Cloudflare

이 문서는 이 토론 에서 'Cloudflare'로 문서 제목 고정(으)로 합의되었습니다.
추가 토론 없이 수정·이동할 경우 편집권 남용/문서 훼손으로 간주되어 차단될 수 있으므로 주의하시기 바랍니다.

200px200px
현재 로고구 로고

공식 홈페이지
공식 블로그

1 개요

미국 소재의 CDN 서비스와 DNS 서비스를 제공하는 기업.

2015년 9월 기준으로 대한민국 서울[1]을 포함한 76곳의 데이터 센터가 존재한다고 한다.(목록)

프리 플랜, 프로 플랜, 비즈니스 플랜, 엔터프라이즈 플랜이 있으며, 프리 플랜은 무료로 이용 가능하다.

프리 플랜과 프로 플랜은 대한민국 회선 가격이 너무 비싼 관계로 서울 연결을 지원하지 않는다고 밝혔다.(오히려 미국이나 일본을 거쳐 가기 때문에 매우 느려진다) 사용시 신중히 생각하자. 한국에서는 대부분 LAX으로 연결된다.

2차 정책변경의 결과로 엔터프라이즈 플랜 이외의 플랜들은 해당 국가의 엣지가 통신사와 피어링을 맺지 않았으면 해외 엣지로 연결된다. 이로써 속도때문에 클라우드플레어를 사용하는 이용자는 더이상 보기 힘들어질 듯 하다.

2 제공 서비스

CDN, DNS, SSL, DDoS 방어 서비스, Always Online™, Cloudflare Railgun™ 등을 제공한다. IDC에서 내용을 캐싱했다가 보여주게 된다.

DNS 서비스는 클라우드플레어의 핵심이라고 할 수 있는데, 제공되는 서비스들을 사용하기 위해서는 네임서버 설정이 클라우드플레어로 되어있어야 한다.

SSL 서비스DNS 설정에서 클라우드플레어 CDN 기능을 사용하도록 한 경우에만 사용할 수 있는데, 놀랍게도 프리 플랜에서부터 사용이 가능하다. 복잡하게 SSL 인증서를 발급받을 필요 없이 클릭 몇번만 해 주면 사용이 가능하다. 프리 플랜의 경우 설정 후 24시간을 기다려주면 범용 SSL 사용이 가능하며, 프로 플랜 이상의 경우 설정 즉시 일반 SSL을 사용할 수 있다. 나무위키는 프리 플랜을 사용하여 한동안 인증서 관련 이슈가 있었지만 이후 프로 플랜으로 전환하여 그 문제는 해결된 상태다. OpenSSL로 Self-Signed 인증서로 HTTPS 서버 구축하니 COMODO Multi-Domain 인증서가 되는 마술
다만, 범용 SSL은 특정 운영체제와 브라우저에서 작동하지 않는다는 문제점이 있다.(지원하는 브라우저의 목록)
한가지 주의할 점이 있는데, SSL 설정이 Flexible(유동)일 경우 클라이언트와 Cloudflare 사이의 연결은 암호화되나, Cloudflare와 원본 서버 사이의 연결은 암호화되지 않는다. 이는 SSL의 중요 기능 중 하나인 도청 방지를 위한 연결 암호화를 소홀히 하는것으로 큰 주의가 필요하다. NSA가 구글의 암호화되지 않은 데이터 센터 간 네트워크를 도청한 사실로 봐서도 이는 결코 쉽게 봐선 안되는 일이다. 게다가 사용자에겐 잘못된 안심감을 심어주어 SSL의 신뢰를 해치는 성향이 있어 이 기능을 싫어하는 보안 전문가들도 적지 않다.

Always Online™ 서비스는 서버#s-1내려간 경우에도 클라우드플레어 CDN 서버#s-1에 저장된 캐싱된 내용을 그대로 보여준다. 프리 플랜에서는 일주일에 한번 캐싱, 프로 플랜에서는 3일에 한번 캐싱, 비즈니스 플랜부터는 매일 캐싱한다. 2015년 리그베다 위키 사유화 사태로 리그베다 위키의 서버가 내려갔지만, FrontPage 등 일부 페이지에 접근이 가능했던 이유도 이 기술 때문.

Cloudflare Railgun™ 서비스는 비즈니스 플랜부터 사용 가능하며 캐시할 수 없는 데이터를 서버로부터 클라우드플레어 CDN 네트워크까지 최대 99.6% 압축하여 전송하는 기술이다. 비즈니스 플랜을 구입하거나, 사용중인 호스팅 회사가 클라우드플레어와 파트너쉽을 맺은 경우 사용할 수 있다. 다만 이 서비스를 제대로 활용하기 위해서는 서버에 세팅 작업이 필요하다.

DDoS 방어 솔루션도 지원하고 있는데 효과는 매우 탁월한 편이다. 실제 프랑스의 한 웹사이트에서 400Gbps[2]가 넘는 초대형 디도스 공격을 받았는데, 이를 Cloudflare에서 성공적으로 방어하였다. 솔루션 적용 시 의심되는 연결에 대해서 해당 연결이 악의적인 연결인지 아닌지 5초간의 딜레이를 넣어 판단한다.

이외에도 여러가지 웹 최적화 기술들이 있는데, 그냥 다른 DNS 쓰듯이 클라우드 플레어 서버에 똑같이 연결만 해주면 클라우드 서버에서 전부 알아서 해준다. 예를 들어 따로 서버에 추가적인 작업을 하지 않아도 Minify를 시켜준다거나, Mirage라는 기술은 Pro 플랜부터 사용 가능한 대신 유저의 기기에 맞춰 해상도에 맞는 이미지를 알아서 리사이징해 가져다 준다.

3 절대 빠르지 않다!

서울 지점 엣지가 있음에도 불구하고 Free 버전과 Pro 플랜을 사용할 경우 서울 엣지를 거치지 않는다. 서울 엣지가 작동하지 않아서 한 위키러가 고객센터의 문의해보니 월 200달러 이상을 내는 비즈니스 플랜으로 올리라고 했다더라(...).[3] 문장 그대로 결제하라는 뜻이다(...). 나무위키가 느려 터질대로 터졌다면 Seoul이 있는지 확인해보자 다행히 나무위키는 비즈니스 플랜 이상을 사용하는듯 했지만 2017년 1월 14일 기준으로 LAX(미국)으로 연결되는 것이 확인되었다. 나무위키의 트래픽을 견디지 못한 클라우드 플레어 측이 나무위키를 엔터프라이즈 플랜으로 업그레이드하라는 압력을 준 듯 하다. 엔터프라이즈 플랜은 1달에 최소 5000달러를 지불해야 하는 요금제이다.

한국 사이트 중 7번째로 접속자가 많은 사이트인 나무위키가 200달러만 내는 것도 문제긴 하지만[4] 국내 회선 사업자들이 높은 가격을 제시[5]한 탓도 있다.

그런데 클라우드플레어 적용 사이트 중 나무위키만 유난히 느렸던 것으로 보아 나무위키에도 문제가 있었던 것 같다(...). olleh 인터넷 사용자는 ICN엣지를 거치는 경우가 있으나 이 경우에도 나무위키는 속도가 느렸다. 현재는 나무위키에서 클라우드플레어를 사용하지 않는다.

국내 호스팅의 경우 대부분 해외 트래픽을 차단하거나 매우 적게 주므로, 클라우드플레어를 사용하게 되면 모든 트래픽이 해외 트래픽으로 통신하게 되고 호스팅 정지나 추가 요금이 엄청나게 부과될 수 있으니 주의를 요한다.

사이트가 클라우드플레어를 사용하고있다면, 주소 끝에 cdn-cgi/trace를 덧붙여서 어느 서버를 경유하고있는지 확인할 수 있다. 나무위키의 경우, [1] 이런식으로 입력하면 User-Agent와 정보가 나오는데 여기서 colo를 확인하면 알 수 있다. colo는 가까운 국제공항 코드로 나오지만, 어디인지 모르겠으면 구글링해보자. 바로 나온다. 2윌 22일 기준 시애틀이 뜬다. 2월 25일 기준, KT에서는 ICN이 뜬다. 다만 이는 비즈니스 플랜 사용자만 해당되는 것으로 보인다.

크롬의 경우 Claire 확장 프로그램을 설치하면 현재 연결중인 서버의 IP,[6] 연결한 서버의 ID, 연결한 서버의 위치를 알 수 있다.

4 사건 사고

4.1 CloudBleed

2017년 2월 구글 프로젝트 제로에서 엄청난 보안 취약점을 발표했다. 2016년 9월 22일부터 HTML 파서의 버그로 클라를 바라보는 엣지 서버의 메모리가 덤프될 수 있었다. 물론 사이트에서 제어가 불가능하다. 구글 측에서 크롤링하다 문제를 발견했고 "현재" 캐싱된 덤프된 메모리는 검색엔진들과 협의해서 지운 상태이다. 즉, 간단하게 2016년 9월 22일부터 Cloudflare 를 사용한 모든 웹사이트의 비밀정보가 다 새나간 중대 사건이 터졌다(...)

이 글을 읽고 있는 위키러라면 Cloudflare 를 사용하는 사이트에서의 비밀번호를 즉시 바꾸는 것을 추천한다. 정확하게는 3,400여개의 사이트가 이번 취약점에 노출되었는데, 이 서버들과 같은 엣지 서버를 사용하는 사이트들도 영향을 받기 때문에 정확한 피해 사이트들을 추정할 수 없다. 무슨 말이냐면 만약 Cloudflare의 엣지 서버가 1대라면 Cloudflare를 사용하는 모든 사이트들이 취약점에 노출된 것이고, 반면에 엣지 서버가 많다면 그만큼 피해 규모가 축소된다는 이야기 ## 해당 하는 사이트들의 리스트를 수집하는 Github 프로젝트도 생성되었다. ## 이 곳의 사이트들을 보고 가입되어 있는 사이트라면 즉시 들어가서 비밀번호 등을 바꿔주자. 이미 비밀번호가 털렸다고 상정하고 행동하는 것이 좋다.

4.1.1 해당 취약점에 노출 되었을 수 있는 유명 사이트들

취약점 노출 사이트 공유 프로젝트에서 10,000개 이상의 사이트들을 확인 할 수 있다. 목록이 꽤나 많으므로, 사이트 주소를 직접 검색하고 싶다면 이곳에서 검색할 수 있다.
확인되는 대로 추가 바람

4.1.1.1 해외
4.1.1.2 국내

5 사용하는 사이트

6 여담

ISIL와 관련된 사이트에도 서비스를 제공하고 있어서 어나니머스에게 비난받았다.[14]

클라우드플레어를 사용하는 사이트는 실제 서버 아이피를 알 수 없게 되는데, 이를 알아내는 사이트를 이용하면 흔히 사용되는 서브도메인을 이용해서 실제 서버 아이피를 알아낼 수도 있다.[15]
  1. 서울 데이터 센터의 코드는 ICN. 이는 인천국제공항의 IATA 코드로, 관습적으로 많은 클라우드 인프라 서비스가 데이터 센터의 코드로 해당 센터가 위치한 도시로부터 가장 가까운 국제공항의 IATA 코드를 사용한다. 데이터 센터의 위치와 공항의 위치와는 무관하다.
  2. 약 50GB/s
  3. 이메일 답변 내용: We recently made some changes to our network routing that has effected how traffic is served for some of our Free and Pro customers. On our Free or Pro plans, we serve you locally with any ISP that interconnects with us, but not necessarily for traffic accessed only via an ISP that does not peer with us. ㅡ If some of your traffic is being served to users at ISPs that do not peer with us, there is a good chance it may be served from non-local routes. Despite being closer to one particular PoP you might find that your traffic is flowing through another one located further away. While performance for some of these customers may be reduced at times, all other Cloudflare benefits will work the same. ㅡ You can read more about this on our blog: The relative cost of bandwidth around the world ㅡ If you want to make sure you retain access to all Cloudflare transit providers worldwide, please upgrade to our Business or Enterprise Plan in your Cloudflare dashboard, under the Overview section.
  4. 이 정도면 상당히 많은 애드센스 수익금을 받을 수 있다. similarweb 기준 한국 사이트 순위 중 만 번째 드는 사이트 기준(방문자수 만명)으로 한달에 300달러 정도 벌고 있는데, 11위권 정도인 나무위키(방문자수 3700만명)가 과연 얼마를 벌지 생각해보면 답이 나온다. 나무위키가 대역폭을 모두 차지해버리는 바람에 최근 타 사이트들마저 한국 엣지 접속이 안되는 현상이 발생하고 있다. 실제로 위에 나온 메일 내용처럼 타 사이트들마저 프로로 업그레이드하라는 압력을 받고 있다.
  5. "Due to high cost of transit traffic in ICN ..." 국내 회선 사업자들이 높은 가격을 제시해서 이같은 조치를 취한 것으로 보인다. 따라서 나무위키나 기타 클라우드 플레어를 사용하는 서비스가 느리다면, 통신사 고객센터에 따지자.
  6. 클라우드플레어 적용 사이트라면 클라우드플레어 IP가 뜬다.
  7. 1487948940958eac4.png
  8. 1487948964354aa87.png
  9. 전 운영자 헤스트의 말에 따르면 개인정보가 노출되었을 가능성은 없다고 한다. 다만 수많은 사이트들이 노출된 관계로 타사이트에서 같은 계정 ID및 비밀번호를 쓰고 있다면 바꾸는 것을 추천하고 있다#
  10. 현재는 사용하지 않는다.
  11. 2017년 2월 28일에 해지하였다.
  12. 프로 플랜에서 프리 플랜으로 내렸다.
  13. 게임 호스팅이 왜 가능하냐면 로그인할 때 Bancho 서버에 들어가기 때문에 가능하다.
  14. 사실 클라우드플레어를 이용하는 사이트가 수십만개가 넘는데, IS 사이트를 모두 거른다는 건 말도 안 되는 일이다. 솔직히 말하면 해커들의 밥줄이 걸린거라 뭐라도 덮어 씌울려는 일종의 언론 플레이라 봐도 무방할지 모른다. 클라우드 플레어에서는 디도스 방어와 해킹 보호 서비스들을 초보자들도 쓰기 쉽도록 매우 간단하게 제공하고 있기 때문에 쉽게 해킹 되던 사이트라도 클라우드플레어 프로 버전의 방화벽을 쓰면 웬만한 취약점들은 전부 필터된다.
  15. 클라우드플레어 사용시 서버 직접 접속을 위해 서브도메인을 추가한 경우에만 찾을 수 있으며 작정하고 아이피를 숨긴 경우 알아낼 수 없다.