Cloudflare
[clearfix]
1. 개요
미국 소재의 CDN 서비스와 DNS 서비스를 제공하는 기업. 본사는 미국 샌프란시스코에 있다.
2020년 기준 전 세계 웹사이트 '''10개 중 1개'''가 클라우드플레어의 리버스 프록시서비스와 DNS 서버를 사용할 정도로 인터넷업계에서 최강자중 하나로 자리를 잡았다.
나무위키가 사용하고 있는 CDN 서비스가 바로 클라우드플레어이며 엔터프라이즈 플랜을 사용하고 있다.
2. 상세
2019년 10월 기준으로 대한민국 서울[1] 을 포함한 194곳의 데이터 센터가 존재한다.(목록)
프리 플랜, 프로 플랜, 비즈니스 플랜, 엔터프라이즈 플랜이 있으며, 프리 플랜은 무료로 이용 가능하다.
클라우드플레어의 서비스는 전세계를 대상으로 서비스를 제공하는 곳이거나 DDoS 공격을 자주 받는 곳이라면 거의 필수로 사용하며, 그 사이트의 수는 수십만개가 넘는다. 따라서 주된 공격을 받기도 하며 이를 최전선에서 방어하고 있다. 워낙 공격을 많이 받아 수시로 경로가 재지정되는 일이 흔하며, Cloudflare 상태 페이지를 통해 각 리전에 있는 서버 상태를 확인할 수 있다.
3. 제공 서비스
3.1. DNS 서비스
DNS 서비스는 클라우드플레어의 핵심이라고 할 수 있는데, 사용하기 위해서는 DNS 서버 설정이 클라우드플레어로 되어있어야 한다.
3.2. CDN 서비스
서울을 포함한 전세계 곳곳에 흩어져있는 캐시 서버를 이용해서 CDN 서비스를 제공하고 계약 플랜별로 제약이 따른다. #support
3.3. 디도스 방어 서비스
클라우드플레어는 모든 플랜에서 '''웹''' 디도스 방어 서비스를 제공한다. 한국 기준으로 디도스 방어 서비스를 이용하려면 월 50만원은 기본으로 깨지는 것에 비해서 엄청나게 저렴한 가격으로 디도스 방어 서비스를 이용할 수 있다. 하지만, 한국에서는 아래에서 후술할 문제로 인해 사실상 무용지물.
3.4. 1.1.1.1 DNS
1.1.1.1 DNS 서비스는 Cloudflare의 공개 DNS 서비스로, 2018년 4월 1일에 시작되었다. 이에 대한 자세한 내용은 홈페이지인 https://1.1.1.1/에서 확인할 수 있다. GCS푸른방송, NIB남인천방송 회선에서 1.1.1.1 사이트 접속이 안되는 문제가 있다. 그럴땐 https://one.one.one.one로 연결하면 된다.
Cloudflare DNS의 전 세계 평균 응답 시간은 14ms로 OpenDNS의 24ms, 구글 DNS의 30ms보다 빨라 현재 전 세계에서 가장 빠른 DNS 서버로 평가된다. 한국 접속자의 경우에는 서울의 Cloudflare 서버를 통해 DNS쿼리를 받으므로 5ms 밖에 안걸린다. 또한 DNS-over-TLS와 DNS-over-HTTPS를 지원하며, 이번 HTTPS 지원으로 더 많은 운영체제와 브라우저에서 HTTPS를 지원할 것이라고 한다.
클라우드플레어는 "인터넷상에서 가장 빠르고 프라이버시를 우선으로 하는 DNS 서비스"임을 강조했다. 이미 OpenDNS나 구글 DNS 같은 공개 DNS 서비스가 여럿 나와 있지만 클라우드플레어는 모든 DNS 쿼리 로그를 25시간 이내 와이핑(wiping)하여 프라이버시에 중점을 두고 있다고 한다.
IPv4의 경우 DNS를 '''1.1.1.1'''과 '''1.0.0.1'''을, IPv6의 경우 DNS를 '''2606:4700:4700::1111'''과 '''2606:4700:4700::1001'''을 입력해주면 된다. 공홈 안내페이지
iOS, Android 전용 앱을 설치하여 간편하게 설정할 수도 있다.
SNI 필드 차단을 우회하려고 설치했다면 설정->고급에서 터널 타입을 풀 터널로 바꿔보자.
'''안드로이드 9.0 파이'''부터는 루팅없이 직접 프라이빗 DNS 설정이 가능하며 기종마다 조금씩 메뉴가 다를 수는 있느나 '''설정 - 네트워크 - 프라이빗 DNS'''로 들어가서 '''1dot1dot1dot1.cloudflare-dns.com'''을 적고 확인을 누르면 1.1.1.1 DNS를 이용할 수 있다.#
1.1.1.1이 작동하는지는 이 사이트에서 확인할 수 있다.
3.4.1. WARP and WARP+
안드로이드나 iOS에서 1.1.1.1 앱을 이용하여 '''1.1.1.1 with WARP'''(무료) 혹은 '''1.1.1.1 with WARP+'''(유료) VPN 서비스를 이용할 수 있다.
2020년 4월 1일 Cloudflare 블로그 게시글에서 공식 WARP 데스크탑 앱 베타 버전을 발표하였다.
WireGuard 프로토콜을 이용하여 [2] 클라우드플레어 서버까지 암호화 통신을 하고 클라우드플레어 서버에서 대신 통신하는 방식이다.[3] 단 국가별 서비스를 위해 특정 사이트에 접속시 사용자의 IP 주소를 함께 보낸다.[4]
Warp VPN을 사용하면 나무위키와 같은 클라우드플레어를 사용하는 사이트와 해외에 캐시 서버가 있는 사이트를 빠르게 접속할 수 있다. 해외망이 부족한 ISP를 사용중인 경우 해외망 속도가 상당히 빨라진다.
유료로 Warp+ 서비스를 이용하면 자사의 Argo 네트워크를 이용하여 목적지 서버와 가장 가까운 클라우드플레어 서버에 접속하고 그 서버에서 목적지 서버로 통신한다. 앱 설치 후 무료로 1GB체험을 주는 링크를 누르고 플레이 스토어와 스토어 서비스를 지우면 결제하지 않고 무제한으로 warp+를 사용 가능한 버그가 있다
2020년 12월 중순 이후로 한국에서 WARP와 WARP+로 VPN 접속 시 코로케이션 지역이 가장 가까운 도시인 ICN(서울)로 정상적으로 연결이 되며, 웹 서핑 속도도 빨라졌다. WARP와 WARP+ 두 모드의 인터넷 속도 차이가 뚜렷하게 나타난다.
2020년 2월 이후로 다시 ICN으로 접속할 수 없게 됐다.
Windows, Mac 클라이언트 정식 버전은 계속 개발 중이고, 2020년 8월 6일에 Cloudflare Warp for Desktop 베타 버전이 공개 되었다. 링크에 접속을 하여 자신에 맞는 운영체제 설치 프로그램을 내려 받은 후 설치하면 된다.
3.5. 인터넷 속도 측정
Cloudflare 속도 측정
Cloudflare의 공식 속도 측정 서비스로, 전세계 200개 도시에 서버가 있기 때문에 더 정확한 속도 측정이 가능하다.
3.6. 이외
SSL, Always Online™, Cloudflare Railgun™ 등을 제공한다.
SSL 서비스는 DNS 설정에서 클라우드플레어 CDN 기능을 사용하도록 한 경우에만 사용할 수 있는데, 놀랍게도 '''프리 플랜'''에서부터 사용이 가능하다. 복잡하게 SSL 인증서를 발급받을 필요 없이 클릭 몇 번만 해 주면 사용이 가능하다. 프리 플랜의 경우 설정 후 24시간을 기다려주면 범용 SSL 사용이 가능하며, 프로 플랜 이상의 경우 설정 즉시 일반 SSL을 사용할 수 있다. 나무위키는 프리 플랜을 사용하여 한동안 인증서 관련 이슈가 있었지만 이후 프로 플랜으로 전환하여 그 문제는 해결된 상태다. 또한 HTTP/2를 기본 지원한다.
범용 SSL은 Windows XP와 브라우저에서 작동하지 않는다는 문제점이 있었다. 해당하는 OS와 브라우저가 모두 지원 중단됨에 따라 중요한 문제는 아니게 되었다.
주의할 점이 있는데, SSL 설정이 Flexible(유동)일 경우 클라이언트와 Cloudflare 사이의 연결은 암호화되나, Cloudflare와 원본 서버 사이의 연결은 '''암호화되지 않으므로''' 큰 주의가 필요하다. 도청방지를 위한 연결 암호화는 SSL의 중요 기능인데 이는 심한 결함이다. NSA가 구글의 암호화되지 않은 데이터 센터 간 네트워크를 도청한 사실도 있고 연결 암호화는 중요하다. 게다가 사용자에겐 안전하다는 착각을 심어주므로 이 기능을 싫어하는 보안 전문가도 적지 않다.
Always Online™ 서비스는 서버#s-1가 내려간 경우에도 클라우드플레어 CDN 서버#s-1에 저장된 캐싱된 내용을 그대로 보여준다. 프리 플랜에서는 일주일에 한 번 캐싱, 프로 플랜에서는 3일에 한번 캐싱, 비즈니스 플랜부터는 매일 캐싱한다. 2015년 리그베다 위키 사유화 사태로 리그베다 위키의 서버가 내려갔지만, FrontPage 등 일부 페이지에 접근이 가능했던 이유도 이 기술 덕분이다.
Cloudflare Railgun™ 서비스는 비즈니스 플랜부터 사용 가능하며 캐시 할 수 없는 데이터를 서버로부터 클라우드플레어 CDN 네트워크까지 '''최대 99.6%''' 압축하여 전송하는 기술이다. 비즈니스 플랜을 구입하거나, 사용 중인 호스팅 회사가 클라우드플레어와 파트너십을 맺은 경우 사용할 수 있다. 다만 이 서비스를 제대로 활용하기 위해서는 서버에 세팅 작업이 필요하다.
DDoS 방어 솔루션도 지원하고 있는데 효과는 매우 탁월한 편이다. 실제 프랑스의 한 웹사이트에서 400Gbps[5] 가 넘는 초대형 디도스 공격을 받았는데, 이를 Cloudflare에서 성공적으로 방어하였다. 솔루션 적용 시 의심되는 연결에 대해서 해당 연결이 악의적인 연결인지 아닌지 5초간의 딜레이를 넣어 판단한다.
이외에도 여러 가지 웹 최적화 기술이 있는데, 그냥 다른 DNS 쓰듯이 클라우드 플레어 서버에 똑같이 연결만 해주면 클라우드 서버에서 전부 알아서 해준다. 예를 들어 따로 서버에 추가적인 작업을 하지 않아도 Minify를 시켜준다거나, Mirage라는 기술은 Pro 플랜부터 사용 가능한 대신 유저의 기기에 맞춰 해상도에 맞는 이미지를 알아서 리사이징 해 가져다준다.
4. 한국에서의 망 이용료 관련 문제
서울 지점이 있음에도 불구하고 Free, Pro, Business 플랜에서는 서울 지점(ICN)을 사용할 수 없다. 서버가 한국에 있어도 서울 지점이 아닌 외국 지점을 거쳐서 서버로 통신하기 때문에 전반적인 사이트 속도가 매우 느려진다.
이와 관련해서 고객센터에 문의하면 '''Enterprise 플랜으로 올리라'''고 답한다. 클라우드플레어측은 미래창조과학부가 박근혜 정부 시절 상호접속고시를 개악해서 망 사용료가 늘어나자 어쩔 수 없다는 입장이다.
아시아의 트래픽 요금은 다른 지역보다 월등히 비싸다.(기사) 그중 '''한국과 대만이 유럽에 비해 15배 이상 트랜짓 요금이 높다.''' 게다가 한국은 그 비싼 요금이 계속 오르고 있는 세계에서 유일한 나라다.(출처) 이 부분에 대해 자세한 설명은 망 이용료 문서 참고.(기사)
이메일 답변 내용:
We recently made some changes to our network routing that has effected how traffic is served for some of our Free and Pro customers. On our Free or Pro plans, we serve you locally with any ISP that interconnects with us, but not necessarily for traffic accessed only via an ISP that does not peer with us. ㅡ If some of your traffic is being served to users at ISPs that do not peer with us, there is a good chance it may be served from non-local routes. Despite being closer to one particular PoP you might find that your traffic is flowing through another one located further away. While performance for some of these customers may be reduced at times, all other Cloudflare benefits will work the same. ㅡ You can read more about this on our blog: The relative cost of bandwidth around the world ㅡ If you want to make sure you retain access to all Cloudflare transit providers worldwide, '''please upgrade to our Business or Enterprise Plan in your Cloudflare dashboard''', under the Overview section.
블로그 내용:
South Korea is perhaps the only country in the world where bandwidth costs are going up. This may be driven by new regulations from the Ministry of Science, ICT and Future Planning, which mandate the commercial terms of domestic interconnection, based on predetermined “Tiers” of participating networks. This is contrary to the model in most parts of the world, where networks self-regulate, and often peer without settlement. The government even prescribes the rate at which prices should decrease per year (-7.5%), which is significantly slower than the annual drop in unit bandwidth costs elsewhere in the world. We are only able to peer 2% of our traffic in South Korea.
국내 호스팅의 경우 대부분 해외 트래픽을 차단하거나 매우 적게 주므로, 클라우드플레어를 사용하게 되면 모든 트래픽이 해외 트래픽으로 통신하게 되고 호스팅 정지나 추가 요금이 엄청나게 부과될 수 있으니 주의를 요한다.아마 대한민국은 대역폭 비용이 오르는 유일한 나라일 것입니다. 이는 미래창조과학부가 만든 "티어"에 따라 상호 접속 협상을 규제하는 법안 때문입니다. 이것은 네트워크가 스스로 규제되고 심지어 협의 없이도 피어링하는 전 세계의 흐름과는 상반되는 것입니다. 정부는 심지어 매년 가격 하향요율을 정해놓고 있는데(-7.5%), 이렇게 느리게 가격이 내려가는 나라는 전세계 어디에도 없습니다. 우리는 대한민국의 2%와만 피어링할 수 있었습니다.
사이트가 클라우드플레어를 사용하고있다면, 주소 끝에 cdn-cgi/trace를 덧붙여서 어느 서버를 경유하고 있는지 확인할 수 있다. 크롬 브라우저를 사용중인 경우 Claire 확장 프로그램을 설치하면 현재 연결중인 서버의 IP,[6] 연결한 서버의 ID, 연결한 서버의 위치를 알 수 있다.
클라우드플레어 엣지는 이용자의 통신사별로 다 다르다. 엔터프라이즈 플랜이 아닌 이상 외국의 서버를 거쳐서 연결되는데, 한국에 서버가 있는 사이트가 태평양 건너 미국을 거쳐서 오는 경우 속도가 어마어마하게 느려진다.
사실상 한국에서는, DDoS 공격 때문에 서버의 IP를 숨겨야 하거나 트래픽 절감 등 특별한 사정이 없는 이상 클라우드플레어의 CDN을 사용해서 얻을 이득이 거의 없는 셈이다. 일단 엔터프라이즈 플랜이 아니면 무조건 외국 서버를 거치는데, 서버의 위치가 클라우드플레어 서버와 멀수록 비효율적이고 속도가 무진장 느려지기 때문이다.
5. 사건 사고
5.1. CloudBleed
2017년 2월 구글 프로젝트 제로에서 엄청난 보안 취약점을 발표했다. 2016년 9월 22일부터 HTML 파서의 버그로 클라를 바라보는 엣지 서버의 메모리가 덤프 될 수 있었다. 물론 사이트에서 제어가 불가능하다. 구글 측에서 크롤링하다 문제를 발견했고 "현재" 캐싱된 메모리 덤프는 검색엔진들과 협의해서 지운 상태이다. 즉, 간단하게 2016년 9월 22일부터 검색엔진에서 덤프가 지워지는 순간까지 Cloudflare를 사용한 모든 웹사이트의 비밀정보가 다 새어나간 중대 사건이 터졌다(...)
이 글을 읽고 있는 위키러라면 Cloudflare를 사용하는 사이트에서의 비밀번호를 즉시 바꾸는 것을 추천한다. 정확하게는 3,400여 개의 사이트가 이번 취약점에 노출되었는데, 노출서버는 물론 같은 엣지 서버를 사용하는 사이트도 영향받기 때문에 정확한 위험 범위를 추정할 수 없다.(출처) 해당하는 사이트 목록을 작성하는 Github 프로젝트도 생성되었다. (깃허브 링크) 가입한 사이트가 있다면 즉시 들어가 비밀번호를 바꿔주자. 이미 비밀번호가 털렸다고 상정하고 행동하는 것이 좋다.
5.1.1. 해당 취약점에 노출 되었을 수 있는 유명 사이트
취약점 노출 사이트 공유 프로젝트에서 10,000개 이상의 사이트를 확인할 수 있다.
5.1.1.1. 해외
5.1.1.2. 한국내
5.2. 2019년 7월 서버 다운 사건
클라우드플레어 공식 사건일지 정리글
2019년 7월 2일 22시 47분경(이하 한국시각) 일시적으로 터지는 사건이 발생했다. 같은날 22시 52분에 인지하고, 약 22~23분뒤인 23시 15분에 문제에 대한 해결책을 구현했다고 공지됐으며 실제로 거의 대부분의 서비스가 정상화되었다.[10]
클라우드플레어 서비스를 사용하는 모든 사이트의 서버가 먹통이 되었다.[11] 한국에서는 대다수 사이트[12] 와 게임[13] , p2p와 메신저[14] 가 '''전부''' 터지면서 엄청난 혼란이 빚어졌고, 그나마 살아있던 디시인사이드, OP.GG, 인벤등의 커뮤니티에서는 실시간 보고와 상황 모니터가 잇따랐다. 또한 502 Bad Gateway가 네이버 실검 1위에 올랐다.
이후 클라우드플레어 애널리틱스 서버가 7월 2일 23시 45분부터 장애가 발생하더니 7월 3일 0시 23분에 서버가 마비되었다.#.
클라우드플레어측의 발표에 따르면 서버 오류당시 리전이 있는 모든 국가에 발생한 어마무시한 숫자의 중국발 DDoS 트래픽과 이번 서버 다운은 연관이 없고 단순히 내부에서의 실수에 의한 소프트웨어 버그 문제[15] 로 일어난 사건이라고 한다. 다행히 우려되었던 중국의 전세계 대상 사이버 전쟁은 발발하지 않게 되었다.
빠르게 복구되기는 했지만 많은 사이트[16] 가 마비되어 혼란이 컸다. 인터넷 환경에 이번처럼 대형 서버 제공자가 마비되었을 경우에 대한 대비책이 필요해 보인다는 의견이 있다.
5.3. 2020년 8월 30일 대역폭 공급업체 CeuntryLink 문제로 인한 전세계적 사이트 다운
8월 30일, 대역폭 공급업체인 CenturyLink/Level(3)에서 광범위한 서비스 중단 사고가 발생하여 클라우드플레어를 포함한 많은 인터넷 서비스가 영향을 받았다. 초반에 클라우드플레어의 문제로 알려졌지만 사실은 대역폭 공급업체인 CenturyLink에게 원인이 있었다. https://blog.cloudflare.com/ko/analysis-of-todays-centurylink-level-3-outage-2-ko/. 이로 인해 동시간대에 진행되고 있던 리그 오브 레전드의 LPL을 제외한[17] 모든 아시아 지역 경기가 중단이 되었다.[18]
6. 사용하는 사이트
- 2ch
- 4chan
- 개드립넷
- 아카라이브[19]
- 나무위키, 나무위키 게시판[20]
- FNBase
- 냥코스페이스
- 누리위키
- 단부루
- 딴지일보
- 드조위키
- 디스코드
- 리그베다 위키
- 리그 오브 레전드 웹사이트
- 리디북스
- 리브레 위키
- (폐쇄)
- 마루마루 SE[21]
- (폐쇄)
- (폐쇄)
- 미러
- [22] (사실상 폐쇄)
- 브금저장소[23]
- (폐쇄)
- 스누라이프
- 시럽(웹사이트)
- [24]
- 오늘의유머
- (폐쇄)[25]
- (폐쇄)
- 온나다
- 위키메이슨
- 일간워스트
- 일베저장소
- 워마드
- 조아라 닷컴
- 초소형국민체 위키
- [26]
- 트게더
- (폐쇄)
- (폐쇄)
- 펀즈위키
- 피시나라
- 푹(대한죽창연합회)
- 헬븐넷
- nhentai
- osu![27]
- pixiv
- 뉴토끼
- 디지털 교도소
- Loverslab
7. 기타
- 이슬람국가ISIL와 관련된 사이트에도 서비스를 제공하고 있어서 익명 해커조직 어나니머스에게 비난받았다. 그러나 클라우드플레어를 이용하는 사이트가 수십만 개가 넘는데, IS 사이트를 모두 찾아 막기는 어려울 것이다. 또한 망중립성을 해치고 기업이 망을 임의로 검열한다는 면에서도 문제 제기가 있을 수 있다. 일각에서는 클라우드플레어가 어나니머스의 해킹 대상이 된 사이트기 클라우드플레어의 방화벽 서비스를 이용해 해킹이 어려워지는 것에 대한 부정적 여론을 조성하기 위한 일종의 언론 플레이로 보여진다는 의견도 있다. 클라우드 플레어에서는 디도스 방어와 해킹 보호 서비스를 초보자도 쓰기 쉽도록 매우 간단하게 제공하고 있기 때문에 쉽게 해킹되던 사이트라도 클라우드플레어 프로 버전의 방화벽을 쓰면 웬만한 취약점은 전부 방어된다.
- 클라우드플레어를 사용하는 사이트는 실제 서버 아이피를 알 수 없게 되는데, 이를 알아내는 사이트를 이용하면 흔히 사용되는 서브도메인을 이용해서 실제 서버 아이피를 알아낼 수도 있다. 클라우드플레어 사용 시 서버 직접 접속을 위해 서브도메인을 추가한 경우에만 찾을 수 있으며 작정하고 아이피를 숨긴 경우 알아낼 수 없다.
- 방송통신심의위원회에서 클라우드플레어 방식으로 접속되는 사이트를 주의깊게 관찰하고 있는 것으로 보인다. 2019년 제12차 통신심의소위원회 회의록에 따르면 한 심의위원이 "한 가지 여쭤보고 싶은 게 있는데, 지난번에도 본 것 같은데요. 이 일부 게시물은 클라우드플레어 접속 방식으로 확인되고 있다는 걸 명시를 하는데, 특별히 이렇게 밝히시는 이유가 있나요?"라고 묻자 담당자는 "클라우드 네트워킹을 사용해서 접속차단을 우회하는 방법이 있습니다. 그렇기 때문에…."라고 하고 있다. 그러자 "그거는 별도로 주의 깊게 봤다가 추후에 이제 좀 팔로우 하신다는 의미에서요?"라고 확인하고, "맞습니다."라고 대답하였다.
- 2019년 9월 13일 뉴욕증권거래소에 상장하였다. 테크 기반 기업이지만 특이하게도 나스닥에 상장하지 않았다. IPO 기준 가격은 주당 15 달러로 정해졌다. 상장 첫 날 18 달러로 첫 거래를 시작한 뒤, IPO 기준 가격에 비해 20%가 넘게 상승한 가격에 상당량의 주식이 거래되었다.[28] 적자 상태에서 상장하였기 때문에 우버나 Lyft처럼 상장후 주가 하락 우려가 있었으나, 첫 거래일 성과는 꽤 만족스러웠다고 볼 수 있다. 여담으로 ticker(종목코드) 이름이 무려 'NET'이라고 한다.[29]