클라우드플레어는 기존의 정적인 보안 모델을 넘어, 사용자의 행동을 실시간으로 분석하여 접근 권한을 동적으로 제어하는 '사용자 위험 점수(User Risk Scoring)' 기능을 도입했습니다. 이는 단순히 로그인 자격 증명이나 기기의 상태를 확인하는 것에서 나아가, 데이터 유출 시도나 비정상적인 로그인 패턴 같은 실시간 행동 데이터를 바탕으로 보안 결정을 내릴 수 있게 합니다. 이를 통해 보안 팀은 침해 사고에 사후 대응하는 대신, 위험 수준에 따라 자동으로 접근을 차단하거나 인증을 강화함으로써 선제적인 제로 트러스트 보안을 실현할 수 있습니다.

사용자 행동 기반의 지능형 위험 산출

클라우드플레어 원(Cloudflare One) 플랫폼은 내부 시스템과 외부 파트너사의 데이터를 결합하여 조직 내 모든 사용자의 위험 점수를 실시간으로 계산합니다.
내부 시그널 활용: Cloudflare Access의 로그인 로그(지리적 위치, 로그인 실패 등)와 Cloudflare Gateway의 트래픽 데이터(멀웨어 감지, DLP 규칙 위반, 비정상적 브라우징 등)를 지속적으로 모니터링합니다.
서드파티 통합: CrowdStrike 및 SentinelOne과의 서비스 간 통합을 통해 외부 기기 보안 상태 및 위협 텔레메트리를 사용자 프로필에 직접 반영합니다.
결정론적 산출 로직: 관리자가 정의한 특정 위험 행동(예: 불가능한 이동 거리 발생 시 '높음') 중 발생한 가장 높은 위험 수준을 사용자의 현재 점수로 할당하며, 사고 조사 후 수동으로 점수를 재설정할 수도 있습니다.

자동화된 적응형 접근 제어(Adaptive Access)

기존에는 의심스러운 사용자를 발견하면 관리자가 수동으로 세션을 만료시켜야 했으나, 이제는 ZTNA 정책에 '사용자 위험 점수' 항목을 조건으로 추가하여 자동화된 대응이 가능합니다.
동적 정책 적용: 예를 들어 위험 점수가 '높음'인 사용자는 즉시 재무 시스템 접근을 차단하고, '중간'인 사용자는 물리적 보안 키를 이용한 추가 인증을 거치도록 설정할 수 있습니다.
실시간 세션 관리: 사용자의 위험 점수가 상승하면 활성 세션 도중이라도 즉시 접근 권한을 취소할 수 있으며, 점수가 정상화되면 정책에 따라 접근 권한이 자동으로 복구됩니다.

보안 생태계와의 실시간 동기화

Shared Signals Framework를 통해 Okta와 같은 ID 공급자(IdP)와 위험 신호를 공유함으로써, 네트워크 단의 위협 정보를 SSO(Single Sign-On) 인증 단계까지 확장하여 적용합니다.
향후에는 활성 세션 중간에 위험 점수가 변할 경우 MFA(다중 인증)를 즉시 요구하는 '스텝업(Step-up) 인증' 기능을 추가하여 보안 강도를 더욱 높일 예정입니다.

실용적인 결론 및 추천 클라우드플레어 사용자는 현재 대시보드에서 위험 시그널 설정을 즉시 시작할 수 있으며, 최대 50인까지는 무료로 제공되므로 소규모 환경에서 먼저 적응형 보안을 테스트해 보기에 적합합니다. 대규모 조직의 경우 CrowdStrike나 SentinelOne 같은 기존 보안 도구와 연동하여 네트워크 전반에 걸친 통합적인 제로 트러스트 아키텍처를 구축할 것을 권장합니다.