본 콘텐츠는 사용자의 편의를 고려해 자동 기계 번역 서비스를 사용하였습니다. 영어 원문과 다른 오류, 누락 또는 해석상의 미묘한 차이가 포함될 수 있습니다. 필요하시다면 영어 원문을 참조하시기를 바랍니다.
에이전트를 사용하면 소프트웨어를 그 어느 때보다 더 빠르게 구축할 수 있지만, 실수와 악의로부터 환경과 코드를 보호하려면 상당한 노력이 필요합니다. 오픈 웹 애플리케이션 보안 프로젝트 (OWASP)에서는 자격 증명 유출, 사용자 가장, 권한 상승 등 에이전트 기반 AI 시스템에 존재하는 여러 가지 위험 에 대해 자세히 설명합니다. 이러한 위험은 서비스 거부, 데이터 손실, 데이터 유출 등 환경에 심각한 재정 및 평판 손상을 초래하는 심각한 손상을 초래할 수 있습니다.
이것은 ID 문제입니다. 최신 개발 환경에서 "ID"는 단순한 사람이 아니라 사용자를 대신하여 작동하는 에이전트, 스크립트, 타사 도구입니다. 이러한 비인간적 ID를 보호하려면 전체 수명 주기를 관리해야 합니다. 자격 증명(토큰)이 유출되지 않도록 하고, OAuth를 통해 액세스할 수 있는 애플리케이션을 확인하며, 세분화된 RBAC를 사용하여 권한을 좁혀야 합니다.
오늘 우리는 이러한 요구 사항을 해결하기 위해 자격 증명 보호를 위한 스캔 가능한 토큰, 보안 주체를 관리하기 위한 OAuth 가시성, 정책 미세 조정을 위한 리소스 범위 RBAC 등의 업데이트를 도입합니다.
ID 이해하기: 보안 주체, 자격 증명, 정책
자율적인 에이전트 시대에 인터넷을 보호하려면 ID 처리 방식을 재고해야 합니다. 요청이 인간 개발자든, AI 에이전트에게서든, API와의 모든 상호 작용은 세 가지 핵심 요소를 기반으로 합니다.
주체(Traveler): 이것은 ID 자체, 즉 "누가"입니다. OAuth를 통해 로그인하는 사용자일 수도 있고, API 토큰을 사용하여 코드를 배포하는 백그라운드 에이전트일 수도 있습니다.
자격 증명(여권): 이것이 바로 그 신원을 증명하는 것입니다. 이 세계에서 API 토큰은 바로 여권과도 같습니다. 도난당하거나 유출되면 누구나 신원을 "변조"할 수 있습니다.
정책(The Visa): ID로 수행할 수 있는 작업을 정의합니다. 유효한 여권이 있다고 해서 모든 국가에 입국할 수 있는 비자를 받는 것은 아닙니다. 정책을 통해 확인된 ID조차도 필요한 특정 리소스에만 액세스할 수 있도록 보장할 수 있습니다.
이 세 가지 요소를 함께 관리하지 않으면 보안은 무너질 수 있습니다. 도난당한 자격 증명을 사용하여 유효한 주체를 가지고 있거나, 너무 광범위한 정책을 가진 합법적인 ID를 가지고 있을 수 있습니다.
에이전트 및 기타 타사 애플리케이션은 API 토큰을 사용하여 Cloudflare API에 액세스합니다. 사람들이 비밀을 유출하는 것을 보는 가장 간단한 방법 중 하나는 실수로 비밀을 공개 GitHub 리포지터리로 푸시하는 것입니다. GitGuardian은 작년에 2,800만 개 이상의 비밀이 공개 GitHub 리포지토리에 게시되었으며, AI로 인해 유출이 이전보다 5배 더 빠르게 발생하고 있다고 보고합니다.
API 토큰이 디지털 여권인 경우 공개 저장소에 유출하는 것은 여권을 공원 벤치에 방치하는 것과 같습니다. 이 파일을 발견한 누구든 문서가 취소될 때까지 해당 ID를 가장할 수 있습니다. Cloudflare와 GitHub의 파트너십은 이러한 자격 증명에 대해 전 세계적인 "분실물"처럼 작동합니다. 여권이 없다는 것을 깨달았을 때, Cloudflare는 이미 문서를 식별하고, 체크섬을 통해 진위를 확인하고, 오용을 방지하기 위해 문서를 무효화합니다.
당사는 유출된 토큰을 사전에 찾아내고 악의적으로 사용되기 전에 토큰을 취소하는 데 도움이 되는 여러 주요 자격 증명 스캔 도구와 제휴하고 있습니다. 우리는 여부가 아니라 여러분의 직원이나 요원 중 한 명이 실수로 실수를 해서 기밀을 유지해서는 안 되는 곳으로 밀어 넣었을 때의 문제라는 것을 잘 알고 있습니다.
저희는 GitHub와 협력 관계를 맺었으며, 공개 및 비공개 리포지토리 모두에서 토큰을 찾기 위해 GitHub의 비밀 스캔 프로그램에 참여하고 있습니다. Cloudflare에서는 토큰이 공개 리포지토리로 유출되었다는 알림을 받으면 악의적으로 사용되는 것을 방지하기 위해 토큰이 자동으로 취소됩니다. 비공개 리포지터리의 경우 유출된 Cloudflare 토큰이 있으면 GitHub에서 알려주므로 이를 정리할 수 있습니다.
새로운 토큰 형식(아래!)을 GitHub에 공유해 두었습니다. GitHub에서 이제 커밋할 때마다 이를 검사합니다. 유출된 Cloudflare 토큰처럼 보이는 것을 발견하면 체크섬을 사용하여 토큰이 진짜임을 확인하고 철회를 위한 웹훅을 저희에게 보내면, 대시보드 설정에서 새 토큰을 생성할 수 있도록 이메일로 알려드립니다.
즉, 구멍을 찾으면 바로 연결합니다. 여러분이 실수를 저질렀다는 것을 깨달았을 때는, Cloudflare에서 이미 수정한 상태입니다.
사용할 필요가 없는 이러한 기능을 희망하지만, 당사의 파트너들은 보안을 유지하기 위해 유출 여부를 경계하고 있습니다.
Cloudflare One 고객도 이러한 유출로부터 보호됩니다. 자격 증명 및 비밀 DLP 프로필을 구성하여 조직에서는 자격 증명이 이동할 수 있는 모든 곳에서 예방을 활성화할 수 있습니다.
네트워크 트래픽 (Cloudflare Gateway): 네트워크를 통해 이동하는 Cloudflare API 토큰을 감지하고 차단하도록 이 항목을 정책에 적용합니다. 파일 업로드, 아웃바운드 요청 또는 다운로드의 토큰이 대상에 도달하기 전에 중지됩니다.
아웃바운드 이메일 (Cloudflare Email Security): Microsoft 365 고객은 이와 동일한 방지 기능을 Outlook으로 확장할 수 있습니다. DLP 지원 추가 기능은 전달하기 전에 메시지를 스캔하여 외부로 전송되기 전에 토큰을 포착합니다.
저장 데이터 (Cloudflare CASB): Cloudflare의 클라우드 액세스 보안 브로커는 동일한 프로필을 적용하여 연결된 SaaS 애플리케이션 전반에 걸쳐 파일을 검사하고 Google Drive, OneDrive, Dropbox 및 기타 통합 서비스에 저장되거나 공유되는 토큰을 포착합니다.
하지만 가장 새로운 노출 벡터는 AI 트래픽입니다. Cloudflare AI Gateway 는 동일한 DLP 프로필과 통합하여 수신 프롬프트와 발신 AI 모델 응답을 실시간으로 스캔하고 차단합니다.
자격 증명 스캔이 작동하는 유일한 방법은 바로 그 곳에서 만나 뵙는 것이므로 우리는 여러분이 어떤 비밀 스캐너를 사용하든 보호를 보장하기 위해 여러 오픈 소스 및 상용 자격 증명 스캐너와 협력하고 있습니다.
지금까지 Cloudflare의 API 토큰은 매우 일반적으로 보였으므로 자격 증명 스캐너가 높은 신뢰도로 식별하기가 어려웠습니다. 이러한 자동화된 보안 도구는 코드 리포지토리를 스캔하여 API 키, 토큰, 비밀번호 등 노출된 자격 증명을 찾습니다. "cf" 접두사를 사용하면 Cloudflare 토큰을 더 확실하게 즉시 인식할 수 있으며, 체크섬을 사용하면 도구가 정적으로 토큰을 검증하는 것이 쉬워집니다. 기존 토큰은 계속 작동하지만, 새로 생성하는 토큰은 모두 스캔 가능한 형식을 사용하므로 높은 신뢰도로 쉽게 감지할 수 있습니다.
자격 증명 유형 | 용도 | 새로운 형식 |
사용자 API 키 | 사용자 계정에 연계된 레거시 글로벌 API 키(전체 액세스) | cfk_[40 자][checksum] |
User API 토큰 | 특정 권한을 위해 생성한 범위 토큰 | cfut_[40 자][checksum] |
계정 API 토큰 | 계정이 소유한 토큰(특정 사용자가 아님) | cfat_[40 자][checksum] |
기존 API 토큰이 있는 경우 토큰을 롤하여 스캔 가능한 새 API 토큰을 만들 수 있습니다. 이는 선택 사항이지만, 유출 시 토큰을 쉽게 찾을 수 있도록 하는 것이 좋습니다.
API 토큰은 일반적으로 자체 스크립트 및 에이전트에서 사용되지만, OAuth는 타사 플랫폼에 대한 액세스를 관리하는 방법입니다. 두 가지 모두 명확한 가시성을 확보하여 무단 액세스를 방지하고 누가 데이터에 액세스할 수 있는지 정확히 알 수 있어야 합니다.
OAuth를 사용하여 Wrangler와 같은 타사 애플리케이션을 Cloudflare 계정에 연결하면 해당 애플리케이션에 계정 데이터에 대한 액세스 권한이 부여됩니다. 시간이 지나면 처음에 제3자 애플리케이션에 귀하의 계정에 대한 액세스 권한을 부여한 이유를 잊어버릴 수 있습니다. 이전에는 이러한 애플리케이션을 보고 관리할 수 있는 중앙 위치가 없었습니다. 오늘부터 모든 기능이 지원됩니다.
앞으로는 타사 애플리케이션에서 Cloudflare 계정에 대한 액세스를 요청할 때 다음을 검토할 수 있습니다.
액세스를 요청하는 타사 애플리케이션과 이름, 로고, 게시자 등 애플리케이션에 대한 정보가 표시됩니다.
타사 애플리케이션이 액세스를 요청하는 어떤 범위 인가요?
타사 애플리케이션에 액세스 권한을 부여할 계정.
모든 애플리케이션에 동일한 권한이 필요한 것은 아닙니다. 일부는 데이터를 읽는 데만 필요하고, 일부는 계정 변경이 필요할 수도 있습니다. 액세스 권한을 부여하기 전에 이러한 범위를 이해하면 최소 권한을 유지하는 데 도움이 됩니다.
또한 어떤 애플리케이션이 어떤 계정에 액세스할 수 있는지, 해당 애플리케이션과 연결된 범위/권한을 확인하고 필요에 따라 해당 액세스를 쉽게 취소할 수 있도록 연결된 애플리케이션 환경을 추가했습니다.
이제 OAuth 동의 및 취소 기능을 개선할 수 있습니다. 어떤 앱이 현재 계정에 액세스 권한이 있는지 확인하려면 내 프로필 > 액세스 관리 > 연결된 애플리케이션으로 이동하세요.
Cloudflare와 통합을 구축하는 개발자 여러분, 곧 자체 OAuth 앱을 등록하는 방법에 대한 더 많은 발표가 있을 Cloudflare Changelog를 계속 주목해 주세요!
토큰이 패스포트인 경우 리소스 범위 권한은 그 안에 들어 있는 비자입니다. 유효한 여권이 있으면 정문으로 들어갈 수 있지만, 건물의 모든 방에 들어갈 수 있는 것은 아닙니다. 단일 Load Balancer 풀 또는 특정 Gateway 정책과 같은 특정 리소스로 범위를 좁혀서, 신원이 확인되더라도 꼭 필요한 곳으로만 이동할 수 있는 "비자"만 있으면 됩니다.
작년에 Cloudflare는 여러 Zero Trust 제품에 대해 Cloudflare의 역할 기반 액세스 제어(RBAC) 시스템에 대한 리소스 범위 권한 지원을 발표했습니다. 이를 통해 사용자와 에이전트 모두에 대한 권한을 적절한 규모로 조정할 수 있어 보안 위험을 최소화할 수 있습니다. Cloudflare는 이 기능을 몇 가지 새로운 리소스 수준 권한으로 확장했습니다. 이제 리소스 범위가 다음에 대해 지원됩니다.
Access 응용 프로그램
Access ID 공급자
Access 정책
Access 서비스 토큰
대상 액세스
또한 API 토큰 생성 환경을 전면 개편하여 고객이 Cloudflare 대시보드에서 바로 계정 API 토큰을 더 쉽게 프로비저닝하고 관리할 수 있도록 지원합니다.
Cloudflare 계정에 구성원을 추가하거나 API 토큰을 만들 때 일반적으로 해당 보안 주체에게 정책을 할당합니다. 권한 정책은 Cloudflare One Access 응용 프로그램이나 DNS 레코드를 관리하는 데 있어 보안 주체에게 권한을 부여하여 작업을 수행할 수 있도록 하는 것입니다. 정책이 없으면 보안 주체는 인증을 수행할 수 있지만, 계정 내에서 모든 작업을 수행할 권한은 없습니다.
정책은 보안 주체, 역할, 범위의 세 가지 구성 요소로 구성됩니다. 보안 주체는 인간 사용자, API 토큰과 같은 비인간 신원(NHI), 또는 사용자를 대신하는 에이전트 형태에 관계없이 액세스 권한을 부여하는 사람 또는 대상을 말합니다. 역할은 수행할 수 있는 작업을 정의합니다. 범위에 따라 이러한 권한이 적용되는 위치가 결정되며, 이전에는 전체 계정 또는 개별 영역으로 제한되었습니다.
또한 많은 제품에 대한 새로운 역할을 도입하여 계정 및 영역 수준 모두에서 역할 영역을 더 광범위하게 확장하고 있습니다.
계정 범위
CDN 관리
MCP 포털
Radar
Request Tracer
SSL/TLS 관리
영역 범위
Analytics
Logpush
Page Rules
보안 센터
Snippets
영역 설정
오늘부터 모든 Cloudflare 고객은 리소스 범위와 새로운 계정 및 영역 수준 역할을 이용할 수 있습니다. Cloudflare Dashboard, API, Terraform 등을 통해 계정, 영역, 리소스 범위 정책을 지정할 수 있습니다.
사용 가능한 모든 역할과 범위가 작동하는 방식에 대한 전체 분석은 역할 및 범위 문서를 참조하세요.
이 업데이트는 진정한 최소 권한 아키텍처에 필요한 세분화된 구성 요소를 제공합니다. Cloudflare에서 권한 및 자격 증명을 관리하는 방식을 개선함으로써 개발자와 엔터프라이즈에서는 Cloudflare에 액세스하는 사용자, 앱, 에이전트, 스크립트 전반에서 보안 상태를 더 확신할 수 있습니다. 최소 권한은 새로운 개념이 아니며 기업의 입장에서 결코 선택 사항이 아닙니다. 인간 관리자가 영역을 관리하든 에이전트가 프로그래밍 방식으로 Workers를 배포하든, 주어진 작업을 수행할 수 있는 권한만 부여되어야 하며 그 외에는 어떤 것도해서는 안 된다는 기대는 동일합니다.
저희는 오늘 발표에 이어 고객에게 다음을 권장합니다.
API 토큰을 검토하고, 가능한 한 빨리 스캔 가능한 새 API 토큰을 재발급하세요.
승인된 OAuth 앱을 검토하세요. 더 이상 사용하지 않는 앱은 취소하세요.
계정에서 구성원 & API 토큰 권한을 검토하고 위험 영역을 줄이기 위해 사용자가 필요에 따라 새로운 계정, 영역 또는 리소스 범위 권한을 활용하는지 확인합니다.