Cloudflare가 소비자용 WARP iOS 앱 베타에 HTTP/3·QUIC 기반 프록시 메커니즘인 MASQUE를 도입해 더 빠르고 안정적인 성능을 제공하는 과정을 소개한다.
처음 WARP를 발표했을 때, 우리는 다른 VPN들과는 다른 제품을 내놓는다는 것을 알고 있었습니다. Cloudflare는 일반적인 VPN 제공업체보다 훨씬 많은 데이터 센터를 보유하고 있을 뿐만 아니라, 개방형 인터넷 표준 채택 동향을 독특한 관점에서 볼 수 있습니다. 이 두 가지 요인이 맞물려 오늘의 발표로 이어졌습니다. 바로, 소비자용 WARP iOS 앱 베타 버전에 최첨단 신규 프로토콜인 MASQUE를 지원한다는 소식입니다.
MASQUE는 HTTP/3를 확장하고 QUIC 전송 프로토콜의 고유한 특성을 활용해 IP 및 UDP 트래픽을 효율적으로 프록시하는 메커니즘의 집합입니다. 가장 중요한 점은, 프라이버시를 희생하지 않으면서도 인터넷 브라우징 경험을 더 빠르고 더 안정적으로 만들어 준다는 것입니다.
Cloudflare의 많은 제품이 그렇듯, 우리는 이를 먼저 무료 소비자용 기능으로 제공합니다. 모바일 기기에서 MASQUE를 대규모로 운영하는 경험을 쌓은 뒤, Zero Trust 엔터프라이즈 제품군에도 통합할 계획입니다.
WARP를 처음 만들 때 우리는 여러 이유로 WireGuard를 선택했습니다. 그중 하나는 단순함입니다. WireGuard의 강점은 여기서 빛을 발합니다. 공개키 암호화를 사용해 한 컴퓨터와 다른 컴퓨터 사이에 암호화된 터널을 만드는 약 4,000줄의 코드로 구성되어 있습니다. 암호화 부분(캡슐화와 역캡슐화)은 빠르고, 단순하며, 안전합니다. 이러한 단순성 덕분에 큰 노력 없이도 크로스 플랫폼으로 구현할 수 있었고, 오늘날 iOS, Android, macOS, Windows, Linux에서 WireGuard 클라이언트를 지원합니다.
그렇다고 해서 이 프로토콜에 문제가 전혀 없는 것은 아닙니다. 기술에서의 많은 트레이드오프처럼 WireGuard의 장점은 곧 단점이기도 합니다. 단순한 대신 경직되어 있어, 예를 들어 세션 관리, 혼잡 제어, 또는 우리가 익숙한 오류 상태 동작에서 더 빠르게 복구하는 기능 등을 쉽게 확장하기가 어렵습니다. 마지막으로 프로토콜 자체와 사용되는 암호기술이 표준 기반이 아니기 때문에, 가장 강력하다고 알려진 암호기술(예: 포스트 퀀텀 암호)을 따라가기가 어렵습니다.
MASQUE가 기대되는 이유는 인터넷이 진화해 가는 흐름에 잘 맞기 때문입니다. 올해 Cloudflare Radar 팀의 사용 현황 보고서에 따르면, HTTP/2는 현재 인터넷 트래픽의 다수가 사용하는 표준이지만 HTTP/3의 비중도 증가하고 있으며 2023년 6월 기준 28%에 달합니다. Cloudflare는 표준의 최전선을 채택하는 데 늘 힘써왔습니다. QUIC 전송 프로토콜인 RFC 9000이 발행되었을 때, 우리는 바로 다음 날 모든 Cloudflare 고객에게 이를 활성화했습니다.
그렇다면 왜 HTTP/3가 그렇게 유망하다고 생각할까요? 그 이유의 상당 부분은 HTTP/2의 성능 문제를 해결하는 데 있습니다. HTTP/3는 여러 가지를 약속합니다.
연결 수립 속도 향상: 이전 HTTP 버전의 TCP+TLS 핸드셰이크는 보통 두세 번의 왕복(round trip)이 필요합니다. QUIC은 전송과 보안 핸드셰이크를 동시에 수행해 총 왕복 횟수를 줄입니다.
헤드 오브 라인 블로킹(head of line blocking) 제거: 정보 패킷 하나가 목적지에 도달하지 못하더라도, 더 이상 모든 정보 스트림을 막아 세우지 않습니다.
민첩성과 진화: QUIC에는 강력한 확장 메커니즘과 버전 협상(version negotiation) 메커니즘이 있습니다. 또한 전송 계층의 바이트열(wire image)에서 일부 비트만 제외하고 모두 암호화하기 때문에, 새로운 전송 기능을 더 쉽고 실용적으로 배포할 수 있습니다. 반면 TCP의 진화는 시대에 뒤처진 미들박스들 때문에 방해를 받아왔습니다.
자연스럽게, 많은 사람들의 일상적인 브라우징을 위해 우리가 사용하는 프록시 프로토콜도 이런 이점을 활용하길 원합니다. 예를 들어 QUIC의 비신뢰성 데이터그램(unreliable datagram) 확장은 일반적인 웹 트래픽에는 큰 도움이 되지 않지만, 비신뢰성 하부 계층을 기대하는 UDP 또는 IP 패킷을 터널링하는 데는 이상적입니다. 비신뢰성 특성이 없으면 상위 프로토콜이 이를 문제로 받아들여 성능이 나빠질 수 있습니다. 데이터그램은 QUIC의 프록시 잠재력을 여는 데 도움을 줍니다.
HTTP GET, POST, PUT은 들어보셨겠지만 CONNECT는 어떨까요? HTTP-CONNECT는 서버 간에 터널을 열고 그 사이의 트래픽을 프록시하는 메서드입니다. 더 자세한 내용은 프록시 입문서를 참고하세요. 많은 Cloudflare 서비스가 다음과 같이 이 방식을 사용합니다.
클라이언트가 CONNECT 요청을 보내고, 프록시가 2xx(성공) 상태 코드를 반환하면 터널이 안전하게 수립됩니다. 간단하죠. 하지만 QUIC은 UDP 기반이라는 점을 기억하세요. 다행히 MASQUE 워킹 그룹은 스트림 기반 연결과 데이터그램 기반 연결을 여러 개 동시에 실행하는 방법을 찾아냈습니다. 하나를 수립하는 과정은 다음과 같습니다.
다음은 MASQUE 프록시가 동작하는 모습입니다.
개발 관점에서 MASQUE는 다른 방식으로도 성능 개선을 가능하게 합니다. 우리는 이미 iCloud Private Relay 및 다른 Privacy Proxy 파트너를 위해 이를 운영하고 있습니다. Rust 기반 프록시 프레임워크부터 오픈 소스 QUIC 구현체까지, 이러한 파트너십을 뒷받침하는 서비스들은 이미 전 세계 Cloudflare 네트워크에 배포되어 있으며 빠르고, 탄력적이며, 신뢰할 수 있음이 입증되었습니다. 우리는 대규모로 프록시를 운영하는 방법을 이미 많이 배웠지만, 개선할 여지도 여전히 큽니다. 좋은 소식은 WARP 클라이언트를 위한 MASQUE 기반 연결을 가속하기 위해 우리가 만드는 모든 성능 개선이 HTTP-CONNECT를 사용하는 고객의 성능도 함께 개선할 것이며, 그 반대도 마찬가지라는 점입니다.
프로토콜 관점에서도 MASQUE는 시간이 지나도 탄력적일 것이라 생각합니다. 위에서 보듯 연결은 443 포트를 통해 이루어지며, 이는 TCP와 UDP 모두에서 일반적인 HTTP/3 트래픽과 잘 섞이고 WireGuard보다 차단에 덜 취약합니다.
마지막으로 MASQUE는 IETF 표준이기 때문에 확장을 통한 혁신이 이미 진행 중입니다. 그중 우리가 특히 기대하는 것은 Multipath QUIC입니다. 이를 구현하면 단일 논리적 QUIC 연결에서 여러 네트워크 인터페이스를 동시에 사용할 수 있습니다. 예를 들어 모바일 기기에서 LTE와 Wi‑Fi를 동시에 사용하면 둘 사이를 매끄럽게 전환할 수 있어, 출퇴근이나 외출/귀가 중에 발생하는 성가신 끊김을 줄이는 데 도움이 됩니다.
MASQUE 지원의 ‘마법’은 꽤 멋진(그리고 아주 Cloudflare다운!) 요소들을 결합한다는 점입니다. 실제 사용자 체감 성능 이점을 제공하는 표준 기반 프록시 프로토콜, Cloudflare의 광범위하게 제공되는 Anycast 네트워크 위에서의 동작, 그리고 그 네트워크와 사용자의 휴대폰 사이 라스트 마일 구간의 암호화가 그것입니다.
MASQUE 베타 테스터 프로그램의 대기자 명단에 참여하고 싶다면, 여기에서 신청할 수 있습니다.
먼저 유효한 iOS 기기에 TestFlight를 다운로드해야 합니다. 우리는 이르면 다음 주부터, 선착순으로 TestFlight를 통해 앱 다운로드 초대장을 발송할 예정입니다. 앱을 다운로드한 뒤에는 iOS 17(이상)에서만 제공되는 베타 iOS 버전에서 MASQUE가 기본 연결로 제공됩니다.
WireGuard와 MASQUE를 전환하려면 설정(Settings) > 개인화(Personalization) > 프로토콜(Protocol)로 이동하세요.
인터넷을 지배하는 프로토콜은 바뀔 수 있지만, 소비자를 향한 우리의 약속은 동일합니다. 비용 부담 없이 더 사적인 인터넷을 제공하겠다는 약속입니다. WARP를 사용할 때에도 우리는 모든 DNS 쿼리를 프라이버시를 존중하는 DNS 리졸버 1.1.1.1을 통해 라우팅합니다. 우리는 사용자 식별이 가능한 로그 데이터를 디스크에 기록하지 않으며, 브라우징 데이터를 판매하거나 광고 타기팅을 위해 어떤 방식으로든 사용하지 않습니다. 또한 이름, 전화번호, 이메일 주소 같은 개인정보를 제공하지 않고도 WARP를 계속 사용할 수 있습니다.
Cloudflare의 Connectivity Cloud는 기업 전체 네트워크를 보호하고, 고객이 인터넷 규모의 애플리케이션을 효율적으로 구축하도록 돕고, 어떤 웹사이트나 인터넷 애플리케이션이든 가속하며, DDoS 공격을 방어하고, 해커를 차단하며, Zero Trust 여정을 지원할 수 있습니다.
어떤 기기에서든 1.1.1.1에 방문해 인터넷을 더 빠르고 안전하게 만들어주는 무료 앱을 시작해 보세요.
더 나은 인터넷을 만들기 위한 우리의 미션에 대해 더 알아보려면 여기서 시작하세요. 새로운 커리어 방향을 찾고 있다면 채용 공고를 확인해 보세요.
