본 콘텐츠는 사용자의 편의를 고려해 자동 기계 번역 서비스를 사용하였습니다. 영어 원문과 다른 오류, 누락 또는 해석상의 미묘한 차이가 포함될 수 있습니다. 필요하시다면 영어 원문을 참조하시기를 바랍니다.
여러 해 동안 업계에서 위협에 대한 답은 "가시성 향상"이었습니다. 하지만 컨텍스트가 없는 가시성 향상은 그저 노이즈에 불과합니다. 오늘날의 보안팀에게 가장 큰 문제는 더 이상 데이터 부족이 아닙니다. 바로 그것의 압도적인 잉여입니다. 대부분의 보안 전문가는 "이제 어떻게 해야 할까요?"라는 믿을 수 없을 정도로 간단한 하나의 질문에 답하기 위해 수많은 대시보드를 탐색하면서 하루를 시작합니다.
잘못된 구성 하나를 파악하기 위해 도구를 바꿔가며 사용해야 한다면 사고를 예방할 기회를 놓치게 됩니다. 그래서 Cloudflare는 사후 모니터링에서 사전 제어로 전환하여 방어자에게 힘을 실어주도록 설계된 단일 인터페이스인 보안 개요 대시보드를 개선했습니다.
새로운 보안 개요 대시보드.
지금까지 대시보드는 발생한 모든 것 을 보여주는 데 중점을 두었습니다. 하지만 바쁜 보안 분석가에게 더 중요한 질문은 "지금 바로 수정해야 하는 것은 무엇일까요?"입니다.
이 문제를 해결하기 위해 Cloudflare는 보안 조치 항목을 도입하고 있습니다. 이 기능은 감지와 조사 사이에 역할을 하는 다리 역할을 하여 취약점을 드러나게 하므로 더 이상 일일이 찾을 필요가 없습니다. 항목은 효과적으로 분류하는 데 도움이 되도록 중요도에 따라 순위를 매겼습니다.
인사이트 유형(예: 의심스러운 활동 또는 안전하지 않은 구성)별로 필터링하여 조직에서 가장 직면하는 특정 위협에 맞게 워크플로우를 조정할 수 있습니다.
가장 일반적인 침해 원인 중 하나는 보안 도구의 부재가 아니라, 도구를 사용하지 않았거나 잘못 구성되었다는 사실입니다. 이를 구성 격차라고 합니다.
새로운 감지 도구 모듈은 이러한 사각지대를 해소합니다. 트래픽이 실제로 검사되고 있는지 확인하기 위해 중첩 설정 페이지를 살펴보는 대신, 하나의 보기에서 전체 Cloudflare 보안 스택에 대한 높은 수준의 상태를 제공합니다.
귀하의 주요 방어막은 활성화되어 있나요, 아니면 변동성이 증가된 기간에 "로그 전용" 모드를 사용하고 있나요?
섀도우 API를 발견하고 계신가요, 아니면 맹목적인 공격을 하고 계신가요?
보안 조치 항목과 함께 이러한 도구를 직접 표시함으로써, 대화는 "우리는 이 도구를 보유하고 있는가?"에서 "이 도구가 지금 능동적으로 우리를 보호하고 있는가?"로 바뀝니다.
높은 수준의 요약은 그 이면의 데이터만큼만 중요합니다. 위험 신호에서 솔루션으로 원활하게 전환할 수 있도록 의심스러운 활동 카드의 가시성을 통합했습니다. 이제 이 카드는 보안 개요와 보안 분석 페이지라는 두 군데 전략적 위치에 있습니다.
개요 페이지에서 관심을 끄는 의심스러운 활동 카드를 발견하면 수동으로 Analytics로 이동하여 필터를 다시 만들 필요가 없습니다. 카드를 클릭하면 자동으로 모든 관련 필터가 적용되는 보안 분석 대시보드로 딥링크됩니다. 이렇게 하면 사고 대응 속도를 늦추는 "탭 전환 세금"이 제거되어 워크플로우가 유동적이고 응답 시간이 빨라집니다.
선제적인 방어를 유지하기 위해, Cloudflare 엔진에서 매일 1,000만 개 이상의 실행 가능한 인사이트를 생성하고 새로 고침하여 보호 기능을 항상 최신 상태로 유지합니다.
이 수준에서 운영하면 두 가지 엔지니어링 과제가 발생합니다. 첫 번째는 규모입니다. 즉, 방대한 양의 데이터를 원활하게 처리하는 것입니다. 두 번째이자 거의 틀림없이 더 어려운 문제는 범위입니다. 진정한 보안은 전체 스택에 걸쳐 수평적입니다. 위험과 취약점을 종합적으로 파악할 수 있는 실행 가능한 인사이트를 생성하려면 Cloudflare 엔진은 간단한 SSL 인증서부터 복잡한 AI 봇 구성에 이르기까지 모든 것을 검증해야 합니다.
이 문제를 해결하기 위해 Cloudflare는 체커라고 부르는 더 작고 특화된 마이크로 서비스로 구성된 시스템을 구축했습니다. 각 검사기는 DNS 레코드와 같은 스택의 특정 부분에 대한 주제 전문가입니다. 체커가 분산되어 있으므로 두 가지 방식으로 시스템에 연결되어 독립적으로 확장할 수 있습니다. 예약된 구성 확인 또는 이벤트 발생 즉시 위험을 알리는 실시간 리스너.
1. 예약 검사: 심층 검사가 필요한 위험에 대해 이 모드를 배포합니다. 오케스트레이션(스케줄러)이 체커가 실행할 작업을 주기적으로 푸시합니다. 우리는 대규모 병렬 시스템에 검사기 워크로드를 분산시킵니다. 예를 들어, DNS 검사기로 전송되는 작업은 다음과 같을 수 있습니다. "xyz.com 영역의 모든 DNS 관련 구성을 스캔하고 이상 징후를 찾아라."
체커는 이러한 작업을 독립적으로 수행합니다. 이들은 전문 인텔리전스를 사용하여 자산과 구성을 스캔합니다. DNS 검사기의 경우 전문적이고 지능형 규칙을 사용하여 영역의 모든 DNS 자산과 구성(A/AAAA/CNAME 레코드, DMARC, SPF 레코드 등)을 스캔합니다.
인사이트 수명 주기는 다음과 같습니다.
메시지가 수신되면 검사기가 활성화됩니다.
이 검사기는 영역 또는 계정에 대한 관련 자산(예: DNS 레코드)을 수집합니다.
이 검사기는 여러 가지 검사를 실행하여 자산의 상태를 확인합니다(예: CNAME 레코드가 서버를 가리키는 경우).
상태 또는 구성이 필요한 임계값을 충족하지 못하는 경우 인사이트에 플래그가 지정됩니다.
다음 확인 중에 인사이트가 지속되면 타임스탬프가 업데이트됩니다.
다음 확인에서 통찰력이 수정된 경우 데이터베이스에서 제거됩니다.
2. 이벤트 핸들러: 체커는 24시간 내내 일정에 따라 작동하는 반면, 이벤트 핸들러는 실시간으로 작동합니다. 이들은 제어판에서 신호와 이벤트를 수신 대기합니다.
실시간 규칙 세트 인사이트 수명 주기는 다음과 같습니다.
WAF 규칙 구성이 수정된 경우.
변경의 세부 정보를 포함하는 이벤트가 즉시 트리거됩니다.
적극적으로 수신하는 규칙 집합 핸들러가 작동합니다.
핸들러가 이상을 감지했습니다. 예를 들어, Cloudflare 관리 규칙 집합을 활성화했지만 "로그 전용" 모드로 두는 등의 이상 상황을 감지했습니다.
처리기는 공격이 기록되고 있지만 차단되지는 않았다고 추론합니다.
핸들러가 인사이트를 등록하여 대시보드에서 사용할 수 있도록 합니다.
구성이 보안 설정으로 업데이트된 경우 핸들러는 인사이트를 지웁니다.
규칙 집합 핸들러는 실시간이라는 특성으로 인해 잘못된 구성을 플래그 지정하거나 즉시 수정 사항을 확인할 수 있습니다.
보안 가시성을 컨텍스트에 맞는 인사이트로 통합하기
고객은 가시성 이상의 것을 지속적으로 요구해 왔습니다. 바로 맥락을 요구했던 것입니다. 레코드가 잘못 구성되었다는 알림은 유용하지만, 이게 다가 아닙니다. 즉각적이고 자신 있는 조치를 취하려면 방어자는 "그래서 무엇을?"을 알고 있어야 합니다. 여기에는 비즈니스 영향과 기술적 근본 원인이 포함됩니다. 이 문제를 해결하기 위해 Cloudflare에서는 당사 감지 엔진을 위한 컨텍스트 인사이트를 개발했습니다. 트래픽 양과 같은 데이터를 손상된 A 레코드로 표면화하여 모든 인사이트를 행동을 위한 초대가 되도록 합니다.
Cloudflare는 DNS 인사이트의 깊이를 확장하는 것으로 이 컨텍스트 인사이트 여정을 시작하고 있습니다. 단순히 깨진 레코드에 플래그를 지정하는 대신, 매달린 신호를 추가적인 컨텍스트 및 실시간 트래픽 데이터와 연관시켜 ‘이유’와 ‘어떻게’를 제공합니다.
'매달린 A/AAAA/CNAME 레코드' 인사이트를 예로 살펴보겠습니다.
이러한 인사이트를 제공하려면 매초 네트워크에 흐르는 엄청난 양의 데이터를 분석해야 합니다. 배후에서 진행되는 작업에 대한 아이디어는 다음과 같이 설명합니다.
Cloudflare 엔진은 매주 1억 개 이상의 DNS 레코드를 검사합니다. 지난 주에 Cloudflare 엔진에서는 100만 개 이상의 매달린 DNS 레코드를 확인했습니다. 대부분(97%)은 Dangling A/AAAA 레코드이고, 나머지 3%는 Dangling CNAME 레코드입니다.
31,000개의 매달린 CNAME 레코드 중:
이는 하위 도메인 탈취를 위한 우선순위가 높은 표적이라는 것을 의미합니다. 공격자는 이렇게 폐기된 클라우드 리소스를 직접 제어하고 하위 도메인을 즉시 제어하여 이들이 피싱 공격을 실행하거나 여러분이 신뢰할 수 있는 브랜드로 허위 정보를 퍼뜨리도록 만들 수 있습니다. 수천 번의 적중이 발생하는 매달린 레코드는 하위 도메인 탈취에 대한 우선순위가 높은 위험이 되며, 위협을 즉시 측정하고 완화하기 위해 즉각적인 복원이 필요합니다.
Cloudflare DNS 검사기는 2단계 프로세스를 사용하여 이러한 인사이트를 생성합니다
1단계: 능동적 인사이트 감지
2단계: 컨텍스트 강화
관련된 2단계 프로세스에 초점을 맞춰 dangling DNS 레코드 인사이트가 생성되는 방식을 심층적으로 살펴보겠습니다.
IP 주소를 가리키는 DNS 레코드는 그 뒤에 있는 서버가 몇 달 전에 사용이 중단된 경우에도 문서상으로는 완벽하게 유효해 보이는 경우가 많습니다. 이 위험이 실제 상황인지 확인하기 위해 저희 엔진은 네트워크 외부로 나가서 실시간으로 목적지를 조사해야 합니다. 수행되는 검사는 다음과 같이 범주화할 수 있습니다.
데드 서버 검사(A/AAAA 레코드): IP 주소를 직접 가리키는 레코드의 경우 대상이 여전히 활성 상태인지 확인합니다. Cloudflare 엔진이 전용 송신 프록시를 가동하여 HTTP 및 HTTPS를 통해 원본에 연결합니다. 이 특별한 게이트웨이를 사용함으로써 실제 사용자가 Cloudflare의 네트워크 외부에서 연결하는 방법을 시뮬레이션합니다. 연결 시간이 초과되거나 서버에서 "404 Not Found" 오류가 반환되면 Cloudflare에서는 리소스가 작동하지 않은 것으로 확인합니다. 이는 DNS 레코드가 빈 부지를 가리키는 라이브 이정표인 "매달려(dangling)" 있다는 것입니다.
도용 확인(CNAME 레코드): 도메인 별칭(CNAME)은 종종 트래픽을 헬프 데스크나 스토리지 버킷과 같은 타사 서비스에 위임합니다. 해당 서비스를 취소했지만 DNS 레코드 삭제를 잊은 경우, 공격자가 요청할 수 있는 "매달린" 링크가 생성됩니다.
이를 찾기 위해 Cloudflare 엔진에서는 3단계 프로세스를 수행합니다.
먼저 최종 목적지(예: my-bucket.s3.amazonaws.com)를 찾기 위해 CNAME 레코드를 재귀적으로 확인하여 체인을 추적합니다.
다음으로, 대상이 AWS, Azure, Shopify 등 알려진 클라우드 서비스에 속하는지 확인하여 공급자를 식별합니다.
마지막으로 공석을 확인합니다. 각 클라우드 공급자는 리소스가 존재하지 않는 경우 특정 오류 패턴을 반환합니다(예: S3의 "NoSchBucket"). 대상 URL을 조사하고 이러한 패턴과 매칭하여 리소스의 소유권을 주장할 수 있는지 확인합니다.
리소스가 릴리스되었지만 DNS 레코드가 남아 있음을 Cloudflare 엔진에서 감지하는 경우, 공격자가 하위 도메인을 장악하기 전에 레코드를 제거하라는 메시지를 표시하는 인사이트를 생성합니다.
기록이 손상된 것으로 확인되면, 더 나은 조치를 취할 수 있도록 인사이트에 필요한 컨텍스트를 추가합니다. 이 검사기는 다양한 시스템에 연결하여 필요한 컨텍스트를 수집합니다. 매달린 인사이트는 세 가지 중요한 차원에 집중합니다.
클릭하우스에 대한 쿼리는 다음과 같습니다.
SELECT query_name,
sum(_sample_interval) as total
FROM <dnslogs_table_name>
WHERE account_id = {{account_id}}
AND zone_id = {{zone_id}}
AND timestamp >= subtractDays(today(), 7)
AND timestamp < today()
AND query_name in ('{{record1}}', '{{record2}}', ...)
GROUP BY query_name
이 쿼리는 "지난 7일 동안 실제 사용자가 이 깨진 특정 레코드를 몇 번이나 요청했습니까?"라는 질문을 묻습니다.
IP 레코드(A/AAAA)의 경우: Cloudflare는 R2 버킷 의 최신 지리적 위치 데이터를 통해 네트워크 소유자(ASN)의 신원을 파악하고 메모리에서 고속 조회를 수행합니다. 이는 사용 불능 상태인 리소스가 정확히 어디에 존재했는지(예: "Google Cloud" 대 "DigitalOcean") 알려주므로 조사 속도가 빨라집니다.
CNAME 기록의 경우: 당사는 특정 호스팅 공급자 (예: AWS S3, Shopify)를 식별합니다. 따라서 위험 수준이 달라집니다. 기록이 쉽게 탈취하는 것으로 알려진 공급자(예: S3)를 가리키는 경우에는 위험으로 표시합니다. 그렇지 않은 경우는 보통입니다.
이를 통해 수정의 "지연 시간"을 알 수 있습니다. TTL이 높은(예: 24시간) 매달린 레코드를 삭제하면 전 세계 확인자에 하루 종일 캐시된 상태로 유지되므로 취약점을 패치한 후에도 취약성이 유지됩니다. 이를 알면 인시던트 대응 중 기대치를 관리하는 데 도움이 됩니다.
이 경험은 오늘 도메인 수준에서 출시되지만, 기업 고객의 경우 보안을 한 번에 한 도메인에서만 관리하는 것이 아니라는 점을 잘 알고 있습니다. 우리 로드맵은 이러한 인텔리전스를 계정 수준에 다음 단계로 제공하는 데 중점을 두고 있습니다. 이제 곧 보안 팀은 모든 Cloudflare 도메인에서 보안 작업 항목을 집계하고 가장 중요한 위험의 우선순위를 정하는 중앙 집중식 보기를 사용할 수 있게 됩니다.
보안은 따라잡는 게임처럼 느껴져서는 안 됩니다. 애플리케이션 보안 관리의 복잡성으로 인해 공격자에게 유리한 위치로 너무 오랫동안 노출되어 있었습니다. 특화된 검사기와 실시간 이벤트 핸들러로 구성된 Cloudflare의 아키텍처를 통해 잠재적인 위험을 감지하고 중요한 컨텍스트로 보강하여 방어자가 신속하고 정확하게 대응할 수 있도록 합니다.
새로운 보안 개요는 위험 데이터가 우선순위가 지정된 전략으로 변환되는 곳인 이제 하루의 출발점입니다. Cloudflare 대시보드에 로그인 하여 새로운 애플리케이션 보안 개요 페이지를 살펴보세요!