Cloudflare, 비공개 앱 보안 강화 기능 베타 출시
기존 인터넷의 퍼블릭/프라이빗 인프라 분리 모델이 점점 희미해지고 있음
비공개 애플리케이션(Private Applications)에 WAF, 봇 관리, 캐싱 등 보안 및 성능 서비스 적용 필요성 증대
Cloudflare, Application Services for Private Origins 베타 출시로 퍼블릭 IP 노출 없이 비공개 애플리케이션 보호 기능 제공
Cloudflare Tunnel, Cloudflare One Client 등 기존 연결 모델을 활용하여 별도 커넥터 소프트웨어 없이 보안 및 성능 서비스 적용 가능
비공개 애플리케이션 라우팅의 기술적 진화
기존에는 비공개 애플리케이션(Private Applications)에 보안 및 성능 서비스를 적용하기 위해 퍼블릭 IP 노출, 방화벽 예외 설정, 커넥터 소프트웨어 설치 등 복잡한 네트워킹 구성이 필수였다.
Cloudflare Tunnel은 cloudflared 커넥터를 통해 퍼블릭 트래픽을 비공개 애플리케이션으로 라우팅했으나, 이번 업데이트는 별도 커넥터 없이 Cloudflare WAN 또는 Mesh 연결을 통해 동일한 기능을 제공한다.
RFC 1918, RFC 6598, RFC 4193 사설 IP 대역에 대한 자동 라우팅 활성화 및 `use_private_routing` 플래그를 통한 API 기반 설정 지원으로 운영 복잡성을 크게 줄였다.
결과적으로, 기존 사설 네트워크 연결(IPsec, GRE, CNI 등)을 그대로 활용하여 WAF, 봇 관리, 캐싱 등의 Cloudflare 애플리케이션 서비스 스택을 비공개 애플리케이션에 적용할 수 있게 되었다.
애플리케이션 서비스 스택의 통합 모델
이번 업데이트는 Cloudflare의 애플리케이션 서비스 스택(Application Services Stack)과 프라이빗 네트워킹 라우팅 레이어(Private Networking Routing Layer)를 통합하여 단일화된 모델을 제공한다.
사용자 위치(User Location)와 애플리케이션 위치(Application Location)에 따라 네 가지 트래픽 흐름(Public-to-Public, Private-to-Public, Public-to-Private, Private-to-Private)을 지원한다.
특히, Public-to-Private 트래픽은 기존 Cloudflare Tunnel 외에도 Cloudflare WAN, Mesh 등 다양한 연결 방식을 지원하며, Workers VPC 바인딩과 Spectrum 프라이빗 오리진 라우팅도 동일한 프라이빗 연결 레이어를 사용한다.
이는 단일 진실 공급원(Single Source of Truth)을 통해 고객 환경 내 프라이빗 트래픽 흐름을 제어할 수 있게 하여, 제품 간 일관성을 높이고 관리 부담을 줄인다.
HTTP 외 프로토콜 지원 확장 (Spectrum, Workers VPC)
Cloudflare의 이번 업데이트는 HTTP 애플리케이션뿐만 아니라 TCP 및 UDP 기반 서비스까지 보안 및 성능 서비스를 확장 적용할 수 있도록 지원한다.
Spectrum: 기존에는 로드 밸런서 풀을 사용해야 했으나, 이제 `virtual_network_id`를 직접 지정하여 TCP/UDP 서비스에 대한 프라이빗 오리진 라우팅을 지원한다. 이는 공개 IP나 커넥터 소프트웨어 없이 프라이빗 IP에서 실행되는 서비스에 Spectrum을 적용할 수 있게 한다.
Workers VPC: Workers 런타임이 동일한 프라이빗 경로를 통해 VPC 내 리소스에 접근할 수 있도록 하여, Workers에서 내부 API나 데이터베이스에 직접 접근하는 시나리오를 지원한다.
결과적으로, 프로토콜이나 요청 출처에 관계없이 Cloudflare의 보안, 성능, 라우팅 계층이 프라이빗 네트워크의 애플리케이션을 보호하는 일관된 경험을 제공한다.
API를 통한 프라이빗 라우팅 설정 자동화
Cloudflare API를 통해 프라이빗 라우팅 설정을 자동화할 수 있으며, 이는 표준 DNS 레코드에 `use_private_routing` 속성을 추가하는 방식으로 구현된다.
API 요청 시, `content` 필드에 비공개 IP 주소를 지정하고 `proxied: true`와 함께 `use_private_routing: true`를 설정한다.
Cloudflare 프록시 플랫폼은 이 플래그를 보고 트래픽을 프라이빗 네트워킹 레이어로 전달하여 고객의 기존 프라이빗 네트워크 연결(IPsec, GRE, Cloudflare Tunnel, CNI, Mesh 등)을 통해 라우팅한다.
이는 IaC(Infrastructure as Code) 환경에서 비공개 애플리케이션에 대한 보안 및 성능 설정을 동적으로 관리하고 배포하는 것을 가능하게 하여, CI/CD 파이프라인과의 통합을 용이하게 한다.
향후 로드맵: 프라이빗 간 트래픽 흐름 지원
현재 베타 버전은 Public-to-Private 트래픽 라우팅에 중점을 두고 있으며, 2026년 Q4 정식 출시(GA)를 목표로 하고 있다.
향후에는 Private-to-Private 트래픽 흐름을 지원하여, 프라이빗 네트워크 내의 사용자와 애플리케이션이 Cloudflare의 애플리케이션 서비스를 통해 서로 안전하게 통신할 수 있도록 확장할 계획이다.
최종적으로는 사용자와 오리진의 위치(Public/Private)에 관계없이 동일한 Cloudflare 인프라가 트래픽을 보호하는 모델을 지향한다.
이는 사내 위키 접근부터 내부 API를 사용하는 AI 에이전트까지, 모든 트래픽에 대해 일관된 보안 및 제어 기능을 제공하는 것을 목표로 한다.
