원하여 사이트 간(Site-to-site) 연결을 보호합니다. - **클라우드 네이티브 WAN 서비스:** Cloudflare IPsec 베타를 통해 고객 네트워크에서 Cloudflare 글로벌 네트워크로 이어지는 모든 경로에 양자 내성 암호를 적용할 수 있습니다. **실용적인 결론 및 추천** 데이터의 유효 기간이 수년 이상 지속되어 장기적인 기밀 유지가 필요한 기업은 Cloudflare One Appliance를 최신 버전으로 업데이트할 것을 권장합니다. 특히 규제 준수가 중요한 금융, 의료, 공공 부문은 현재 제공되는 IPsec PQC 베타 프로그램에 참여하여 인프라의 암호화 민첩성을 미리 점검하고 양자 컴퓨팅 시대의 위협에 선제적으로 대응해야 합니다.

2025 Q4 DDoS threat report: A record-setting 31.4 Tbps attack caps a year of massive DDoS assaults (새 탭에서 열림)

2025년 DDoS 공격은 전년 대비 121% 급증하며 총 4,710만 건에 달했고, 연말에는 31.4 Tbps라는 역대 최대 규모의 공격이 발생하며 위협의 정점을 찍었습니다. 특히 안드로이드 TV를 감염시킨 'Aisuru-Kimwolf' 봇넷의 출현으로 초당 수억 개의 요청을 보내는 하이퍼 볼류메트릭(Hyper-volumetric) 공격이 일상화되었으며, 통신 및 IT 인프라를 겨냥한 공격의 강도가 그 어느 때보다 강력해졌습니다. 클라우드플레어는 이러한 거대 공격들을 자율 방어 시스템을 통해 성공적으로 차단하며 진화하는 봇넷 위협에 대응하고 있습니다. ### 2025년 DDoS 공격의 급격한 양적 팽창 * 2025년 한 해 동안 발생한 DDoS 공격은 총 4,710만 건으로, 이는 2023년 대비 236%나 증가한 수치입니다. * 클라우드플레어는 매시간 평균 5,376건의 공격을 자동으로 완화했으며, 이 중 네트워크 계층 공격은 시간당 3,925건에 달했습니다. * 특히 네트워크 계층(Network-layer) 공격은 전년 대비 3배 이상 폭증하며 4분기 전체 공격의 78%를 차지하는 주된 위협으로 자리 잡았습니다. ### 'Aisuru-Kimwolf' 봇넷과 크리스마스 캠페인 * 2025년 12월 19일부터 시작된 "The Night Before Christmas" 캠페인은 클라우드플레어 인프라와 고객을 대상으로 초당 2억 건(200 Mrps)이 넘는 HTTP DDoS 공격을 퍼부었습니다. * 이 공격의 주체인 Aisuru-Kimwolf 봇넷은 전 세계적으로 100만~400만 대에 달하는 감염된 안드로이드 TV 기기들로 구성되어 있습니다. * 캠페인 기간 중 최대 9 Bpps(초당 패킷 수), 24 Tbps, 205 Mrps의 기록적인 수치가 관측되었으며, 이는 국가 전체의 통신 연결을 방해할 수 있는 파괴적인 수준입니다. ### 하이퍼 볼류메트릭 공격의 기록적 갱신 * 2025년 4분기 하이퍼 볼류메트릭 공격은 전 분기 대비 40% 증가했으며, 공격의 절대적인 규모는 2024년 말과 비교해 700% 이상 커졌습니다. * 특히 31.4 Tbps 규모의 역대 최대 공격이 발생했으나, 클라우드플레어의 자율 DDoS 방어 시스템이 단 35초 만에 이를 감지하고 자동으로 차단했습니다. * 이러한 거대 공격은 주로 통신사, ISP(인터넷 서비스 제공업체), 게이밍 산업 및 생성형 AI 서비스 기업들을 집중적으로 겨냥했습니다. ### 공격 대상 산업 및 지역의 변화 * **산업별:** 통신 서비스 산업이 정보 기술(IT) 서비스를 제치고 가장 많이 공격받은 산업 1위에 올랐으며, 도박 및 카지노, 게이밍 산업이 그 뒤를 이었습니다. * **지역별:** 중국이 여전히 가장 많은 공격을 받는 가운데, 홍콩이 12계단 상승해 2위를 기록했고 영국은 한 분기 만에 36계단이나 급등하며 6위로 부상했습니다. * 공격자들은 즉각적인 경제적 타격이 크거나 사회적 기반 시설 역할을 하는 지점을 전략적으로 선택하여 공격의 효과를 극대화하고 있습니다. 기업과 기관은 이제 단순한 트래픽 차단을 넘어, 수백만 대의 IoT 기기를 동원하는 초거대 규모의 하이퍼 볼류메트릭 공격에 대비해야 합니다. 특히 통신, 게이밍, AI 서비스와 같이 레이턴시에 민감한 산업군은 실시간 자동 완화 기능을 갖춘 클라우드 기반 보안 체계를 구축하여 예고 없이 찾아오는 대규모 공격에 상시 대응할 수 있는 능력을 갖추는 것이 필수적입니다.

How we mitigated a vulnerability in Cloudflare’s ACME validation logic (새 탭에서 열림)

Cloudflare는 최근 ACME(Automatic Certificate Management Environment) 검증 로직에서 특정 경로의 WAF(웹 애플리케이션 방화벽) 기능을 비활성화할 수 있는 취약점을 발견하고 패치했습니다. 이 결함은 `/.well-known/acme-challenge/*` 경로로 들어오는 요청을 처리하는 과정에서 발생했으며, 특정 조건에서 보안 필터링 없이 악의적인 요청이 원본 서버(Origin)에 도달할 수 있는 문제를 야기했습니다. 현재 모든 패치가 완료되어 고객의 추가 조치는 필요 없으며, 실제 악용 사례는 확인되지 않았습니다. ### ACME 프로토콜과 HTTP-01 챌린지 메커니즘 * ACME는 SSL/TLS 인증서의 발급, 갱신 및 취소를 자동화하는 프로토콜로, 도메인 소유권을 확인하기 위해 HTTP-01 챌린지 방식을 널리 사용합니다. * 인증 기관(CA)은 도메인 소유권을 확인하기 위해 특정 경로(`http://{customer domain}/.well-known/acme-challenge/{token value}`)에 토큰이 존재하는지 확인하는 요청을 보냅니다. * Cloudflare가 관리하는 인증서의 경우 해당 경로에 직접 응답하여 토큰을 제공하며, 만약 시스템에 등록되지 않은 토큰 요청일 경우 고객이 별도로 도메인 검증을 진행 중인 것으로 판단하여 요청을 원본 서버로 전달합니다. ### WAF 보안 기능을 무력화하는 논리적 결함 * 기존 시스템은 CA의 인증 시도가 WAF 규칙에 의해 차단되어 인증서 발급이 실패하는 것을 방지하기 위해, ACME 챌린지 경로에 대한 WAF 기능을 일시적으로 비활성화하도록 설계되었습니다. * 그러나 분석 결과, 요청된 토큰이 요청을 받은 현재 호스트 이름과 직접적인 연관이 없더라도, Cloudflare 시스템 내의 다른 존(Zone)에 존재하는 유효한 토큰이기만 하면 WAF가 비활성화되는 허점이 발견되었습니다. * 이로 인해 공격자가 특정 경로를 통해 보안 필터링을 우회하여 원본 서버에 직접 접근할 수 있는 취약한 상태가 노출되었습니다. ### 취약점 보완 및 패치 내용 * Cloudflare는 요청된 토큰이 해당 호스트 이름(Hostname)에 할당된 유효한 ACME HTTP-01 챌린지 토큰과 일치할 때만 보안 기능을 비활성화하도록 로직을 수정했습니다. * 이제 토큰의 유효성뿐만 아니라 호스트 이름과의 매칭 여부를 엄격하게 검증하여, 조건이 충족되지 않는 모든 요청은 정상적인 WAF 규칙의 통제를 받게 됩니다. * 이번 조치는 외부 보안 연구원의 제보를 통해 이루어졌으며, Cloudflare는 인프라의 투명성을 위해 해당 취약점의 상세 내용과 해결 과정을 공개했습니다. Cloudflare를 사용하는 고객은 별도의 설정 변경이나 조치를 취할 필요가 없으며, 현재 시스템은 해당 취약점으로부터 안전하게 보호되고 있습니다. 환경의 보안 강화를 위해 버그 바운티 프로그램 등을 통한 외부 협력을 지속하며 신속한 대응 체계를 유지하고 있습니다.