최근 수정 시각 : 2020-03-15 22:07:28

Cloudflare

파일:Cloudflare.png 파일:Cloudflare2.png
현재 로고 구 로고
공식 홈페이지 공식 블로그

1. 개요2. 상세3. 제공 서비스
3.1. DNS 서비스3.2. CDN 서비스3.3. 디도스 방어 서비스3.4. 1.1.1.1 DNS3.5. WARP and WARP+3.6. 이외
4. 한국에서의 망 이용료 관련 문제5. 사건 사고
5.1. CloudBleed
5.1.1. 해당 취약점에 노출 되었을 수 있는 유명 사이트
5.1.1.1. 해외5.1.1.2. 한국내
5.2. 2019년 7월 서버 다운 사건
6. 사용하는 사이트7. 기타

1. 개요

미국 소재의 CDN 서비스와 DNS 서비스를 제공하는 기업. 본사는 미국 샌프란시스코에 있다.

현재 나무위키가 사용하고 있는 CDN 서비스가 바로 클라우드플레어이다. 나무위키는 클라우드플레어의 엔터프라이즈 플랜을 사용하고 있다.

2. 상세

2019년 10월 기준으로 대한민국 서울[1]을 포함한 194곳의 데이터 센터가 존재한다.(목록)

프리 플랜, 프로 플랜, 비즈니스 플랜, 엔터프라이즈 플랜이 있으며, 프리 플랜은 무료로 이용 가능하다.

클라우드플레어의 서비스는 전세계를 대상으로 서비스를 제공하는 곳이거나 DDoS 공격을 자주 받는 곳이라면 거의 필수로 사용하며, 그 사이트의 수는 수십만개가 넘는다. 따라서 주된 공격을 받기도 하며 이를 최전선에서 방어하고 있다. 워낙 공격을 많이받아 수시로 경로가 재지정되는 일이 흔하며, 상태페이지를 통해 서버 상태를 확인할 수 있다.

3. 제공 서비스

3.1. DNS 서비스

DNS 서비스는 클라우드플레어의 핵심이라고 할 수 있는데, 사용하기 위해서는 DNS 서버 설정이 클라우드플레어로 되어있어야 한다.

3.2. CDN 서비스

서울을 포함한 전세계 곳곳에 흩어져있는 캐시 서버를 이용해서 CDN 서비스를 제공하고 계약 플랜별로 제약이 따른다. #support

3.3. 디도스 방어 서비스

클라우드플레어는 모든 플랜에서 디도스 방어 서비스를 제공한다. 한국 기준으로 디도스 방어 서비스를 이용하려면 월 50만원은 기본으로 깨지는 것에 비해서 엄청나게 저렴한 가격으로 디도스 방어 서비스를 이용할 수 있다. 하지만, 한국에서는 아래에서 후술할 문제로 인해 사실상 무용지물.

3.4. 1.1.1.1 DNS

1.1.1.1 DNS 서비스는 Cloudflare의 공개 DNS 서비스로, 2018년 4월 1일에 시작되었다. 이에 대한 자세한 내용은 홈페이지인 https://1.1.1.1/에서 확인할 수 있다.[2]

Cloudflare DNS의 전 세계 평균 응답 시간은 14ms로 OpenDNS의 24ms, 구글 DNS의 30ms보다 빨라 현재 전 세계에서 가장 빠른 DNS 서버로 평가된다. 한국 접속자의 경우에는 서울의 Cloudflare 서버를 통해 DNS쿼리를 받으므로 5ms 밖에 안걸린다. 또한 DNS-over-TLS와 DNS-over-HTTPS를 지원하며, 이번 HTTPS 지원으로 더 많은 운영체제와 브라우저에서 HTTPS를 지원할 것이라고 한다.

클라우드플레어는 "인터넷상에서 가장 빠르고 프라이버시를 우선으로 하는 DNS 서비스"임을 강조했다. 이미 OpenDNS나 구글 DNS 같은 공개 DNS 서비스가 여럿 나와 있지만 클라우드플레어는 모든 DNS 쿼리 로그를 24시간 이내 와이핑(wiping)하여 프라이버시에 중점을 두고 있다고 한다.

IPv4 의 경우 DNS 를 1.1.1.1 과 1.0.0.1을, IPv6 의 경우 DNS 를 2606:4700:4700::1111 과 2606:4700:4700::1001을 입력해주면 된다.[3]공홈 안내페이지

iOS, Android 전용 앱을 설치하여 간편하게 설정할 수도 있다.

SNI 필드 차단을 우회하려고 설치했다면 설정->고급에서 터널 타입을 풀 터널로 바꿔보자.

안드로이드 9.0 파이부터는 루팅없이 직접 프라이빗 DNS 설정이 가능하며 기종마다 조금씩 메뉴가 다를 수는 있느나 설정 - 네트워크 - 프라이빗 DNS로 들어가서 1dot1dot1dot1.cloudflare-dns.com을 적고 확인을 누르면 1.1.1.1 DNS를 이용할 수 있다.#

3.5. WARP and WARP+

안드로이드iOS에서 1.1.1.1 앱을 이용하여 1.1.1.1 with WARP(무료) 혹은 1.1.1.1 with WARP+(유료) VPN 서비스를 이용할 수 있다.

WireGuard 프로토콜을 이용하여 가장 가까운 클라우드플레어 서버(한국의 경우 ICN)까지 암호화 통신을 하고 클라우드플레어 서버에서 대신 통신하는 방식이다.[4] 단 국가별 서비스를 위해 특정 사이트에 접속시 사용자의 IP 주소를 함께 보낸다.[5]
Warp VPN을 사용하면 나무위키와 같은 클라우드플레어를 사용하는 사이트와 해외에 캐시 서버가 있는 사이트를 빠르게 접속할 수 있다. 해외망이 부족한 ISP를 사용중인 경우 해외망 속도가 상당히 빨라진다.

유로로 Warp+ 서비스를 이용하면 자사의 Argo 네트워크를 이용하여 목적지 서버와 가장 가까운 클라우드플레어 서버에 접속하고 그 서버에서 목적지 서버로 통신한다.

Microsoft WindowsmacOS에서도 WireGuard 설치를 하여 1.1.1.1 with WARP를 사용할 수 있다.
데스크탑에서 1.1.1.1 with WARP 구성 방법
1. WireGuard 설치 페이지에 접속하여 사용자 OS 환경에 맞는 파일을 내려받고 설치를 한다.
2. WireGuard를 실행을 하고, Add Tunnel 옆의 (+ 혹은 ▼) 버튼 클릭 후, Add empty tunnel를 클릭한다.
3. 새 터널 생성 창이 뜬 후, Public Key와 Private Key를 복사해 둔다.
4. wgcf.py로 접속하여, 코드 전체를 복사를 한 후, https://repl.it/languages/python3으로 가서 main.py에 복사된 코드를 붙여 넣고 Run 버튼을 클릭한다.
5. 코드 편집기 우측의 실행 화면에서 복사한 private key와 public key를 차례로 넣어주게되면 wgcf-profile.conf가 생성되는 것을 코드 편집기 좌측 File 탐색 목록에서 볼 수 있을 것이다.
6. wgcf-profile.conf를 클릭하여 코드 편집기에서 전체 복사를 한 후, 새 터널 생성 창에 붙여넣어 주고 저장 버튼을 클릭한다.
7. 마지막으로 Activate를 눌러주면 1.1.1.1 WARP에 접속이 된다.

3.6. 이외

SSL, Always Online™, Cloudflare Railgun™ 등을 제공한다.

SSL 서비스DNS 설정에서 클라우드플레어 CDN 기능을 사용하도록 한 경우에만 사용할 수 있는데, 놀랍게도 프리 플랜에서부터 사용이 가능하다. 복잡하게 SSL 인증서를 발급받을 필요 없이 클릭 몇 번만 해 주면 사용이 가능하다. 프리 플랜의 경우 설정 후 24시간을 기다려주면 범용 SSL 사용이 가능하며, 프로 플랜 이상의 경우 설정 즉시 일반 SSL을 사용할 수 있다. 나무위키는 프리 플랜을 사용하여 한동안 인증서 관련 이슈가 있었지만 이후 프로 플랜으로 전환하여 그 문제는 해결된 상태다. OpenSSL로 Self-Signed 인증서로 HTTPS 서버 구축하니 COMODO Multi-Domain 인증서가 되는 마술 또한 HTTP/2를 기본 지원한다.

범용 SSL은 Windows XP와 브라우저에서 작동하지 않는다는 문제점이 있었다. 해당하는 OS와 브라우저가 모두 지원 중단됨에 따라 중요한 문제는 아니게 되었다.

주의할 점이 있는데, SSL 설정이 Flexible(유동)일 경우 클라이언트와 Cloudflare 사이의 연결은 암호화되나, Cloudflare와 원본 서버 사이의 연결은 암호화되지 않으므로 큰 주의가 필요하다. 도청방지를 위한 연결 암호화는 SSL의 중요 기능인데 이는 심한 결함이다. NSA가 구글의 암호화되지 않은 데이터 센터 간 네트워크를 도청한 사실도 있고 연결 암호화는 중요하다. 게다가 사용자에겐 안전하다는 착각을 심어주므로 이 기능을 싫어하는 보안 전문가도 적지 않다.

Always Online™ 서비스는 서버내려간 경우에도 클라우드플레어 CDN 서버에 저장된 캐싱된 내용을 그대로 보여준다. 프리 플랜에서는 일주일에 한 번 캐싱, 프로 플랜에서는 3일에 한번 캐싱, 비즈니스 플랜부터는 매일 캐싱한다. 2015년 리그베다 위키 사유화 사태로 리그베다 위키의 서버가 내려갔지만, FrontPage 등 일부 페이지에 접근이 가능했던 이유도 이 기술 덕분이다.

Cloudflare Railgun™ 서비스는 비즈니스 플랜부터 사용 가능하며 캐시 할 수 없는 데이터를 서버로부터 클라우드플레어 CDN 네트워크까지 최대 99.6% 압축하여 전송하는 기술이다. 비즈니스 플랜을 구입하거나, 사용 중인 호스팅 회사가 클라우드플레어와 파트너십을 맺은 경우 사용할 수 있다. 다만 이 서비스를 제대로 활용하기 위해서는 서버에 세팅 작업이 필요하다.

DDoS 방어 솔루션도 지원하고 있는데 효과는 매우 탁월한 편이다. 실제 프랑스의 한 웹사이트에서 400Gbps[6]가 넘는 초대형 디도스 공격을 받았는데, 이를 Cloudflare에서 성공적으로 방어하였다. 솔루션 적용 시 의심되는 연결에 대해서 해당 연결이 악의적인 연결인지 아닌지 5초간의 딜레이를 넣어 판단한다.

이외에도 여러 가지 웹 최적화 기술이 있는데, 그냥 다른 DNS 쓰듯이 클라우드 플레어 서버에 똑같이 연결만 해주면 클라우드 서버에서 전부 알아서 해준다. 예를 들어 따로 서버에 추가적인 작업을 하지 않아도 Minify를 시켜준다거나, Mirage라는 기술은 Pro 플랜부터 사용 가능한 대신 유저의 기기에 맞춰 해상도에 맞는 이미지를 알아서 리사이징 해 가져다준다.

4. 한국에서의 망 이용료 관련 문제

서울 지점이 있음에도 불구하고 Free, Pro 플랜에서는 서울 지점을 사용할 수 없다. 서버가 한국에 있어도 서울 지점이 아닌 외국 지점을 거쳐서 서버로 통신하기 때문에 더 느리다.

이와 관련해서 고객센터에 문의하면 Business 플랜 이상으로 올리라고 답한다. 클라우드플레어측은 미래창조과학부박근혜 정부 시절 상호접속고시를 개악해서 망 사용료가 늘어나자 어쩔 수 없다는 입장이다.

아시아의 트래픽 요금은 다른 지역보다 월등히 비싸다.[7] 그중 한국과 대만이 유럽에 비해 15배 이상 트랜짓 요금이 높다. 게다가 한국은 그 비싼 요금이 계속 오르고 있는 세계에서 유일한 나라다.[8] 이 부분에 대해 자세한 설명은 망 이용료 문서 참고.[9]
이메일 답변 내용:
We recently made some changes to our network routing that has effected how traffic is served for some of our Free and Pro customers. On our Free or Pro plans, we serve you locally with any ISP that interconnects with us, but not necessarily for traffic accessed only via an ISP that does not peer with us. ㅡ If some of your traffic is being served to users at ISPs that do not peer with us, there is a good chance it may be served from non-local routes. Despite being closer to one particular PoP you might find that your traffic is flowing through another one located further away. While performance for some of these customers may be reduced at times, all other Cloudflare benefits will work the same. ㅡ You can read more about this on our blog: The relative cost of bandwidth around the world ㅡ If you want to make sure you retain access to all Cloudflare transit providers worldwide, please upgrade to our Business or Enterprise Plan in your Cloudflare dashboard, under the Overview section.
블로그 내용:
South Korea is perhaps the only country in the world where bandwidth costs are going up. This may be driven by new regulations from the Ministry of Science, ICT and Future Planning, which mandate the commercial terms of domestic interconnection, based on predetermined “Tiers” of participating networks. This is contrary to the model in most parts of the world, where networks self-regulate, and often peer without settlement. The government even prescribes the rate at which prices should decrease per year (-7.5%), which is significantly slower than the annual drop in unit bandwidth costs elsewhere in the world. We are only able to peer 2% of our traffic in South Korea.
아마 대한민국은 대역폭 비용이 오르는 유일한 나라일 것입니다. 이는 미래창조과학부가 만든 "티어"에 따라 상호 접속 협상을 규제하는 법안 때문입니다. 이것은 네트워크가 스스로-규제되고 심지어 협의 없이도 피어링하는 전 세계의 흐름과는 상반되는 것입니다. 정부는 심지어 매년 가격 하향요율을 정해놓고 있는데(-7.5%), 이렇게 느리게 가격이 내려가는 나라는 전세계 어디에도 없습니다. 우리는 대한민국의 2%와만 피어링할 수 있었습니다.

국내 호스팅의 경우 대부분 해외 트래픽을 차단하거나 매우 적게 주므로, 클라우드플레어를 사용하게 되면 모든 트래픽이 해외 트래픽으로 통신하게 되고 호스팅 정지나 추가 요금이 엄청나게 부과될 수 있으니 주의를 요한다.

사이트가 클라우드플레어를 사용하고있다면, 주소 끝에 cdn-cgi/trace를 덧붙여서 어느 서버를 경유하고있는지 확인할 수 있다. 크롬 브라우저를 사용중인 경우 Claire 확장 프로그램을 설치하면 현재 연결중인 서버의 IP,[10] 연결한 서버의 ID, 연결한 서버의 위치를 알 수 있다.

1.1.1.1 DNS의 경우에는 무조건 서울 서버로 연결된다.

2018년 이후 일반 사용자도 NRT로 배정해주고. AWS (서울리전) + CDN-NRT 조합이면 절대 느리지 않다. 클라우드플레어 엣지는 이용자의 통신사별로 다 다르다. KT의 경우는 KIX로 접속되는 상황. 일본 엣지로만 접속된다면, 일본에 있는 서버 호스팅을 이용한다면 충분히 속도상에서도 불편함이 없다. 굳이 한국 리전에서 다만 통신사의 해외 트래픽이 몰리는 특정한 상황(iOS 업데이트, 저녁 시간대)등에는 접속이 여전히 느릴 수 있다.

5. 사건 사고

5.1. CloudBleed

2017년 2월 구글 프로젝트 제로에서 엄청난 보안 취약점을 발표했다. 2016년 9월 22일부터 HTML 파서의 버그로 클라를 바라보는 엣지 서버의 메모리가 덤프 될 수 있었다. 물론 사이트에서 제어가 불가능하다. 구글 측에서 크롤링하다 문제를 발견했고 "현재" 캐싱된 메모리 덤프는 검색엔진들과 협의해서 지운 상태이다. 즉, 간단하게 2016년 9월 22일부터 Cloudflare를 사용한 모든 웹사이트의 비밀정보가 다 새어나간 중대 사건이 터졌다(...)

이 글을 읽고 있는 위키러라면 Cloudflare를 사용하는 사이트에서의 비밀번호를 즉시 바꾸는 것을 추천한다. 정확하게는 3,400여 개의 사이트가 이번 취약점에 노출되었는데, 노출서버는 물론 같은 엣지 서버를 사용하는 사이트도 영향받기 때문에 정확한 위험 범위를 추정할 수 없다. ## 해당하는 사이트 목록을 작성하는 Github 프로젝트도 생성되었다. ## 가입한 사이트가 있다면 즉시 들어가 비밀번호를 바꿔주자. 이미 비밀번호가 털렸다고 상정하고 행동하는 것이 좋다.

5.1.1. 해당 취약점에 노출 되었을 수 있는 유명 사이트

취약점 노출 사이트 공유 프로젝트에서 10,000개 이상의 사이트를 확인할 수 있다.
5.1.1.1. 해외
5.1.1.2. 한국내

5.2. 2019년 7월 서버 다운 사건

클라우드플레어 공식 사건일지 정리글

2019년 7월 2일 22시 47분경(이하 한국시각) 일시적으로 터지는 사건이 발생했다. 같은날 22시 52분에 인지하고, 약 22~23분뒤인 23시 15분에 문제에 대한 해결책을 구현했다고 공지됐으며 실제로 거의 대부분의 서비스가 정상화되었다.[14]

클라우드플레어 서비스를 사용하는 모든 사이트의 서버가 먹통이 되었다.[15] 한국에서는 인기 있는 대다수 사이트[16]와 게임[17], p2p와 메신저[18]전부 터지면서 엄청난 혼란이 빚어졌고, 그나마 살아있던 디시인사이드, OP.GG, 인벤등의 커뮤니티에서는 실시간 보고와 상황 모니터가 잇따랐다. 또한 502 Bad Gateway가 네이버 실검 1위에 올랐다.

이후 클라우드플레어 애널리틱스 서버가 7월 2일 23시 45분부터 장애가 발생하더니 7월 3일 0시 23분에 서버가 마비되었다.#.

클라우드플레어측의 발표에 따르면 서버 오류당시 리전이 있는 모든 국가에 발생한 어마무시한 숫자의 중국발 DDoS 트래픽과는 이번 서버 다운과 연관이 없는 트래픽으로 단순히 내부에서의 실수에 의한 소프트웨어 버그 문제[19]로 일어난 사건이라고 한다. 다행히 우려되었던 중국의 전세계 대상 사이버 전쟁은 발발하지 않게 되었다.

빠르게 복구되기는 했지만 많은 사이트가 마비되어 혼란이 컸다. 인터넷 환경에 이번처럼 대형 서버 제공자가 마비되었을 경우에 대한 대비책이 필요해 보인다는 의견이 있다.

6. 사용하는 사이트


이외 수많은 전세계 사이트가 사용하고있다

7. 기타

  • 이슬람국가ISIL와 관련된 사이트에도 서비스를 제공하고 있어서 익명 해커조직 어나니머스에게 비난받았다. 그러나 클라우드플레어를 이용하는 사이트가 수십만 개가 넘는데, IS 사이트를 모두 찾아 막기는 어려울 것이다. 망중립성을 해치고 기업이 망을 임의로 검열한다는 면에서도 문제가 있다. 클라우드 플레어가 고객 사이트를 보호해 해킹이 어려워지는 데 대한 일종의 언론 플레이일지도 모른다. 클라우드 플레어에서는 디도스 방어와 해킹 보호 서비스를 초보자도 쓰기 쉽도록 매우 간단하게 제공하고 있기 때문에 쉽게 해킹되던 사이트라도 클라우드플레어 프로 버전의 방화벽을 쓰면 웬만한 취약점은 전부 방어된다.
  • 클라우드플레어를 사용하는 사이트는 실제 서버 아이피를 알 수 없게 되는데, 이를 알아내는 사이트를 이용하면 흔히 사용되는 서브도메인을 이용해서 실제 서버 아이피를 알아낼 수도 있다. 클라우드플레어 사용 시 서버 직접 접속을 위해 서브도메인을 추가한 경우에만 찾을 수 있으며 작정하고 아이피를 숨긴 경우 알아낼 수 없다.
  • 방송통신심의위원회에서 클라우드플레어 방식으로 접속되는 사이트를 주의깊게 관찰하고 있는 것으로 보인다. 2019년 제12차 통신심의소위원회 회의록에 따르면 한 심의위원이 "한 가지 여쭤보고 싶은 게 있는데, 지난번에도 본 것 같은데요. 이 일부 게시물은 클라우드플레어 접속 방식으로 확인되고 있다는 걸 명시를 하는데, 특별히 이렇게 밝히시는 이유가 있나요?"라고 묻자 담당자는 "클라우드 네트워킹을 사용해서 접속차단을 우회하는 방법이 있습니다. 그렇기 때문에…."라고 하고 있다. 그러자 "그거는 별도로 주의 깊게 봤다가 추후에 이제 좀 팔로우 하신다는 의미에서요?"라고 확인하고, "맞습니다."라고 대답하였다.
  • 2019년 9월 13일의 금요일 뉴욕증권거래소에 상장하였다. 테크 기반 기업이지만 특이하게도 나스닥에 상장하지 않았다. IPO 기준 가격은 주당 15 달러로 정해졌다. 상장 첫 날 18 달러로 첫 거래를 시작한 뒤, IPO 기준 가격에 비해 20%가 넘게 상승한 가격에 상당량의 주식이 거래되었다.[29] 적자 상태에서 상장하였기 때문에 우버나 Lyft처럼 상장후 주가 하락 우려가 있었으나, 첫 거래일 성과는 꽤 만족스러웠다고 볼 수 있다. 여담으로 ticker(종목코드) 이름이 무려 'NET'이라고 한다.[30] 아니 이 좋은 이름을 쓰는 기업이 아직까지 없었다고?


[1] 서울 데이터 센터의 코드는 ICN. 이는 인천국제공항의 IATA 코드로, 관습적으로 많은 클라우드 인프라 서비스가 데이터 센터의 코드로 해당 센터가 위치한 도시로부터 가장 가까운 국제공항의 IATA 코드를 사용한다. 데이터 센터의 위치와 공항의 위치와는 무관하다.[2] GCS푸른방송, NIB남인천방송 회선에서 1.1.1.1 사이트 접속이 안되는 문제가 있음.[3] 2606:4700:4700: 다음 꼭 :를 한번 더 추가 해 줘야 한다.[4] 물론 SNI감청도 우회가능하다.[5] 타 VPN과는 달리 IP 주소를 숨길 수 없다.[6] 약 50GB/s[7] 기사[8] https://blog.cloudflare.com/bandwidth-costs-around-the-world[9] 기사[10] 클라우드플레어 적용 사이트라면 클라우드플레어 IP가 뜬다.[11] 파일:external/p.imgone.xyz/1487948940958eac4.png[12] 파일:external/p.imgone.xyz/1487948964354aa87.png[13] 전 운영자 헤스트의 말에 따르면 개인정보가 노출되었을 가능성은 없다고 한다. 이후 서비스 종료로 영원히 안전하게 되었다...[14] 502 Bad Gateway로 서버가 폭주하는 등의 이유로 과부하되었을 경우, 사용자 브라우저에 이상이 있거나 네트워크가 잘못된 연결을 했을 경우 표시되는 에러이다.[15] 4chan, 5ch 같은 해외 유명 사이트도 얄짤없이 터졌다.[16] 나무위키, 루리웹, 그 외 기타 수많은 사이트와 위키 등등.[17] 대표적으로 리그 오브 레전드[18] 텔레그램, 디스코드[19] 웹 방화벽 규칙을 새로 적용했는데 이게 잘못되어 CPU에 엄청난 부하를 주게 되었다고 한다.[20] 엔터프라이즈 플랜 사용중.[21] 엔터프라이즈 플랜 사용중.[22] 비즈니스 플랜 사용중[23] 2018년 7월 14일 기준 사용하지 않음.[24] 현재 다운로드 서버(dl.bgms.kr)와 플레이어 서버(player.bgmstore.net)에만 사용 중이고 그 외 서버에는 사용하지 않고 있다.[25] 현재는 사용하지 않는다.[26] 프로 플랜에서 프리 플랜으로 내렸다.[27] 2018년 7월 14일 기준 사용하지 않고 있다.[28] 게임 호스팅이 왜 가능하냐면 로그인할 때 Bancho 서버에 들어가기 때문에 가능하다.[29] https://www.cnbc.com/2019/09/13/cloudflare-stock-pops-20percent-in-first-day-of-trading.html[30] https://www.marketwatch.com/story/cloudflare-ipo-5-things-to-know-about-the-cloud-network-platform-2019-08-23