최근 수정 시각 : 2019-12-06 20:40:08

Cloudflare

이 문서는 토론을 통해 'Cloudflare'로 문서 제목 고정(으)로 합의되었습니다. 합의된 부분을 토론 없이 수정할 시 제재될 수 있습니다.


파일:Cloudflare.png 파일:Cloudflare2.png
현재 로고 구 로고
공식 홈페이지 공식 블로그

1. 개요2. 상세3. 제공 서비스
3.1. DNS 서비스3.2. CDN 서비스3.3. 디도스 방어 서비스3.4. 1.1.1.1 DNS3.5. 이외
4. 한국에서의 망 이용료 관련 문제5. 사건 사고
5.1. CloudBleed
5.1.1. 해당 취약점에 노출 되었을 수 있는 유명 사이트들
5.1.1.1. 해외5.1.1.2. 한국내
5.2. 2019년 7월 서버 다운 사건
6. 사용하는 사이트7. 기타

1. 개요

미국 소재의 CDN 서비스와 DNS 서비스를 제공하는 기업. 본사는 미국 샌프란시스코에 있다.

현재 나무위키가 사용하고 있는 CDN 서비스가 바로 클라우드플레어이다. 나무위키는 클라우드플레어의 엔터프라이즈 플랜을 사용하고 있다.

2. 상세

2019년 10월 기준으로 대한민국 서울[1]을 포함한 194곳의 데이터 센터가 존재한다.(목록)

프리 플랜, 프로 플랜, 비즈니스 플랜, 엔터프라이즈 플랜이 있으며, 프리 플랜은 무료로 이용 가능하다.

클라우드플레어의 서비스는 전세계를 대상으로 서비스를 제공하는 곳이거나 DDoS 공격을 자주 받는 곳이라면 거의 필수로 사용하며, 그 사이트의 수는 수십만개가 넘는다. 따라서 주된 공격을 받기도 하며 이를 최전선에서 방어하고 있다. 워낙 공격을 많이받아 수시로 경로가 재지정되는 일이 흔하며, 상태페이지를 통해 서버 상태를 확인할 수 있다.

3. 제공 서비스

3.1. DNS 서비스

DNS 서비스는 클라우드플레어의 핵심이라고 할 수 있는데, 제공되는 서비스들을 사용하기 위해서는 DNS 서버 설정이 클라우드플레어로 되어있어야 한다.

3.2. CDN 서비스

서울을 포함한 전세계 곳곳에 흩어져있는 캐시 서버를 이용해서 CDN 서비스를 제공한다.

3.3. 디도스 방어 서비스

클라우드플레어는 모든 플랜에서 디도스 방어 서비스를 제공한다. 한국 기준으로 디도스 방어 서비스를 이용하려면 월 50만원은 기본으로 깨지는 것에 비해서 엄청나게 저렴한 가격으로 디도스 방어 서비스를 이용할 수 있다. 하지만, 한국에서는 아래에서 후술할 문제로 인해 사실상 무용지물.

3.4. 1.1.1.1 DNS

1.1.1.1 DNS 서비스는 Cloudflare의 공개 DNS 서비스로, 2018년 4월 1일에 시작되었다. 이에 대한 자세한 내용은 홈페이지인 https://1.1.1.1/에서 확인할 수 있다.[2]

Cloudflare DNS의 전 세계 평균 응답 시간은 14ms로 OpenDNS의 24ms, 구글 DNS의 30ms보다 빨라 현재 전 세계에서 가장 빠른 DNS 서버로 평가된다. 한국 접속자의 경우에는 서울의 Cloudflare 서버를 통해 DNS쿼리를 받으므로 5ms 밖에 안걸린다. 또한 DNS-over-TLS와 DNS-over-HTTPS를 지원하며, 이번 HTTPS 지원으로 더 많은 운영체제와 브라우저에서 HTTPS를 지원할 것이라고 한다.

클라우드플레어는 "인터넷상에서 가장 빠르고 프라이버시를 우선으로 하는 DNS 서비스"임을 강조했다. 이미 OpenDNS나 구글 DNS 같은 공개 DNS 서비스가 여럿 나와 있지만 클라우드플레어는 모든 DNS 쿼리 로그를 24시간 이내 와이핑(wiping)하여 프라이버시에 중점을 두고 있다고 한다.

IPv4 의 경우 DNS 를 1.1.1.1 과 1.0.0.1을, IPv6 의 경우 DNS 를 2606:4700:4700::1111 과 2606:4700:4700::1001을 입력해주면 된다.[3]

iOS, Android 전용 앱을 설치하여 간편하게 설정할 수도 있다.

SNI 필드 차단을 우회하려고 설치했다면 설정->고급에서 터널 타입을 풀 터널로 바꿔보자.

안드로이드 9.0 파이부터는 루팅없이 직접 프라이빗 DNS 설정이 가능하며 기종마다 조금씩 메뉴가 다를 수는 있느나 설정 - 네트워크 - 프라이빗 DNS로 들어가서 1dot1dot1dot1.cloudflare-dns.com을 적고 확인을 누르면 1.1.1.1 DNS를 이용할 수 있다.#

3.5. 이외

SSL, Always Online™, Cloudflare Railgun™ 등을 제공한다. IDC에서 내용을 캐싱했다가 보여주게 된다.

SSL 서비스DNS 설정에서 클라우드플레어 CDN 기능을 사용하도록 한 경우에만 사용할 수 있는데, 놀랍게도 프리 플랜에서부터 사용이 가능하다. 복잡하게 SSL 인증서를 발급받을 필요 없이 클릭 몇 번만 해 주면 사용이 가능하다. 프리 플랜의 경우 설정 후 24시간을 기다려주면 범용 SSL 사용이 가능하며, 프로 플랜 이상의 경우 설정 즉시 일반 SSL을 사용할 수 있다. 나무위키는 프리 플랜을 사용하여 한동안 인증서 관련 이슈가 있었지만 이후 프로 플랜으로 전환하여 그 문제는 해결된 상태다. OpenSSL로 Self-Signed 인증서로 HTTPS 서버 구축하니 COMODO Multi-Domain 인증서가 되는 마술 또한 HTTP/2를 기본 지원한다.

다만, 범용 SSL은 특정 운영체제와 브라우저에서 작동하지 않는다는 문제점이 있다.(지원하는 브라우저의 목록)

한 가지 주의할 점이 있는데, SSL 설정이 Flexible(유동)일 경우 클라이언트와 Cloudflare 사이의 연결은 암호화되나, Cloudflare와 원본 서버 사이의 연결은 암호화되지 않는다. 이는 SSL의 중요 기능 중 하나인 도청 방지를 위한 연결 암호화를 소홀히 하는 것으로 큰 주의가 필요하다. NSA가 구글의 암호화되지 않은 데이터 센터 간 네트워크를 도청한 사실로 봐서도 이는 결코 쉽게 봐선 안 되는 일이다. 게다가 사용자에겐 잘못된 안심감을 심어주어 SSL의 신뢰를 해치는 성향이 있어 이 기능을 싫어하는 보안 전문가들도 적지 않다.

Always Online™ 서비스는 서버내려간 경우에도 클라우드플레어 CDN 서버에 저장된 캐싱된 내용을 그대로 보여준다. 프리 플랜에서는 일주일에 한 번 캐싱, 프로 플랜에서는 3일에 한번 캐싱, 비즈니스 플랜부터는 매일 캐싱한다. 2015년 리그베다 위키 사유화 사태로 리그베다 위키의 서버가 내려갔지만, FrontPage 등 일부 페이지에 접근이 가능했던 이유도 이 기술 때문.

Cloudflare Railgun™ 서비스는 비즈니스 플랜부터 사용 가능하며 캐시 할 수 없는 데이터를 서버로부터 클라우드플레어 CDN 네트워크까지 최대 99.6% 압축하여 전송하는 기술이다. 비즈니스 플랜을 구입하거나, 사용 중인 호스팅 회사가 클라우드플레어와 파트너십을 맺은 경우 사용할 수 있다. 다만 이 서비스를 제대로 활용하기 위해서는 서버에 세팅 작업이 필요하다.

DDoS 방어 솔루션도 지원하고 있는데 효과는 매우 탁월한 편이다. 실제 프랑스의 한 웹사이트에서 400Gbps[4]가 넘는 초대형 디도스 공격을 받았는데, 이를 Cloudflare에서 성공적으로 방어하였다. 솔루션 적용 시 의심되는 연결에 대해서 해당 연결이 악의적인 연결인지 아닌지 5초간의 딜레이를 넣어 판단한다.

이외에도 여러 가지 웹 최적화 기술들이 있는데, 그냥 다른 DNS 쓰듯이 클라우드 플레어 서버에 똑같이 연결만 해주면 클라우드 서버에서 전부 알아서 해준다. 예를 들어 따로 서버에 추가적인 작업을 하지 않아도 Minify를 시켜준다거나, Mirage라는 기술은 Pro 플랜부터 사용 가능한 대신 유저의 기기에 맞춰 해상도에 맞는 이미지를 알아서 리사이징 해 가져다준다.

4. 한국에서의 망 이용료 관련 문제

서울 지점이 있음에도 불구하고 Free, Pro 플랜에서는 서울 지점을 사용할 수 없다. 서버가 한국에 있어도 서울 지점이 아닌 외국 지점을 거쳐서 서버로 통신하기 때문에 더 느리다.

이와 관련해서 고객센터에 문의하면 Business 플랜 이상으로 올리라고 답한다. 클라우드플레어측은 미래창조과학부박근혜 정부 시절 상호접속고시를 개악해서 망 사용료가 늘어나자 어쩔 수 없다는 입장이다.

아시아의 트래픽 요금은 다른 지역보다 월등히 비싸다.[5] 그중 한국과 대만이 유럽에 비해 15배 이상 트랜짓 요금이 높다. 게다가 한국은 그 비싼 요금이 계속 오르고 있는 세계에서 유일한 나라다.[6] 이 부분에 대해 자세한 설명은 망 이용료 문서 참고.[7]
이메일 답변 내용:
We recently made some changes to our network routing that has effected how traffic is served for some of our Free and Pro customers. On our Free or Pro plans, we serve you locally with any ISP that interconnects with us, but not necessarily for traffic accessed only via an ISP that does not peer with us. ㅡ If some of your traffic is being served to users at ISPs that do not peer with us, there is a good chance it may be served from non-local routes. Despite being closer to one particular PoP you might find that your traffic is flowing through another one located further away. While performance for some of these customers may be reduced at times, all other Cloudflare benefits will work the same. ㅡ You can read more about this on our blog: The relative cost of bandwidth around the world ㅡ If you want to make sure you retain access to all Cloudflare transit providers worldwide, please upgrade to our Business or Enterprise Plan in your Cloudflare dashboard, under the Overview section.
블로그 내용:
South Korea is perhaps the only country in the world where bandwidth costs are going up. This may be driven by new regulations from the Ministry of Science, ICT and Future Planning, which mandate the commercial terms of domestic interconnection, based on predetermined “Tiers” of participating networks. This is contrary to the model in most parts of the world, where networks self-regulate, and often peer without settlement. The government even prescribes the rate at which prices should decrease per year (-7.5%), which is significantly slower than the annual drop in unit bandwidth costs elsewhere in the world. We are only able to peer 2% of our traffic in South Korea.
아마 대한민국은 대역폭 비용이 오르는 유일한 나라일 것입니다. 이는 미래창조과학부가 만든 "티어"에 따라 상호 접속 협상을 규제하는 법안 때문입니다. 이것은 네트워크가 스스로-규제되고 심지어 협의 없이도 피어링하는 전 세계의 흐름과는 상반되는 것입니다. 정부는 심지어 매년 가격 하향요율을 정해놓고 있는데(-7.5%), 이렇게 느리게 가격이 내려가는 나라는 전세계 어디에도 없습니다. 우리는 대한민국의 2%와만 피어링할 수 있었습니다.

국내 호스팅의 경우 대부분 해외 트래픽을 차단하거나 매우 적게 주므로, 클라우드플레어를 사용하게 되면 모든 트래픽이 해외 트래픽으로 통신하게 되고 호스팅 정지나 추가 요금이 엄청나게 부과될 수 있으니 주의를 요한다.

사이트가 클라우드플레어를 사용하고있다면, 주소 끝에 cdn-cgi/trace를 덧붙여서 어느 서버를 경유하고있는지 확인할 수 있다. 크롬 브라우저를 사용중인 경우 Claire 확장 프로그램을 설치하면 현재 연결중인 서버의 IP,[8] 연결한 서버의 ID, 연결한 서버의 위치를 알 수 있다.

1.1.1.1 DNS의 경우에는 무조건 서울 서버로 연결된다.

2018년 이후 일반 사용자도 NRT로 배정해주고. AWS (서울리전) + CDN-NRT 조합이면 절대 느리지 않다. 클라우드플레어 엣지는 이용자의 통신사별로 다 다르다. KT의 경우는 KIX로 접속되는 상황. 일본 엣지로만 접속된다면, 일본에 있는 서버 호스팅을 이용한다면 충분히 속도상에서도 불편함이 없다. 굳이 한국 리전에서 다만 통신사의 해외 트래픽이 몰리는 특정한 상황(iOS 업데이트, 저녁 시간대)등에는 접속이 여전히 느릴 수 있다.

5. 사건 사고

5.1. CloudBleed

2017년 2월 구글 프로젝트 제로에서 엄청난 보안 취약점을 발표했다. 2016년 9월 22일부터 HTML 파서의 버그로 클라를 바라보는 엣지 서버의 메모리가 덤프 될 수 있었다. 물론 사이트에서 제어가 불가능하다. 구글 측에서 크롤링하다 문제를 발견했고 "현재" 캐싱된 메모리 덤프는 검색엔진들과 협의해서 지운 상태이다. 즉, 간단하게 2016년 9월 22일부터 Cloudflare를 사용한 모든 웹사이트의 비밀정보가 다 새어나간 중대 사건이 터졌다(...)

이 글을 읽고 있는 위키러라면 Cloudflare를 사용하는 사이트에서의 비밀번호를 즉시 바꾸는 것을 추천한다. 정확하게는 3,400여 개의 사이트가 이번 취약점에 노출되었는데, 이 서버들과 같은 엣지 서버를 사용하는 사이트들도 영향을 받기 때문에 정확한 피해 사이트들을 추정할 수 없다. 무슨 말이냐면 만약 Cloudflare의 엣지 서버가 1대라면 Cloudflare를 사용하는 모든 사이트들이 취약점에 노출된 것이고, 반면에 엣지 서버가 많다면 그만큼 피해 규모가 축소된다는 이야기 ## 해당하는 사이트들의 리스트를 수집하는 Github 프로젝트도 생성되었다. ## 이 곳의 사이트들을 보고 가입되어 있는 사이트라면 즉시 들어가서 비밀번호 등을 바꿔주자. 이미 비밀번호가 털렸다고 상정하고 행동하는 것이 좋다.

5.1.1. 해당 취약점에 노출 되었을 수 있는 유명 사이트들

취약점 노출 사이트 공유 프로젝트에서 10,000개 이상의 사이트들을 확인할 수 있다.
5.1.1.1. 해외
5.1.1.2. 한국내

5.2. 2019년 7월 서버 다운 사건

클라우드플레어 공식 사건일지 정리글

2019년 7월 2일 22시 47분경(이하 한국시각) 일시적으로 터지는 사건이 발생했다. 같은날 22시 52분에 인지하고, 약 22~23분뒤인 23시 15분에 문제에 대한 해결책을 구현했다고 공지됐으며 실제로 거의 대부분의 서비스가 정상화되었다.[13]

이 사건으로 전세계적으로 클라우드플레어에게 서비스를 제공받는 모든 사이트들의 서버가 먹통이 되었다.[14] 한국에서는 인기 있는 대다수 사이트[15]와 게임[16], p2p와 메신저[17]전부 터지면서 엄청난 혼란이 빚어졌고, 그나마 살아있던 디시인사이드, OP.GG, 인벤등의 커뮤니티에서는 실시간 보고와 상황 모니터가 잇따랐다. 또한 502 Bad Gateway가 네이버 실검 1위에 올랐다.

이후 클라우드플레어 애널리틱스 서버가 7월 2일 23시 45분부터 장애가 발생하더니 7월 3일 0시 23분에 서버가 마비되었다.#.

클라우드플레어측의 발표에 따르면 서버 오류당시 리전이 있는 모든 국가에 발생한 어마무시한 숫자의 중국발 DDoS 트래픽과는 이번 서버 다운과 연관이 없는 트래픽으로 단순히 내부에서의 실수에 의한 소프트웨어 버그 문제[18]로 일어난 사건이라고 한다. 다행히 우려되었던 중국의 전세계 대상 사이버 전쟁은 발발하지 않게 되었다.

비록 빠르게 복구되기는 했지만 그동안 많은 사이트들이 다운되면서 혼란이 빚어져 대형 서버 제공자가 마비되었을 경우에 대한 대비책이 필요해 보인다는 의견이 있다.

6. 사용하는 사이트


이외 수많은 전세계 사이트들이 사용하고있다

7. 기타

  • ISIL와 관련된 사이트에도 서비스를 제공하고 있어서 어나니머스에게 비난받았다. 사실 클라우드플레어를 이용하는 사이트가 수십만 개가 넘는데, IS 사이트를 모두 거른다는 건 말도 안 되는 일이다. 솔직히 말하면 해커들의 밥줄이 걸린 거라 뭐라도 덮어 씌우려는 일종의 언론 플레이라 봐도 무방할지 모른다. 클라우드 플레어에서는 디도스 방어와 해킹 보호 서비스들을 초보자들도 쓰기 쉽도록 매우 간단하게 제공하고 있기 때문에 쉽게 해킹되던 사이트라도 클라우드플레어 프로 버전의 방화벽을 쓰면 웬만한 취약점들은 전부 필터 된다.
  • 클라우드플레어를 사용하는 사이트는 실제 서버 아이피를 알 수 없게 되는데, 이를 알아내는 사이트를 이용하면 흔히 사용되는 서브도메인을 이용해서 실제 서버 아이피를 알아낼 수도 있다. 클라우드플레어 사용 시 서버 직접 접속을 위해 서브도메인을 추가한 경우에만 찾을 수 있으며 작정하고 아이피를 숨긴 경우 알아낼 수 없다.
  • 방송통신심의위원회에서 클라우드플레어 방식으로 접속되는 사이트를 주의깊게 관찰하고 있는 것으로 보인다. 2019년 제12차 통신심의소위원회 회의록에 따르면 한 심의위원이 "한 가지 여쭤보고 싶은 게 있는데, 지난번에도 본 것 같은데요. 이 일부 게시물은 클라우드플레어 접속 방식으로 확인되고 있다는 걸 명시를 하는데, 특별히 이렇게 밝히시는 이유가 있나요?"라고 묻자 담당자는 "클라우드 네트워킹을 사용해서 접속차단을 우회하는 방법이 있습니다. 그렇기 때문에…."라고 하고 있다. 그러자 "그거는 별도로 주의 깊게 봤다가 추후에 이제 좀 팔로우 하신다는 의미에서요?"라고 확인하고, "맞습니다."라고 대답하였다.
  • 2019년 9월 13일의 금요일 뉴욕증권거래소에 상장하였다. 테크 기반 기업이지만 특이하게도 나스닥에 상장하지 않았다. IPO 기준 가격은 주당 15 달러로 정해졌다. 상장 첫 날 18 달러로 첫 거래를 시작한 뒤, IPO 기준 가격에 비해 20%가 넘게 상승한 가격에 상당량의 주식이 거래되었다.[28] 적자 상태에서 상장하였기 때문에 우버나 Lyft처럼 상장후 주가 하락 우려가 있었으나, 첫 거래일 성과는 꽤 만족스러웠다고 볼 수 있다. 여담으로 ticker(종목코드) 이름이 무려 'NET'이라고 한다.[29] 아니 이 좋은 이름을 쓰는 기업이 아직까지 없었다고?


[1] 서울 데이터 센터의 코드는 ICN. 이는 인천국제공항의 IATA 코드로, 관습적으로 많은 클라우드 인프라 서비스가 데이터 센터의 코드로 해당 센터가 위치한 도시로부터 가장 가까운 국제공항의 IATA 코드를 사용한다. 데이터 센터의 위치와 공항의 위치와는 무관하다.[2] GCS푸른방송, NIB남인천방송 회선에서 1.1.1.1 사이트 접속이 안되는 문제가 있음.[3] 2606:4700:4700: 다음 꼭 :를 한번 더 추가 해 줘야 한다.[4] 약 50GB/s[5] 기사[6] https://blog.cloudflare.com/bandwidth-costs-around-the-world[7] 기사[8] 클라우드플레어 적용 사이트라면 클라우드플레어 IP가 뜬다.[9] 파일:external/p.imgone.xyz/1487948940958eac4.png[10] 파일:external/p.imgone.xyz/1487948964354aa87.png[11] 전 운영자 헤스트의 말에 따르면 개인정보가 노출되었을 가능성은 없다고 한다. 다만 수많은 사이트들이 노출된 관계로 타사이트에서 같은 계정 ID 및 비밀번호를 쓰고 있다면 바꾸는 것을 추천하고 있다#[12] 서버 종료.[13] 502 Bad Gateway로 서버가 폭주하는 등의 이유로 과부하되었을 경우, 사용자 브라우저에 이상이 있거나 네트워크가 잘못된 연결을 했을 경우 표시되는 에러이다.[14] 4chan, 5ch 같은 해외 유명 사이트들도 얄짤없이 터졌다.[15] 나무위키, 루리웹, 그 외 기타 수많은 사이트와 위키 등등.[16] 대표적으로 리그 오브 레전드[17] 텔레그램, 디스코드[18] 웹 방화벽 규칙을 새로 적용했는데 이게 잘못되어 CPU에 엄청난 부하를 주게 되었다고 한다.[19] 엔터프라이즈 플랜 사용중.[20] 엔터프라이즈 플랜 사용중.[21] 비즈니스 플랜 사용중[22] 2018년 7월 14일 기준 사용하지 않음.[23] 현재 다운로드 서버(dl.bgms.kr)와 플레이어 서버(player.bgmstore.net)에만 사용 중이고 그 외 서버에는 사용하지 않고 있다.[24] 현재는 사용하지 않는다.[25] 프로 플랜에서 프리 플랜으로 내렸다.[26] 2018년 7월 14일 기준 사용하지 않고 있다.[27] 게임 호스팅이 왜 가능하냐면 로그인할 때 Bancho 서버에 들어가기 때문에 가능하다.[28] https://www.cnbc.com/2019/09/13/cloudflare-stock-pops-20percent-in-first-day-of-trading.html[29] https://www.marketwatch.com/story/cloudflare-ipo-5-things-to-know-about-the-cloud-network-platform-2019-08-23