Cloudflare는 에이전트 설치가 불가능한 환경에서도 사용자 신원을 확인하고 보안 정책을 적용할 수 있는 'Gateway Authorization Proxy'를 출시했습니다. 기존의 IP 기반 필터링에서 벗어나 브라우저의 기본 프록시 기능과 Cloudflare Access를 결합함으로써, 관리되지 않는 기기에서도 사용자별로 세밀한 트래픽 제어와 가시성 확보가 가능해졌습니다. 이는 기업 인수합병(M&A), VDI 환경, 규제가 엄격한 산업군에서 보안 공백을 메우는 강력한 해결책이 될 것입니다.

IP 기반 프록시의 한계와 정체성 위기

기존의 프록시 엔드포인트 방식은 정적 IP 주소에 의존하여 사용자를 식별했기 때문에, '누가' 접속하는지가 아닌 '어느 IP'에서 오는지만 인식할 수 있었습니다.
사용자가 장소를 옮겨 IP가 변경되면 정책이 제대로 적용되지 않는 취약함이 있었으며, 보안 로그에는 사용자 이름 대신 익명 IP만 기록되는 문제가 있었습니다.
또한 프록시 설정을 안내하는 PAC(Proxy Auto-Configuration) 파일을 기업이 직접 호스팅하고 수동으로 관리해야 하는 운영상의 번거로움이 존재했습니다.

신원 기반 인증 프록시의 작동 원리

새로운 방식은 차량 번호판(IP) 대신 개별 배지(ID)를 확인하는 것과 같으며, Cloudflare Access와 연동하여 사용자가 누구인지 먼저 검증한 뒤 Gateway 필터링 정책을 적용합니다.
서명된 JWT(JSON Web Token) 쿠키를 사용하여 신원을 유지하며, 도메인별 보안 토큰을 생성하여 세션을 관리합니다.
이 모든 인증 과정은 Cloudflare의 글로벌 에지 네트워크에서 수 밀리초 내에 처리되므로, 사용자는 리다이렉트 과정을 거의 느끼지 못한 채 평소처럼 웹 서핑을 할 수 있습니다.

다중 ID 공급자 지원 및 통합 관리

Okta, Azure AD 등 여러 ID 공급자(IdP)를 동시에 지원하여, 서로 다른 인증 체계를 가진 기업들이 합병되는 과정에서도 유연하게 보안을 통합할 수 있습니다.
클라이언트를 설치하지 않고도 "재무팀만 특정 회계 도구에 접속 가능"과 같은 정교한 사용자별 정책 수립이 가능합니다.
사용자별 라이선스(Seat) 기반의 단순한 과금 체계를 적용하여 기존 Cloudflare One Client 사용자들과 동일한 방식으로 비용을 관리할 수 있습니다.

PAC 파일 호스팅 자동화와 AI 지원

기업은 이제 PAC 파일을 직접 관리할 필요 없이 Cloudflare 네트워크에서 직접 호스팅하고 배포할 수 있습니다.
다양한 설정 템플릿을 제공하여 수 분 내에 설정을 완료할 수 있으며, AI 어시스턴트 'Cloudy'가 복잡한 PAC 코드를 요약하고 설명해 주어 설정 오류를 방지합니다.

권장 활용 시나리오

Cloudflare는 최상의 사용자 경험을 위해 전용 클라이언트(Cloudflare One Client) 설치를 우선적으로 권장하지만, 다음과 같은 특수 상황에서는 Gateway Authorization Proxy가 최적의 대안이 됩니다.

VDI(가상 데스크톱) 환경: 사용자가 가상 머신에 로그인하여 브라우저를 통해서만 인터넷에 접속하는 경우
인수합병(M&A): 서로 다른 보안 환경을 가진 두 회사를 신속하게 하나의 보안 체계로 통합해야 할 때
규제 준수 및 제한적 환경: 보안 정책이나 법적 문제로 인해 엔드포인트 기기에 소프트웨어를 설치할 수 없는 경우