Article@alexandramoraru·2026년 6월 8일·0

Turning Cloudflare’s threat indicators into real-time WAF rules

Quick Summary

Cloudflare는 Threat Events의 실시간 위협 인텔리전스를 WAF 규칙에 직접 연결해, 알려진 악성 행위자가 인프라에 도달하기 전 자동으로 탐지·차단할 수 있게 했다.

Turning Cloudflare’s threat indicators into real-time WAF rules 관련 대표 이미지

🖼️ 인포그래픽

Turning Cloudflare’s threat indicators into real-time WAF rules 내용을 설명하는 본문 이미지

🖼️ 4컷 인포그래픽

Turning Cloudflare’s threat indicators into real-time WAF rules 내용을 설명하는 본문 이미지

💡 한 줄 요약

Cloudflare는 Threat Events의 실시간 위협 인텔리전스를 WAF 규칙에 직접 연결해, 알려진 악성 행위자가 인프라에 도달하기 전 자동으로 탐지·차단할 수 있게 했다.

📌 핵심 요약

  • Cloudflare Threat Events는 전 세계 트래픽에서 관측되는 공격 IP, 위협 행위자, 표적 산업·국가 정보를 제공해 왔지만, 이를 WAF 차단 규칙으로 옮기는 과정은 수동적이고 사후 대응에 가까웠다.
  • 새 통합 기능은 요청 처리 초기 단계에서 위협 인텔리전스 필드를 채워 WAF가 공격자 이름, 과거 표적 산업·국가, 공격 유형 데이터셋 등을 기준으로 트래픽을 평가하도록 한다.
  • 이 기능은 항상 켜져 있는 탐지 프레임워크 위에 구축되어 탐지와 완화를 분리하며, 차단 전에도 분석 데이터에서 어떤 위협 행위자와 지표가 사이트에 닿는지 확인할 수 있게 한다.
  • 새로운 cf.intel 필드는 WAF 사용자 지정 규칙, rate limiting, API, Terraform, Security Analytics, Threat Intelligence Dashboard의 Saved Views와 연결되어 UI와 IaC 양쪽 워크플로에서 사용할 수 있다.
  • Cloudflare는 위협 데이터셋을 고성능 형식으로 압축해 전 세계 데이터센터에 배포하고, 요청 시 로컬에서 상수 시간 조회를 수행해 수백만 지표를 확인해도 지연을 사실상 마이크로초 수준으로 유지한다고 설명한다.

🧩 주요 포인트

  1. Cloudflare Threat Events는 전 세계 트래픽에서 관측되는 공격 IP, 위협 행위자, 표적 산업·국가 정보를 제공해 왔지만, 이를 WAF 차단 규칙으로 옮기는 과정은 수동적이고 사후 대응에 가까웠다.
  2. 새 통합 기능은 요청 처리 초기 단계에서 위협 인텔리전스 필드를 채워 WAF가 공격자 이름, 과거 표적 산업·국가, 공격 유형 데이터셋 등을 기준으로 트래픽을 평가하도록 한다.
  3. 이 기능은 항상 켜져 있는 탐지 프레임워크 위에 구축되어 탐지와 완화를 분리하며, 차단 전에도 분석 데이터에서 어떤 위협 행위자와 지표가 사이트에 닿는지 확인할 수 있게 한다.
  4. 새로운 cf.intel 필드는 WAF 사용자 지정 규칙, rate limiting, API, Terraform, Security Analytics, Threat Intelligence Dashboard의 Saved Views와 연결되어 UI와 IaC 양쪽 워크플로에서 사용할 수 있다.
  5. Cloudflare는 위협 데이터셋을 고성능 형식으로 압축해 전 세계 데이터센터에 배포하고, 요청 시 로컬에서 상수 시간 조회를 수행해 수백만 지표를 확인해도 지연을 사실상 마이크로초 수준으로 유지한다고 설명한다.

🧠 상세 정리

1. 가시성은 있었지만 자동 완화는 어려웠던 기존 문제

Cloudflare의 Threat Events는 보안 분석가가 전 세계 위협 지형을 볼 수 있도록 해 주는 기능으로 소개된다. 이 플랫폼은 Cloudflare가 매일 처리하는 방대한 트래픽을 바탕으로 어떤 IP가 특정 산업을 공격하는지, 어떤 위협 행위자가 전 세계적으로 두드러지는지 실시간으로 보여준다. 그러나 원문이 지적하는 핵심 문제는 이러한 가시성을 실제 방어 조치로 바꾸는 과정이 수동적이고 반응적이었다는 점이다. 보안팀은 특정 IP가 Tycoon 2FA나 RaccoonO365 같은 위협 행위자와 관련되어 있거나 다른 지역에서 자사 산업을 공격한 이력이 있다는 사실을 알면서도, WAF에서 이를 자동 차단하려면 직접 규칙을 구성해야 했다.

2. Threat Events 데이터를 WAF 엔진으로 직접 가져오는 새 통합

이번 발표의 중심은 Cloudflare의 위협 인텔리전스를 WAF 엔진에 직접 통합했다는 점이다. 사용자는 이제 실시간 인텔리전스 데이터를 사용해 사전 예방적 규칙을 작성할 수 있으며, 알려진 악성 행위자가 인프라에 접근하기 전에 더 풍부한 문맥으로 애플리케이션을 보호할 수 있다. WAF는 요청의 초기 단계에서 특수 필드를 채워 트래픽을 평가하고, 공격자가 누구인지, 누구를 표적으로 삼았는지, 어떤 유형의 공격 맥락을 갖는지 확인한다. 원문은 이를 통해 위협 행위자 이름, 과거 표적 산업이나 국가, DDoS·WAF·사이버범죄 같은 데이터셋과 관측 시점 정보를 기준으로 정책을 만들 수 있다고 설명한다.

3. 항상 켜져 있는 탐지 모델과 로그 대 차단의 절충 완화

새 기능은 Cloudflare가 Attack Signature Detection에서 도입한 항상 켜져 있는 탐지 프레임워크 위에 구축됐다. 이 방식은 사전에 규칙을 구성하지 않아도 일반적인 공격 패턴을 실시간으로 식별하는 구조이며, 탐지와 완화를 분리한다. 원문은 이 분리가 전통적인 ‘로그 모드의 가시성’과 ‘차단 모드의 보호’ 사이의 절충을 줄이는 데 중요하다고 설명한다. 어떤 규칙이 요청을 차단하면 다른 시그니처가 그 요청을 어떻게 평가했을지 볼 기회를 잃을 수 있는데, 항상 켜져 있는 탐지는 조치를 결정하기 전에도 HTTP 요청 분석에 위협 메타데이터를 계속 보강한다.

4. Cloudforce One 구독자를 위한 자동 분석과 향후 확장 방향

Cloudforce One 구독이 있는 경우 이러한 인사이트는 분석 화면에 자동으로 표시된다. 사용자는 어떤 위협 행위자가 사이트에 접근하고 있는지, 해당 IP들이 일반적으로 어떤 산업을 표적으로 삼는지 확인할 수 있다. 이는 차단 규칙을 즉시 켜기 전에 실제 트래픽 패턴을 검증하는 데 도움을 준다. 원문은 탐지가 무시할 수 있을 정도의 지연만으로 실행되어 성능을 빠르게 유지하면서도, 강한 보안 정책을 만들 수 있는 고신뢰 데이터를 제공한다고 설명한다. 초기 릴리스는 IP 기반 매칭에 초점을 두지만, Cloudflare는 향후 JA3 지문과 도메인 기반 매칭으로 확장해 공격자가 IP를 바꾸더라도 소프트웨어 시그니처나 악성 목적지 링크를 기준으로 식별하는 방향을 보고 있다고 밝혔다.

5. WAF에 노출된 새로운 cf.intel 위협 인텔리전스 필드

Cloudflare는 WAF 엔진에서 직접 사용할 수 있는 여러 위협 신호 필드를 공개했다. cf.intel.ip.attacker_names는 CRAVENFLEA 같은 알려진 위협 그룹 이름을 담고, cf.intel.ip.target_industries는 Cryptocurrency나 Automotive처럼 해당 IP가 표적으로 삼은 산업을 나타낸다. cf.intel.ip.attacker_countries는 위협 이벤트의 출발 국가를, cf.intel.ip.target_countries는 위협 이벤트가 겨냥한 국가를 뜻한다. cf.intel.ip.datasets는 ddos나 waf처럼 데이터를 제공한 소스 피드를 표시한다. 단일 IP가 여러 공격자, 산업, 국가, 데이터셋과 동시에 연결될 수 있기 때문에 이 필드들은 배열 형태로 표현된다.

6. 배열 필드와 any() 표현식을 활용한 규칙 작성 방식

원문은 새 필드가 배열이므로 WAF 규칙에서 any() 함수와 [*] 와일드카드를 사용해 위협 프로필 안의 값 중 하나가 조건과 일치하는지 검사한다고 설명한다. 예를 들어 특정 지역을 노리는 알려진 DDoS 참여자를 차단하려면 표적 국가가 FR이고 데이터셋이 ddos인지를 함께 확인할 수 있다. 금융 부문을 겨냥하는 특정 위협 행위자에 대응하려면 표적 산업이 Banking & Financial Services이고 공격자 이름이 BLACKBASTA인지 검사할 수 있다. 또 특정 고위험 출발 국가에 대한 넓은 보호 규칙도 attacker_countries 조건으로 작성할 수 있다. 이 예시들은 단순 IP 목록이 아니라 공격 문맥을 조합해 규칙을 만드는 방향을 보여준다.

7. UI, API, Terraform, Security Analytics로 이어지는 운영 워크플로

Cloudflare는 이 필드들을 기존 운영 방식에 통합했다고 설명한다. Infrastructure as Code를 선호하는 팀은 WAF custom rules와 rate limiting을 위한 WAF rule builder에서 cf.intel 필드를 사용할 수 있고, Cloudflare API와 Terraform을 통해 선택한 도메인이나 계정 전체에 위협 차단 자동화를 적용할 수 있다. 배포 이후의 관측도 강조된다. 위협 인텔리전스 필드로 트리거된 모든 매치는 Security Analytics에 기록되며, 사용자는 어떤 규칙이 실행됐고 어떤 지표가 매칭됐는지 드릴다운할 수 있다. 이 보강 로그는 규칙이 작동했을 때 더 빠른 감사와 사후 분석을 가능하게 한다.

8. Threat Intelligence Dashboard의 Saved Views와 원클릭 규칙 생성

Threat Intelligence Dashboard를 이미 사용해 추세를 조사하는 경우, 사용자는 IP 목록을 복사해 붙여 넣을 필요가 없다. 원문은 ‘지난 7일 동안 금융 부문을 공격한 것으로 관측된 IP’처럼 특정 필터를 기반으로 Saved Views를 만들 수 있다고 설명한다. 그런 다음 단일 클릭으로 해당 필터를 WAF 규칙으로 내보낼 수 있다. 이는 위협 사냥 과정에서 확인한 조건을 운영 방어 정책으로 옮기는 단계를 줄인다. 즉, 대시보드에서 관찰한 전 세계 위협 인텔리전스를 별도 수작업 없이 WAF의 실행 가능한 규칙으로 전환하는 흐름이 제공된다.

9. 전 세계 데이터센터 배포와 상수 시간 조회 기반 성능 설계

원문은 수백만 개의 위협 지표를 다루면서 트래픽을 느리게 만들지 않는 방법도 설명한다. Cloudflare는 위협 인텔리전스 데이터셋을 고성능 형식으로 압축해 전 세계 모든 Cloudflare 데이터센터에 배포한다. 요청이 Cloudflare 네트워크에 도달하면 WAF는 이 로컬 데이터셋을 대상으로 O(1) 상수 시간 조회를 수행한다. 따라서 확인 대상이 열 개든 천만 개든 지연 오버헤드는 사실상 0에 가깝고 마이크로초 단위로 측정된다고 설명한다. 또한 IP 하나가 여러 위협 벡터와 연결될 수 있으므로 첫 매치에서 멈추지 않고 해당 IP와 연결된 모든 신호 집합을 동시에 평가한다.

10. 제공 대상과 시작 방법

이 기능은 활성 Cloudforce One 구독을 가진 고객에게 제공된다. Cloudforce One Essentials는 Threat Events의 기본 데이터셋 접근, 지표 검색, 위협 헌팅 조사를 지원한다. Cloudforce One Advantage는 요청을 통해 Threat Intelligence Analyst의 맞춤 인사이트에 접근할 수 있게 한다. Cloudforce One Elite는 가장 포괄적인 패키지로, 브랜드 보호, 더 많은 정보 요청, 모든 Threat Events 데이터셋 접근을 포함한다고 원문은 설명한다. 사용자는 Cloudflare Dashboard의 Threat Events 또는 WAF 섹션에서 첫 Threat Intel 규칙을 만들 수 있으며, Cloudforce One 구독에 대해 더 알고 싶다면 계정팀에 문의하라고 안내된다.

🧾 핵심 주장 / 시사점

  • 핵심 변화는 위협 인텔리전스를 ‘분석용 화면’에 머물게 하지 않고, WAF가 바로 평가할 수 있는 표준 필드와 규칙 표현식으로 전환했다는 점이다.
  • 탐지와 차단을 분리한 항상 켜져 있는 모델은 규칙을 켜기 전에 실제 매칭 맥락을 검증할 수 있게 해, 보안팀이 과도한 차단 위험과 부족한 가시성 사이에서 선택해야 하는 부담을 줄인다.
  • Saved Views, API, Terraform, Security Analytics까지 연결한 구성은 위협 헌팅, 규칙 생성, 배포, 감사 과정을 하나의 운영 흐름으로 묶으려는 제품 방향을 보여준다.

✅ 액션 아이템

  • Threat Events의 공격 행위자, 공격 유형, 표적 산업·국가 속성을 cf.intel로 결합해 WAF 사용자 지정 규칙의 자동 차단 흐름을 정의한다.
  • 요청 처리 초기 단계에서 위협 인텔리전스 필드 채움 경로를 점검해 차단 전 분석 단계의 시그널 손실을 방지한다.
  • rate limiting·API·Terraform·Security Analytics·Saved Views를 포함한 워크플로 간에 동일 cf.intel 필드 스키마 적용을 확인한다.

❓ 열린 질문

  • 실시간 Threat Events 갱신 주기와 WAF 규칙 반영 간격을 어떤 기준으로 운영하면 지연 리스크를 허용 범위 내에 둘 수 있는가?
  • 공격자 이름, 과거 표적 산업·국가, 공격 유형 조합을 기반으로 차단 정책 우선순위를 정할 때 오탐과 누락을 동시에 낮추는 기준은 무엇인가?
  • 수백만 지표를 상수 시간 조회로 처리할 때 마이크로초 수준 지연이 피크 트래픽 구간에서도 유지되는지 어떤 모니터링으로 판단할 것인가?

관련 문서

공통 태그와 주제 흐름을 기준으로 같이 보면 좋은 문서를 이어서 제안합니다.