Cloudflare, API 보안 강화… 모든 HTTP 트래픽 차단
Cloudflare가 자사의 API 엔드포인트에서 모든 HTTP(비암호화) 트래픽을 차단하고, HTTPS(암호화) 연결만 허용한다고 발표했다.
이 조치는 실수로라도 민감한 정보가 평문으로 노출되는 위험을 차단하기 위한 것으로, 기존에는 HTTP 요청을 거부하거나 HTTPS로 리디렉션했지만, 이제는 아예 HTTP 연결 자체를 차단한다.
Cloudflare는 공식 발표에서 "오늘부터 api.cloudflare.com에 대한 모든 비암호화 연결은 완전히 거부된다"고 밝히며, "이제 HTTP 요청에 대해 403 Forbidden 응답을 기대할 수 없으며, 연결 자체가 설정되지 않는다"고 설명했다.
보안 강화 이유와 영향
Cloudflare API는 DNS 관리, 방화벽 설정, DDoS 보호, 캐싱, SSL 설정, 보안 정책 관리 등에 사용된다. 기존에는 HTTP 요청을 리디렉션하거나 차단했지만, 그 과정에서 API 키나 토큰이 유출될 위험이 있었다. 특히, 공용 Wi-Fi 같은 환경에서는 중간자 공격(MITM)의 가능성이 높아 추가적인 보안 강화가 필요했다.
이번 조치로 인해 HTTP를 사용하는 모든 스크립트, 봇, 자동화 도구는 작동이 중단된다. 또한, HTTPS를 기본 지원하지 않는 레거시 시스템, IoT 기기, 저수준 클라이언트에도 영향을 미칠 수 있다.
Cloudflare는 연말까지 안전한 HTTP 비활성화 옵션을 제공할 계획이며, 사용자는 대시보드에서 HTTPS 대비 HTTP 트래픽 비율을 확인하고 변화에 대비할 수 있다. 현재 Cloudflare 시스템을 통과하는 인터넷 트래픽 중 약 2.4%가 여전히 HTTP로 이루어지고 있으며, 자동화된 트래픽을 포함하면 이 비율이 17%까지 증가한다고 밝혔다.