ssl-tls

에이전트 위크: 네트워크 성능 업데이트 (새 탭에서 열림)

Cloudflare는 전 세계 상위 1,000개 네트워크 중 60%에서 가장 빠른 성능을 기록하며, 기존 40%였던 점유율을 단기간에 대폭 끌어올리는 성과를 거두었습니다. 이러한 성장은 물리적인 네트워크 거점 확장뿐만 아니라 HTTP/3 도입과 같은 소프트웨어 최적화 및 효율적인 연결 처리 방식을 통해 달성되었습니다. Cloudflare는 모든 네트워크에서 1위를 차지하는 것을 목표로 기술 혁신을 지속하여 전 세계 사용자들에게 최상의 웹 경험을 제공하고 있습니다. ### 네트워크 성능 측정 및 비교 방식 * **데이터 소스:** APNIC의 데이터를 기반으로 인구수가 가장 많은 전 세계 상위 1,000개 네트워크를 대상으로 성능을 측정합니다. * **핵심 지표:** 사용자의 장치가 엔드포인트와 TCP 핸드쉐이크를 완료하는 데 걸리는 'TCP 연결 시간'을 주요 지표로 활용합니다. 이는 사용자 체감 속도와 가장 직계되는 지표입니다. * **Trimean 계산법:** 이상치로 인한 데이터 왜곡을 방지하기 위해 25, 50, 75 백분위수의 가중 평균인 Trimean 방식을 사용하여 실제 일반적인 사용자 경험을 정확히 파악합니다. * **실제 사용자 측정(RUM):** Cloudflare 오류 페이지 등에 포함된 백그라운드 테스트를 통해 Amazon CloudFront, Google, Fastly, Akamai 등 경쟁사와의 속도를 실제 브라우저 환경에서 직접 비교합니다. ### 성능 향상을 이끈 기술적 전략 * **물리적 거점(PoP) 확장:** 알제리(콘스탄틴), 인도네시아(말랑), 폴란드(브로츠와프) 등 전 세계 곳곳에 신규 위치를 추가하여 물리적 거리를 단축했습니다. 특히 폴란드 브로츠와프의 경우 평균 RTT가 19ms에서 12ms로 약 40% 개선되었습니다. * **소프트웨어 최적화:** 하드웨어 확장 외에도 HTTP/3 프로토콜 활용과 혼잡 제어 윈도우(Congestion Window) 관리 방식의 개선을 통해 코드 레벨에서 밀리초 단위의 지연 시간을 줄였습니다. * **리소스 효율화:** 연결 처리, SSL/TLS 종단(Termination), 트래픽 관리 및 코어 프록시 소프트웨어의 CPU 및 메모리 사용량을 최적화하여 전체 글로벌 네트워크의 처리 효율을 극대화했습니다. ### 2025년 하반기 성과 및 결과 * **압도적인 순위 상승:** 2025년 9월 대비 12월 기준으로 Cloudflare가 가장 빠른 국가가 40개 추가되었으며, 총 261개의 추가 네트워크(ASN)에서 성능 1위를 차지했습니다. * **미국 시장 성과:** 미국 내에서는 54개의 추가 네트워크에서 1위를 달성하며 가장 큰 폭의 성장을 기록했습니다. * **경쟁사와의 격차:** 12월 평균 데이터를 기준으로 Cloudflare는 경쟁 업체들보다 평균 6ms 더 빠른 연결 시간을 기록하며 안정적인 성능 우위를 증명했습니다. 성능의 작은 차이는 실제 사용자가 웹사이트나 애플리케이션에 접속할 때 느끼는 만족도와 직결됩니다. 현재 60%의 네트워크에서 1위를 기록하고 있는 Cloudflare는 근소한 차이로 2위를 기록 중인 지역들까지 포함하여, 전 세계 모든 네트워크에서 가장 빠른 프로바이더가 되기 위해 기술 투자를 지속할 것으로 보입니다.

Cloudflare의 ACME (새 탭에서 열림)

Cloudflare는 최근 ACME(Automatic Certificate Management Environment) 검증 로직에서 특정 경로의 WAF(웹 애플리케이션 방화벽) 기능을 비활성화할 수 있는 취약점을 발견하고 패치했습니다. 이 결함은 `/.well-known/acme-challenge/*` 경로로 들어오는 요청을 처리하는 과정에서 발생했으며, 특정 조건에서 보안 필터링 없이 악의적인 요청이 원본 서버(Origin)에 도달할 수 있는 문제를 야기했습니다. 현재 모든 패치가 완료되어 고객의 추가 조치는 필요 없으며, 실제 악용 사례는 확인되지 않았습니다. ### ACME 프로토콜과 HTTP-01 챌린지 메커니즘 * ACME는 SSL/TLS 인증서의 발급, 갱신 및 취소를 자동화하는 프로토콜로, 도메인 소유권을 확인하기 위해 HTTP-01 챌린지 방식을 널리 사용합니다. * 인증 기관(CA)은 도메인 소유권을 확인하기 위해 특정 경로(`http://{customer domain}/.well-known/acme-challenge/{token value}`)에 토큰이 존재하는지 확인하는 요청을 보냅니다. * Cloudflare가 관리하는 인증서의 경우 해당 경로에 직접 응답하여 토큰을 제공하며, 만약 시스템에 등록되지 않은 토큰 요청일 경우 고객이 별도로 도메인 검증을 진행 중인 것으로 판단하여 요청을 원본 서버로 전달합니다. ### WAF 보안 기능을 무력화하는 논리적 결함 * 기존 시스템은 CA의 인증 시도가 WAF 규칙에 의해 차단되어 인증서 발급이 실패하는 것을 방지하기 위해, ACME 챌린지 경로에 대한 WAF 기능을 일시적으로 비활성화하도록 설계되었습니다. * 그러나 분석 결과, 요청된 토큰이 요청을 받은 현재 호스트 이름과 직접적인 연관이 없더라도, Cloudflare 시스템 내의 다른 존(Zone)에 존재하는 유효한 토큰이기만 하면 WAF가 비활성화되는 허점이 발견되었습니다. * 이로 인해 공격자가 특정 경로를 통해 보안 필터링을 우회하여 원본 서버에 직접 접근할 수 있는 취약한 상태가 노출되었습니다. ### 취약점 보완 및 패치 내용 * Cloudflare는 요청된 토큰이 해당 호스트 이름(Hostname)에 할당된 유효한 ACME HTTP-01 챌린지 토큰과 일치할 때만 보안 기능을 비활성화하도록 로직을 수정했습니다. * 이제 토큰의 유효성뿐만 아니라 호스트 이름과의 매칭 여부를 엄격하게 검증하여, 조건이 충족되지 않는 모든 요청은 정상적인 WAF 규칙의 통제를 받게 됩니다. * 이번 조치는 외부 보안 연구원의 제보를 통해 이루어졌으며, Cloudflare는 인프라의 투명성을 위해 해당 취약점의 상세 내용과 해결 과정을 공개했습니다. Cloudflare를 사용하는 고객은 별도의 설정 변경이나 조치를 취할 필요가 없으며, 현재 시스템은 해당 취약점으로부터 안전하게 보호되고 있습니다. 환경의 보안 강화를 위해 버그 바운티 프로그램 등을 통한 외부 협력을 지속하며 신속한 대응 체계를 유지하고 있습니다.