Cloudflare 위협 지표를 실시간 WAF 규칙으로 전환
출처: Cloudflare Blog
2026-06-08
읽는 시간 5분
Cloudflare의 Threat Events는 보안 분석가에게 전 세계 위협 상황을 한눈에 볼 수 있는 창을 제공합니다. 이 플랫폼은 Cloudflare가 매일 처리하는 방대한 트래픽을 살펴볼 수 있게 해 주어, 실시간으로 어떤 IP가 특정 산업을 공격하고 있는지, 혹은 어떤 위협 행위자가 전 세계적으로 트렌드인지 확인할 수 있습니다. 하지만 이러한 가시성을 실제 방어 조치로 전환하는 일은 대부분 수동적이고 반응적인 과정이었습니다.
보안 팀은 반복적으로 겪는 좌절감이 있습니다. 특정 IP 주소가 Tycoon 2FA(https://www.cloudflare.com/en-gb/threat-intelligence/research/report/tycoon-2fa-takedown/)나 RaccoonO365(https://www.cloudflare.com/en-gb/threat-intelligence/research/report/cloudflare-participates-in-global-operation-to-disrupt-raccoono365/)와 같은 위협 행위자와 연관돼 있거나, 다른 지역에서 자사의 산업을 표적으로 삼고 있다는 사실을 알면서도, 직접 규칙을 설정하지 않으면 자체 WAF에서 이러한 고위험 IP를 자동으로 차단할 방법이 없었습니다.
우리는 Cloudflare 방대한 위협 정보를 바로 WAF 엔진에 통합하는 새로운 통합 기능을 발표하게 되어 기쁩니다: 이제 실시간 인텔리전스 데이터를 사용해 사전 방어 규칙을 작성할 수 있습니다. 이를 통해 알려진 악성 행위자를 사전에 차단하여, 인프라에 접근하기도 전에 애플리케이션을 보호할 수 있습니다.
요청 초기 단계에서 특수 필드를 채우면, WAF는 다음 기준을 기반으로 트래픽을 검사할 수 있습니다:
- 누가 공격하고 있는지: 특정 위협 행위자 이름과 매칭
- 누구를 목표로 하는지: 산업 또는 국가 필터를 통해 해당 IP가 과거에 어떤 대상을 공격했는지 확인
- 어떤 유형의 공격인지: 공격 유형(DDoS, WAF, 사이버 범죄 등) 및 마지막으로 관측된 시점을 기준으로 풍부한 위협 컨텍스트 적용
Always‑on detection
이 새로운 기능은 최근에 소개한 항시 탐지 프레임워크를 기반으로 합니다. 해당 시스템은 사전 설정된 규칙 없이도 실시간으로 일반적인 공격 패턴을 식별합니다. 탐지를 방어와 분리함으로써 위협 인텔리전스가 백그라운드에서 지속적으로 실행되어, HTTP 요청 분석에 인사이트가 풍부한 위협 메타데이터를 자동으로 추가합니다.
‘항시‑온’ 모델의 가장 큰 장점은 전통적인 “로그 vs. 차단” 딜레마를 없앤다는 점입니다. 차단 규칙이 작동하면 다른 시그니처가 어떻게 평가했는지에 대한 가시성을 잃게 되는데, 이는 방어를 강화하는 데 도움이 될 수 있는 중요한 정보입니다.
Cloudforce One 구독이 있다면 이러한 인사이트가 자동으로 분석 화면에 표시됩니다. 어떤 위협 행위자가 사이트를 노리고 있는지, 해당 IP가 주로 어떤 산업을 목표로 하는지 확인해 “스위치를 켜서 차단”하기 전에 트래픽 패턴을 검증할 수 있습니다.
이 탐지는 거의 지연이 없으며, 성능에 영향을 주지 않으면서도 강력한 보안 정책을 만들기 위한 고신뢰 데이터를 제공합니다. 이번 초기 릴리스는 IP 기반 매칭에 초점을 맞추고 있지만, 곧 JA3 지문 및 도메인 기반 매칭으로 확장할 계획입니다. 이를 통해 공격자가 IP를 교체하더라도 고유한 소프트웨어 서명이나 악성 목적지 링크를 식별해 차단할 수 있게 됩니다.
New WAF fields
이를 구현하기 위해 다음과 같은 신호를 직접 WAF 엔진에 노출했습니다:
| 필드 | 설명 |
|---|---|
cf.intel.ip.attacker_names | 알려진 위협 그룹 이름 (예: CRAVENFLEA). |
cf.intel.ip.target_industries | 해당 IP가 목표로 삼은 산업 (예: Cryptocurrency, Automotive). |
cf.intel.ip.attacker_countries | 위협 이벤트의 출발 국가. |
cf.intel.ip.target_countries | 위협 이벤트가 목표로 삼은 국가. |
cf.intel.ip.datasets | 데이터를 제공한 소스 피드 (예: ddos, waf). |
Example rule expressions
하나의 IP가 여러 위협 행위자 또는 목표 산업과 동시에 연관될 수 있기 때문에, 이러한 필드는 배열 형태로 제공됩니다. any() 함수와 [*] 와일드카드를 사용해 배열 안의 값 중 하나라도 조건에 부합하는지 확인합니다:
-
귀하의 지역을 목표로 하는 알려진 DDoS 참여자를 차단:
any(cf.intel.ip.target_countries[*] == "FR") and any(cf.intel.ip.datasets[*] == "ddos") -
금융 부문을 목표로 하는 특정 위협 행위자를 보호:
any(cf.intel.ip.target_industries[*] == "Banking & Financial Services") and any(cf.intel.ip.attacker_names[*] == "BLACKBASTA") -
특정 고위험 원산지 국가에 대한 광범위한 보호:
any(cf.intel.ip.attacker_countries[*] == "IR")
How to use Threat Events data in your workflows
UI 기반 접근 방식이든 Infrastructure as Code이든, 이 필드들은 기존 워크플로에 바로 통합됩니다.
The WAF rule builder (API & Terraform)
Infrastructure as Code를 선호하는 팀을 위해, 새로운 cf.intel 필드는 WAF 맞춤 규칙 및 속도 제한 빌더에 완전히 통합되었습니다. 현재 사용 중인 동일한 구문으로 복잡한 표현식을 작성할 수 있습니다. 표준 WAF 필드이므로 Cloudflare API와 Terraform을 통해 전 도메인 혹은 전체 계정에 걸쳐 위협 차단을 자동화할 수 있습니다.
새 필드가 WAF 규칙 빌더에 추가되어 Threat Events 지표에 기반한 적절한 구성을 선택할 수 있습니다.
Visibility in Security Analytics
배포는 전투의 절반에 불과합니다. 이러한 위협 인텔리전스 필드에 의해 트리거된 모든 매칭은 Security Analytics에 기록됩니다. 트래픽을 세부적으로 파고들어 어떤 규칙이 트리거됐는지, 어떤 구체적인 지표가 매칭됐는지 확인할 수 있습니다. 풍부한 로그는 규칙이 발동했을 때 더 빠른 감사와 사후 분석을 가능하게 합니다.
*위협 이벤트 매칭이 Security Analytics에 표시되고, 전체