Cloudflare가 Zero Trust WARP에 MASQUE(HTTP/3·QUIC 기반 터널링)를 통합해 어디서나 연결성, 대규모 신뢰성, FIPS 준수 암호화 등을 제공하는 이유와 기대 효과를 소개합니다.
2023년 6월, 우리는 WARP에 새로운 프로토콜인 MASQUE를 구축하고 있다고 알려드린 바 있습니다. MASQUE는 HTTP/3의 기능을 확장하고, QUIC 전송 프로토콜의 고유한 특성을 활용해 성능이나 프라이버시를 희생하지 않으면서 IP 및 UDP 트래픽을 효율적으로 프록시할 수 있게 해주는 매력적인 프로토콜입니다.
동시에 우리는 Zero Trust 고객들로부터 MASQUE만이 제공할 수 있는 기능과 솔루션에 대한 수요가 증가하는 것을 보아 왔습니다. 모든 고객은 방화벽에 의해 탐지되거나 차단되는 일을 피하기 위해 WARP 트래픽이 HTTPS처럼 보이기를 원합니다. 또한 상당수 고객은 FIPS를 준수하는 암호화를 요구하기도 합니다. 우리는 여기서 좋은 해법을 갖고 있고, 이는 다른 곳에서 이미 검증되기도 했습니다(아래에서 더 설명합니다). 그래서 우리는 MASQUE를 Zero Trust WARP에 통합하고, 모든 Zero Trust 고객에게 WARP 속도로 제공할 예정입니다!
이 글에서는 Cloudflare One 고객이 MASQUE를 통해 얻게 될 핵심 이점 일부를 소개합니다.
Cloudflare는 더 나은 인터넷을 만드는 데 기여한다는 사명을 가지고 있습니다. 그리고 이는 디바이스 클라이언트와 WARP를 통해 거의 5년 동안 이어 온 여정이기도 합니다. WARP의 전신은 2018년에 출시된 1.1.1.1로, 가장 빠르고 프라이버시를 우선하는 소비자용 DNS 서비스였습니다. WARP는 2019년에 1.1.1.1 서비스에 WARP를 더한, 고성능·보안 중심의 소비자용 DNS 및 VPN 솔루션으로 발표되었습니다. 그리고 2020년에는 Cloudflare의 Zero Trust 플랫폼과 Zero Trust 버전의 WARP를 소개해, 어떤 IT 조직이든 자사 환경을 안전하게 보호할 수 있도록 지원했습니다. 여기에는 우리가 자체 IT 시스템을 보호하기 위해 처음 만들었던 도구 모음이 포함되어 있습니다. MASQUE를 적용한 Zero Trust WARP는 이 여정의 다음 단계입니다.
WireGuard는 2019년 1.1.1.1 with WARP 서비스에 완벽한 선택이었습니다. WireGuard는 빠르고, 단순하며, 안전합니다. 당시 사용자 프라이버시를 보장하기 위해 정확히 우리가 필요로 했던 것이었고, 지금까지도 기대를 모두 충족해 왔습니다. 시간을 되돌려 다시 선택해야 하더라도 우리는 같은 결정을 내렸을 것입니다.
하지만 단순함의 반대편에는 어느 정도의 경직성이 있습니다. 우리는 Zero Trust 고객에게 더 많은 기능을 제공하기 위해 WireGuard를 확장하고 싶지만, WireGuard는 쉽게 확장할 수 없습니다. 더 나은 세션 관리, 고급 혼잡 제어, 또는 단순히 FIPS 준수 암호 스위트를 사용할 수 있는 기능과 같은 것들은 WireGuard 내에서 선택지가 아닙니다. 이런 기능은 가능하다고 하더라도 독자적인 확장으로 추가해야 합니다.
또한 WireGuard는 VPN 솔루션에서 인기가 많지만 표준 기반이 아니기 때문에, 비표준 트래픽이 (의도적으로든 아니든) 차단될 수 있는 인터넷 환경에서 ‘일등 시민’으로 취급되지 않습니다. WireGuard는 기본적으로 비표준 포트인 51820 포트를 사용합니다. Zero Trust WARP는 WireGuard 터널에 2408 포트를 사용하도록 바꾸지만, 여전히 비표준 포트입니다. 자체 방화벽을 제어하는 고객에게는 문제가 아닙니다. 해당 트래픽을 허용하면 되니까요. 하지만 수많은 공용 Wi‑Fi 장소나 전 세계 약 7,000개의 ISP는 WireGuard를 알지 못해 이러한 포트를 차단하곤 합니다. ISP가 WireGuard가 무엇인지 알고도 의도적으로 차단하는 경우도 겪었습니다.
이는 동네 카페, 호텔, 비행기 등 캡티브 포털이나 공용 Wi‑Fi가 있는 곳에서, 심지어 때로는 지역 ISP 환경에서 이동 중인 Zero Trust WARP 사용자에게 큰 혼란을 초래할 수 있습니다. 사용자는 Zero Trust WARP로 안정적인 접속을 기대하는데, 디바이스가 Cloudflare 글로벌 네트워크에 연결하지 못해 좌절하게 됩니다.
이제 우리는 또 하나의 검증된 기술, HTTP/3와 QUIC을 사용하고 확장하는 MASQUE를 갖게 되었습니다. Cloudflare가 왜 MASQUE가 미래라고 믿는지 더 잘 이해하기 위해, HTTP/3와 QUIC을 간단히 복습해 봅시다.
HTTP/3와 QUIC은 인터넷 진화에서 가장 최근의 발전 중 하나로, 웹사이트나 API 같은 엔드포인트에 더 빠르고 더 신뢰할 수 있으며 더 안전한 연결을 가능하게 합니다. Cloudflare는 IETF(Internet Engineering Task Force)를 통해 업계 파트너들과 긴밀히 협력하며 QUIC의 RFC 9000과 HTTP/3의 RFC 9114 개발에 참여했습니다. HTTP/3와 QUIC의 기본적인 이점에 대한 기술적 배경은 2019년 Cloudflare 글로벌 네트워크에서 QUIC 및 HTTP/3 지원을 발표한 블로그 글에서 다뤘습니다.
Zero Trust WARP와 가장 관련이 깊은 부분으로, QUIC은 패킷 병합(packet coalescing)과 멀티플렉싱(multiplexing) 덕분에 저지연 또는 높은 패킷 손실 환경에서 더 나은 성능을 제공합니다. 핸드셰이크 동안 서로 다른 컨텍스트에 있는 QUIC 패킷은 같은 UDP 데이터그램으로 병합될 수 있어, 수신 및 시스템 인터럽트 횟수를 줄일 수 있습니다. 멀티플렉싱을 통해 QUIC은 하나의 UDP 연결 내에서 여러 HTTP 세션을 운반할 수 있습니다. 또한 Zero Trust WARP는 프로토콜에 TLS 1.3이 내장된 QUIC의 높은 수준의 프라이버시 이점도 누릴 수 있습니다.
MASQUE는 TCP 및 UDP 트래픽을 효율적으로 터널링할 수 있도록, 프록싱을 위한 애플리케이션 계층 구성 요소를 제공함으로써 QUIC의 잠재력을 열어줍니다. Zero Trust WARP에서 MASQUE는 HTTP/3 위에 터널을 수립하는 데 사용되며, 이는 오늘날 WireGuard 터널링이 제공하는 것과 동일한 역량을 제공합니다. 앞으로는 MASQUE 워킹 그룹에 대한 Cloudflare의 지속적인 참여를 바탕으로, MASQUE를 활용해 더 많은 가치를 추가할 수 있는 위치에 서게 될 것입니다. MASQUE를 더 깊이 파고들고 싶은 분이라면, QUIC 프록싱 잠재력 열기 글도 읽어볼 만합니다.
좋습니다. Cloudflare가 WARP에 MASQUE를 사용한다는 것은, Zero Trust 고객인 여러분에게 어떤 의미일까요?
오늘날 Cloudflare 네트워크는 120개 이상의 국가, 310개 이상의 도시에 걸쳐 있으며 전 세계 13,000개 이상의 네트워크와 상호 연결되어 있습니다. HTTP/3와 QUIC은 2019년에 Cloudflare 네트워크에 도입되었고, HTTP/3 표준은 2022년에 최종 확정되었습니다. 2023년에는 우리 네트워크의 전체 HTTP 트래픽 중 약 30%를 차지했습니다.
또한 우리는 iCloud Private Relay 및 기타 프라이버시 프록시 파트너를 위해 MASQUE를 사용하고 있습니다. Rust 기반 프록시 프레임워크부터 오픈 소스 QUIC 구현체에 이르기까지, 이러한 파트너십을 구동하는 서비스들은 이미 전 세계 네트워크에 배포되어 있으며 빠르고 탄력적이며 신뢰할 수 있음이 입증되었습니다.
Cloudflare는 이미 MASQUE, HTTP/3, QUIC을 대규모로 안정적으로 운영하고 있습니다. 그래서 여러분, 즉 Zero Trust WARP 사용자이자 Cloudflare One 고객 여러분도 동일한 신뢰성과 규모의 혜택을 누릴 수 있기를 바랍니다.
직원들은 인터넷 연결이 가능한 곳이라면 어디서든 접속할 수 있어야 합니다. 하지만 많은 보안 엔지니어가 방화벽과 기타 네트워킹 장비를 기본적으로 모든 포트를 차단하고, 가장 잘 알려져 있고 흔히 쓰이는 포트만 열도록 구성하기 때문에 이는 어려울 수 있습니다. 앞서 언급했듯, 이는 이동 중인 Zero Trust WARP 사용자에게 큰 불편을 줍니다.
우리는 이 문제를 해결하고, 사용자들의 좌절을 없애고자 합니다. HTTP/3와 QUIC은 완벽한 해답을 제공합니다. QUIC은 UDP(프로토콜 번호 17) 위에서 동작하고, HTTP/3는 암호화 트래픽을 위해 포트 443를 사용합니다. 둘 다 잘 알려져 있고 널리 사용되며, 차단될 가능성이 매우 낮습니다.
우리는 Zero Trust WARP 사용자가 어디에 있든 안정적으로 연결되기를 바랍니다.
MASQUE는 QUIC과 함께 TLS 1.3을 활용하며, 이는 다양한 암호 스위트 선택지를 제공합니다. WireGuard 또한 표준 암호 스위트를 사용합니다. 다만 어떤 표준은, 말하자면, 다른 표준보다 더 ‘표준’에 가깝습니다.
미국 상무부 산하의 NIST(National Institute of Standards and Technology)는 기술 전반에 걸쳐 방대한 일을 수행합니다. 우리에게 특히 중요한 것은 NIST가 네트워크 보안에 대해 수행하는 연구로, 그 결과물이 FIPS 140-2 및 유사한 문서들로 이어진다는 점입니다. NIST는 개별 암호 스위트를 연구하고 사용을 권장하는 목록을 게시하며, 이러한 권고는 미국 정부 기관의 요구사항이 됩니다. 다른 많은 고객(정부 및 상업 고객 모두)도 동일한 권고를 요구사항으로 사용합니다.
Zero Trust WARP를 위한 우리의 첫 번째 MASQUE 구현은 TLS 1.3과 FIPS 준수 암호 스위트를 사용할 것입니다.
Cloudflare 엔지니어들은 모바일 앱, 데스크톱 클라이언트, 그리고 Cloudflare 네트워크 전반에 MASQUE를 구현하기 위해 열심히 작업하고 있습니다. 진척은 순조로우며, 2024년 2분기 초에 Cloudflare One 고객을 대상으로 베타 테스트를 시작할 예정입니다. 참여 방법에 대해서는 담당 계정 팀이 안내드릴 것입니다.
Cloudflare는 5년 전에 WARP를 출시했고, 그 이후로 큰 진전을 이뤘습니다. Zero Trust WARP에 MASQUE를 도입하는 것은 큰 도약이며, 위에서 언급한 이점들을 즉시 제공할 것입니다. 하지만 여기서 끝이 아닙니다. 우리는 MASQUE가 QUIC과 HTTP/3의 역량을 활용해 혁신적인 Zero Trust 솔루션을 구축할 새로운 기회를 연다고 믿습니다. 또한 Zero Trust 고객을 위한 다른 새로운 기능들도 계속 개발하고 있습니다. Cloudflare는 더 프라이버시 친화적이고 안전하며, 확장 가능하고 신뢰할 수 있고 빠른 더 나은 인터넷을 만드는 사명을 계속 이어갈 것입니다. 이 흥미로운 여정에 함께하고 싶다면 채용 공고를 확인해 보세요.
Cloudflare의 커넥티비티 클라우드는 기업 전체 네트워크를 보호하고, 고객이 인터넷 규모의 애플리케이션을 효율적으로 구축하도록 돕고, 어떤 웹사이트 또는 인터넷 애플리케이션이든 가속하며, DDoS 공격을 차단하고, 해커를 막아내며, Zero Trust 여정 전반을 지원할 수 있습니다.
어떤 디바이스에서든 1.1.1.1에 방문해 인터넷을 더 빠르고 안전하게 만들어주는 무료 앱을 시작해 보세요.
더 나은 인터넷을 만들기 위한 우리의 사명에 대해 더 알아보고 싶다면 여기서 시작하세요. 새로운 커리어를 찾고 있다면 채용 공고를 확인해 보세요.
Security Week Product News Cloudflare Access Better Internet WARP HTTP3 TLS 1.3 Privacy QUIC 1.1.1.1
