DevOps/Network

Cloudflare

꼰용 2026. 6. 22. 23:50

프로젝트를 개발하다 보면 외부 사용자나 협력사(컨소시엄) 개발자들에게 테스트 서버, DB, Git 저장소 등 을 공유해야하는 상황이 자주 발생합니다. 보통은 전통적인 인프라 구축 방법을 떠올리게 됩니다. 

  • 공인 IP 확보 및 고정 IP 세팅
  • 공유기나 방화벽의 포트포워딩(Port Forwarding) 설정
  • 유동 IP 대응을 위한 DDNS 구성
  • 사내 보안 방화벽 정책 허용 추가

하지만 이러한 방식은 인바운드(Inbound)포트를 외부에 열어두어야 하므로 늘 보안 위험이 따르고 네트워크(보안) 부서와의 복잡한 협의 등 관리 부담이 존재합니다. 이러한 문제를 해결하기 위해 Cloudflare Tunnel을 활용하여 내부망에 위치한 서버들을 외부에 안전하게 공개했습니다. 이번 글을 통해 Cloudflare란 무엇이며 Tunnel의 동작 원리를 알아보고자 합니다.

 

Cloudflare란?

cloudflare는 웹사이트와 서비스를 더 빠르고 안전하게 제공하기 위한 글로벌 네트워크 플랫폼입니다. 사용자와 서버 사이에서 중간 게이트웨이 역할을 수행합니다.

  • 사용자 → Cloudflare 서버 → 내부 서버

사용자는 직접 서버에 접근하는 것이 아니라 Cloudflare를 거쳐 접속하게 됩니다. 이 과정에서 아래와 같이 운영 및 보안에 필요한 핵심 기능들을 올인원으로 제공합니다.

  • CDN(Content Delivery Network) 제공 : 글로벌 캐시 서버를 통한 웹 가속
  • DDoS 공격 방어 : 대규모 트래픽 테러를 앞단에서 차단
  • WAF(Web Application Firewall, 웹 방화벽) : 악성 웹 요청 필터링
  • SSL/TLS 인증서 제공 : 무료 HTTPS 인증서 자동 발급 및 관리
  • DNS 서비스 및 Bot 차단 : 안정적인 도메인 운영과 악성 매크로 차단

 

탄생 배경

Cloudflare의 시작은 거창한 글로벌 보안 기업이 아니었습니다. 2004년 창시자인 매슈 프린스(Matthew Prince)는 스팸 메일의 출처를 추적하는 '프로젝트 허니팟(Project Honey Pot)' 오픈소스 프로젝트를 만들었습니다. 이 프로젝트는 전 세계 수많은 웹사이트 관리자들의 참여로 큰 성공을 거두었습니다. 하지만 프로젝트가 성장할수록 사용자들은 한 가지 공통된 질문을 던지기 시작했습니다.

"악성 트래픽이 어디서 오는지 알려주는 건 좋은데... 수천만원 짜리 하드웨어 장비가 없는 우리는 이걸  어떻게 막아야 하나요?"

당시 DDoS 공격이나 악성 트래픽을 방어하기 위해서는 고가의 보안 장비와 전문 인력이 필요했습니다. 대기업은 가능했지만, 중소기업이나 개인 운영자에게는 현실적으로 어려운 일이었습니다.

여기서 창립자들은

"사용자가 비싼 장비를 사는게 아니라 우리가 인터넷 길목을 지키는 보안 고속도로를 만들고 거길 통과하게 만들자!"

즉 이 아이디어는 이후 CDN, DDoS 방어, WAF, SSL 서비스를 하나의 플랫폼으로 제공하는 오늘날 Cloudflare의 핵심 철학이 되었고 2009년 정식으로 Cloudflare가 설립되었습니다.

Cloudflare 탄생배

Cloudflare라는 이름은 창업 초기 사업구상 단계에서 탄생했습니다. 당시 창업자들은 인터넷 앞단에서 공격을 막아주는 '클라우드 기반 방화벽(Cloud Firewall)' 서비스를 구상하고 있었는데 한 지인이 "클루아드 위의 방화벽이니 Cloudflare가 어떻겠냐"라고 제안했습니다. 창업자들은 이 이름이 서비스의 정체성을 잘 담고 있다고 판단했고 그대로 회사 이름으로 채택했습니다.

흥미롭게도 영어단어 flare는 '섬광' 또는 '신호탄'이라는 뜻도 가지고 있어, 오늘날 Cloudflare가 인터넷 위협을 감지하고 차단하는 역할과도 자연스럽게 연결됩니다.

Cloudflare

 

Cloudflare은 어떤 문제를 해결했을까?

초기 인터넷 환경에서는 사용자가 원본 서버에 직접 접속했기 때문에 두가지 고질적인 문제가 있었습니다.

  • 성능 : 사용자와 서버 간 물리적 거리가 멀수록 응답 속도가 느려짐
  • 보안 : 서버의 공인 IP가 직접 노출되어 공격 대상이 되기 쉬움

당시의 일반적인 보안 솔루션들은 트래픽을 꼼꼼히 검사하느라 사이트 속도를 저하시켰습니다. 하지만 Cloudflare는 보안(WAF)과 가속(CDN)을 하나로 묶는 역발상을 해냅니다. Cloudflare는 전 세계에 수백 개의 PoP(Point of Presence, 접속 지점)를 운영합니다. 사용자가 웹사이트에 접속하면 원본 서버까지 직접 요청을 보내는 것이 아니라 가장 가까운 Cloudflare PoP으로 먼저 연결됩니다. 이때 이미지, CSS, JavaScript와 같은 정적 콘텐츠는 Cloudflare가 캐시에 저장해 두었다가 즉시 응답합니다. 예를 들면 한국 사용자가 미국에 위치한 서버에 접속하더라도 모든 요청이 미국까지 왕복할 필요 없이 서울 또는 가까운 PoP에서 콘텐츠를 제공받을 수 있습니다. 결과적으로 응답 속도는 빨라지고 원본 서버의 부하도 크게 감소합니다.

Cloudflare 글로벌 네트워크

 

Cloudflare Tunnel

Cloudflare는 CDN, DDoS 방어, SSL 제공과 같은 다양한 기능으로 유명하지만 제가 가장 주목한 기능은 바로 Cloudflare Tunnel입니다. 기존의 포트포워딩이나 VPN없이도 내부망에 위치한 서버를 외부에 안전하게 공개할 수 있는 기능입니다. 특히 공인 IP확보가 어렵거나 보안 정책상 인바운드 포트 개방이 제한된 환경에서 매우 강력한 대안이 될 수 있습니다.

cloudflare Tunnel은 방화벽 내부에 숨어 있는 사설 서버를 인터넷 외부에 안전하게 노출해 주는 고도의 연결 기술입니다. 기존의 외부 공개 방식과  Tunnel 방식의 차이를 비교해 보면 인프라 패러다임이 어떻게 바뀌었는지 알 수 있습니다.

  • 기존의 일반적인 방식(인바운드 오픈)
    외부 인터넷 망 → 공인 IP → 방화벽 개방 / 포트 포워딩 → 내부 사설 서버
    기존 방식은 외부에서 내부망으로 직접 들어올 수 있도록 '개방된 통로'를 만들어 주어야합니다. 해커들이 열린 포트를 스캔하여 표적 공격을 감행하기 쉽고 인프라가 바뀔 때마다 포트를 새로 관리해야 하는 부담이 있습니다.
  • Cloudflare Tunnel 방식(아웃바운드 전용)
    내부 사설 서버 → Tunnel 커넥터 데몬 → Cloudflare 보안망 ← 외부 사용자
    Cloudflare Tunnel의 핵심은 방향성에 있습니다. 외부에서 내부로 뚫고 들어오는 연결을 허용하는 것이 아니라 내부 서버가 외부의 Cloudflare 서버를 향해 안전한 아웃바운드(Outbound) 연결을 먼저 생성합니다. 한 번 터널이 수립되면 그 보안 통로를 타고 양방향 통신이 안전하게 이루어집니다.

이 방식은 압도적인 이점을 얻을 수 있습니다.

  • 포트 포워딩 불필요 : 외부를 향해 열어두는 인바운드 방화벽 포트가 하나도 필요 없음
  • 공인 IP 불필요 : 서버가 사설 IP환경(NAT)이나 유동 IP환경에 있어도 아무런 제약 없이 외부 공개가 가능
  • 인프라 은닉화 : 실제 서버의 IP가 인터넷 어디에도 노출되지 않아 타켓형 DDoS공격을 원천 차단

Cloudflare Tunnel은 단순히 웹 서비스(HTTP/HTTPS)만 중계하는 것에 그치지 않고 다양한 프로토콜을 제어할 수 있는 강력한 유연성을 가집니다.

  • 웹 프로토콜(HTTP/HTTPS) : 외부 사용자가 별도의 프로그램이나 플러그인을 설치할 필요 없이 지정된 도메인 주소만 입력하면 브라우저를 통해 사내 웹 애플리케이션에 즉시 보안 접속할 수 있음
  • 비웹 프로토콜(TCP / SSH 등) : 데이터베이스 연결이나 원격 제어 같은 순수 TCP 통신도 완벽하게 터널링 합니다. 외부 접속자 PC에 가벼운 커넥터를 띄워 내부 사설 IP와 1:1로 안전하게 파이프라인을 연결

특히 이 단계에서 Cloudflare의 Zero Trust Access 정책을 결합하면 인프라 보안성이 극대화됩니다. 도메인이나 DB포트에 접근하기 직전 "미리 등록된 담당자 이메일로 OTP 인증을 통과한 사람만" 터널 내부로 진입할 수 있도록 차단할 수 있습니다. 하드웨어 VPN 없이도 완벽한 소프트웨어 기반 가상 폐쇄망을 구축할 수 있게 됩니다.

 

Tunnel 이해하기

  • 기존 포트포워딩 방식 : 대문을 열어두고 손님 기다리기
    •  우리 집 대문(방화벽 포트)을 활짝 열어놓고 외부 손님이 찾아오길 기다리는 방식
    •  문제는 손님(협력사)뿐만 아니라 도둑(해커)들도 열린 대문을 보고 마음대로 집 안을 들여다보거나 침입할 수 있다는 점
    •  그래서 대문 앞에 무서운 경비원(보안 장비)을 비싸게 고용해야 했음
  • Cloudflare Tunnel 방식 : 안에서 먼저 전화를 걸어 통화 상태 유지하기
    • 대문을 꽁꽁 걸어 잠근 상태에서 집 안(내부 서버)에 있는 비서(Cloudflare)가 외부의 대형 콜센터(CloudFlare 서버)로 먼저 전화 연결
    • 연결 수립(전화걸기) : 내부 서버가 Cloudflare에 전화를 걸면 두 장치 사이에 끊어지지 않는 전용 통화 회선(Secure Tunnel)이 24시간 내내 연결(이때 외부에서 집으로 들어오는 문(인바운드 포트)은 굳게 닫혀있음)
    • 외부 손님의 요청 : 이제 외부 협력사 개발자가 도메인(예시 web.1213con.cloud)을 치고 접속하면 우리 집으로 바로 오는게 아니라 Cloudflare 콜센터로 전화가 연결됨
    • 중계 : Cloudflare 콜센터는 이미 연결되어있는 통화 회선(비서) 너머로 손님의 요청을 안전하게 토스

Cloudflare Tunnel 이해하기

왜 더 안전한가

Cloudflare Tunnel 방식은 외부에서 내부로 진입하는 통로 자체를 제거한다는 점에서 기존 방식보다 훨씬 안전합니다.

  • 인바운드 포트 개방 불필요
  • 공인 IP 없이도 서비스 공개 가능
  • 실제 서버 IP 주소가 외부에 노출되지 않음
  • 포트 스캔 및 표적 공격 위험 감소
  • Cloudflare Zero Trust와 연계 가능
  • 결과적으로 단순히 포트 포워딩을 대체하는 기술이 아니라 내부 시스템을 외부에 공개하는 방식 자체를 바꾸는 기술이라고 볼 수 있습니다.

 

 

마치며
공인IP... 방화벽 개방 절차... 보안... 
개발에만 집중하기에도 시간이 모자란데 복잡한 네트워크 환경과 인프라 설정까지 해결해야 하는 상황은 개발자와 인프라 담당자 모두에게 익숙한 고민일 것입니다.
지금 이 순간에도 외부 연동 테스트나 내부망 공유 문제로 인프라 고민을 하시다 이 글을 읽게 되셨겠죠.
이번 기회에 복잡한 절차 없이 안전한 가상 폐쇄망을 만들어주는 Cloudflare Tunnel을 활용해 보시는 건 어떨까요?
오늘도 사내 인프라의 최전선에서 고군분투하며 더 나은 시스템을 만들기 위해 밤을 지새우는 모든 동료 개발자 여러분들 진심으로 응원합니다.

 

 

'DevOps > Network' 카테고리의 다른 글

DNS(Domain Name System)  (0) 2026.06.25
도메인(Domain)  (0) 2026.06.24
IP(Internet Protocol)  (0) 2026.06.23
방화벽(Firewall)  (0) 2026.06.10
Network  (0) 2026.06.09