[Cloud] Cloudflare Zero Trust 구축: VPN 대체 및 보안 강화 실전 가이드

VPN의 한계를 넘어, Cloudflare Zero Trust로 보안을 강화하다

안녕하세요, 13년차 서버실 지킴이입니다. 제가 13년 동안 인프라 엔지니어로 일하면서 가장 많이 들었던 말 중 하나가 "보안"이에요. 특히 재택근무가 일상화되고 클라우드 전환이 가속화되면서, 기존 VPN(Virtual Private Network)만으로는 한계를 느끼는 순간이 많아졌습니다. 저도 홈랩을 운영하면서 내부 서비스에 안전하게 접속하는 방법을 항상 고민했거든요. 기존 VPN은 설정도 복잡하고, 모든 트래픽을 내부망으로 보내는 방식이라 보안 위협에 취약할 수 있다는 생각도 들었고요. 그러다 문득, Cloudflare Zero Trust가 떠올랐습니다. "이거다!" 싶었죠. VPN을 대체하고 보안 강화까지 가능한 실전 가이드를 제가 직접 구축해본 경험을 바탕으로 여러분께 공유해볼까 합니다.

Cloudflare Zero Trust, 그게 대체 뭔데요?

Cloudflare Zero Trust(클라우드플레어 제로 트러스트)는 이름 그대로 "아무것도 신뢰하지 않는다"는 전제에서 시작하는 보안 모델이에요. 기존 보안 모델은 내부 네트워크에 들어오면 신뢰하고, 외부 네트워크는 불신하는 "성곽과 해자(Castle and Moat)" 방식이었죠. 하지만 Zero Trust는 내부든 외부든 모든 접근 시도를 "기본적으로 신뢰하지 않고(Never Trust), 항상 검증한다(Always Verify)"는 원칙을 따릅니다.

쉽게 말해, 어떤 사용자가 어떤 기기에서 어떤 애플리케이션에 접근하려 할 때마다, 그 사용자가 누구인지, 기기가 안전한지, 접근하려는 애플리케이션에 대한 권한이 있는지 등 모든 요소를 실시간으로 검증하는 방식이에요. Cloudflare Zero Trust는 이 원칙을 구현하기 위한 다양한 도구와 서비스를 제공하는데, 특히 Cloudflare Access(클라우드플레어 액세스)와 Cloudflare WARP(클라우드플레어 워프)가 핵심적인 역할을 합니다.

Cloudflare Zero Trust는 기존 VPN과 달리, 모든 접근을 개별적으로 검증하여 보안을 한층 더 높입니다.

왜 Zero Trust 보안이 필요한가요?

• 보안 강화: 내부 네트워크 침투 시 측면 이동(Lateral Movement) 공격을 어렵게 만듭니다. 각 리소스 접근 시마다 인증과 권한 검증을 거치니까요.
• 유연한 접근: 사용자가 어디에 있든(사무실, 재택, 카페 등) 안전하게 필요한 리소스에 접근할 수 있습니다.
• VPN 대체: 복잡한 VPN 설정 없이도 특정 애플리케이션에 대한 접근 제어가 가능해요. 저처럼 홈랩에서 특정 서비스만 외부에서 접근하고 싶을 때 정말 유용하더라고요.
• 성능 향상: 모든 트래픽을 데이터 센터로 모으는 VPN과 달리, 최적의 경로로 리소스에 연결되므로 성능 저하가 훨씬 덜합니다.

Cloudflare Zero Trust, 실전 구축 가이드

이제 본격적으로 Cloudflare Zero Trust 구축 과정을 살펴볼까요? 저도 처음엔 좀 헤맸는데, 막상 해보니 별거 아니더라고요. 단계별로 차근차근 따라오시면 됩니다.

Step 1: Cloudflare Teams 계정 활성화

1. Cloudflare 대시보드에 로그인합니다.
2. 왼쪽 메뉴에서 "Zero Trust"를 클릭하세요.
3. 처음 접근하는 경우, Cloudflare Teams 계정을 활성화하라는 메시지가 나타날 거예요. "Launch Zero Trust" 버튼을 눌러 활성화하고, 팀 이름(Team Name)을 설정해줍니다. 저는 제 홈랩 이름으로 만들었죠.
4. 요금제는 우선 무료 플랜인 "Free"로 시작하시면 됩니다. 소규모 팀에 충분한 수의 사용자를 지원하거든요.

Step 2: Cloudflare WARP 클라이언트 설정

WARP는 사용자 기기와 Cloudflare Edge 네트워크 사이에 암호화된 터널을 생성해주는 클라이언트 프로그램입니다. 이걸 설치해야 Zero Trust 정책이 적용돼요.

1. Cloudflare Zero Trust 대시보드에서 "Settings" > "WARP Client"로 이동합니다.
2. "Device enrollment" 탭에서 "Manage"를 클릭하고, 팀 도메인(예: <code>myhomelab.cloudflareaccess.com)을 확인해둡니다.
3. 사용자 기기(PC, 모바일)에 맞는 WARP 클라이언트를 다운로드하여 설치합니다. 저는 리눅스 서버에 설치할 거라 아래 명령어를 사용했어요.

# Debian/Ubuntu 기준
curl https://pkg.cloudflareclient.com/pubkey.gpg | sudo gpg --yes --dearmor --output /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg
echo "deb [arch=amd64 signed-by=/usr/share/keyrings/cloudflare-warp-archive-keyring.gpg] https://pkg.cloudflareclient.com/ $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/cloudflare-client.list
sudo apt update
sudo apt install cloudflare-warp

# WARP 등록
warp-cli register
warp-cli set-mode tunnel
warp-cli set-gateway-mode proxy
warp-cli set-license <YOUR_LICENSE_KEY_IF_PAID> # 무료 플랜은 필요 없음
warp-cli connect

설치 후에는 웹 브라우저가 열리면서 Cloudflare Zero Trust 계정으로 로그인하라고 할 거예요. 로그인하면 WARP가 활성화됩니다. WARP 대시보드에서 "Connected" 상태를 확인하면 성공!

Cloudflare Zero Trust 대시보드에서 Access 애플리케이션을 손쉽게 관리할 수 있습니다.

Step 3: Access 애플리케이션 생성

이제 특정 내부 서비스에 접근할 수 있도록 Cloudflare Access 애플리케이션을 만들어볼까요? 저는 홈랩의 Prometheus(프로메테우스) 대시보드에 접근하는 시나리오를 예로 들겠습니다.

1. Zero Trust 대시보드에서 "Access" > "Applications"로 이동합니다.
2. "Add an application" 버튼을 클릭하고, "Self-hosted"를 선택합니다.
3. "Subdomain"에 접근할 도메인(예: prometheus.myhomelab.com)을 입력하고, "Session Duration" 등 필요한 설정을 합니다.
4. 여기서 중요한 것이 Cloudflare Tunnel(클라우드플레어 터널)입니다. 내부망에 있는 서비스를 외부로 노출하지 않고 Cloudflare Edge 네트워크로 연결해주는 방식이죠. 저는 cloudflared라는 클라이언트 프로그램을 사용해서 터널을 만들었어요.

# cloudflared 설치 (Debian/Ubuntu 기준)
curl -L --output cloudflared.deb https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb
sudo dpkg -i cloudflared.deb

# 터널 생성 및 인증
cloudflared tunnel login
cloudflared tunnel create prometheus-tunnel # 터널 이름 지정

# 터널 설정 파일 (config.yaml) 생성
# nano ~/.cloudflared/config.yaml
# --- (아래 내용 붙여넣기) ---
tunnel: <YOUR_TUNNEL_UUID> # tunnel create 명령 실행 후 나오는 UUID
credentials-file: /root/.cloudflared/<YOUR_TUNNEL_UUID>.json

ingress:
  - hostname: prometheus.myhomelab.com
    service: http://localhost:9090 # Prometheus가 실행되는 내부 주소
  - service: http_status:404 # 일치하는 규칙이 없으면 404 반환
# --- (여기까지) ---

# 터널 실행 (서비스로 등록하여 자동 시작 설정 권장)
sudo cloudflared tunnel run prometheus-tunnel

Cloudflare Tunnel을 통해 내부의 Prometheus 서비스(http://localhost:9090)가 prometheus.myhomelab.com 도메인으로 Cloudflare Edge 네트워크에 안전하게 연결됩니다.

Step 4: 정책 설정 및 사용자 인증

이제 누가 이 애플리케이션에 접근할 수 있는지 정책(Policy)을 설정할 차례입니다. 이게 바로 Zero Trust 보안의 핵심이에요!

1. Access 애플리케이션 설정 화면에서 "Policies" 탭으로 이동합니다.
2. "Add a policy"를 클릭하여 새로운 정책을 만듭니다.
3. 저는 다음과 같은 정책을 설정했어요:

   필드 (Field)	조건 (Rule)	값 (Value)	설명
   Emails	in	['myemail@example.com']	특정 이메일 주소만 허용
   Countries	in	['KR']	대한민국 IP에서만 접근 허용
   Device Posture	Requires	['WARP is connected']	WARP 클라이언트가 연결된 기기에서만 허용

4. "Action"은 "Allow"로 설정합니다. 이렇게 하면 지정된 조건(제 이메일, 한국 IP, WARP 연결 기기)을 모두 만족하는 사용자만 prometheus.myhomelab.com에 접근할 수 있게 됩니다.
5. 사용자 인증은 Cloudflare Access가 제공하는 다양한 IDP(Identity Provider)와 연동할 수 있어요. 저는 주로 Google Workspace(구 G Suite)나 GitHub를 사용하는데, 무료 플랜에서도 연동이 가능해서 정말 편하더라고요.

⚠️ 삽질 경험 공유: 저도 이거 때문에 고생 좀 했습니다

13년차 엔지니어라고 삽질을 안 하는 건 아니죠! 저도 몇 가지 문제 때문에 머리를 쥐어뜯었거든요. 혹시 여러분도 겪을 수 있는 문제들이니 참고하세요.

• Cloudflare Tunnel 서비스 문제: cloudflared tunnel run 명령어로 터널을 실행했는데, 서버 재부팅 후 터널이 끊어져 있는 경우가 있었습니다. 당연히 서비스로 등록해서 자동 시작되도록 해야 하는데, 처음엔 수동으로 실행하고 "왜 안되지?" 했지 뭐예요. 꼭 systemd 등으로 서비스 등록해서 관리해주세요.
• # 서비스 파일 예시 (/etc/systemd/system/cloudflared-prometheus.service) [Unit] Description=Cloudflared Tunnel for Prometheus After=network.target [Service] TimeoutStartSec=0 Type=notify ExecStart=/usr/local/bin/cloudflared tunnel run --config /root/.cloudflared/config.yaml prometheus-tunnel Restart=on-failure RestartSec=5s [Install] WantedBy=multi-user.target # 서비스 활성화 및 시작 sudo systemctl enable cloudflared-prometheus sudo systemctl start cloudflared-prometheus sudo systemctl status cloudflared-prometheus
• DNS 설정 누락: Cloudflare Access 애플리케이션을 만들면, 해당 서브도메인에 대한 CNAME 레코드를 Cloudflare DNS에 추가하라고 안내 메시지가 나옵니다. 이걸 빼먹으면 외부에서 접근이 안 돼요. prometheus.myhomelab.com CNAME -> <UUID>.cfargotunnel.com 이런 식으로요.
• 정책 순서와 조건: Zero Trust 정책은 순서가 중요합니다. 특정 조건을 먼저 허용하고 다음 조건에서 거부하면, 의도치 않게 접근이 허용될 수 있어요. 항상 가장 엄격한 규칙을 위에 두는 것이 좋습니다. 또한, AND/OR 조건 조합을 잘 활용해야 하는데, 저는 처음에 이메일과 국가 조건을 OR로 묶어서 "왜 다른 사람이 접근되지?" 하고 당황했거든요. 각 조건이 모두 충족되어야 할 때는 AND처럼 동작하도록 여러 Require 규칙을 추가해야 합니다.

🎉 드디어 성공! Cloudflare Zero Trust의 위력

모든 설정을 마치고 제 홈랩의 Prometheus 대시보드에 접속해보니... 드디어 됐다! 처음에 웹 브라우저가 Cloudflare Access 인증 페이지로 리디렉션되고, 제 Google 계정으로 로그인한 후에야 Prometheus 화면이 나타났습니다. WARP 클라이언트가 연결되지 않은 상태에서는 아예 접근이 차단되는 것을 확인했고요.

이거 진짜 편하더라고요! 기존 VPN 접속처럼 전체 트래픽이 느려지는 느낌도 없고, 필요한 서비스에만 딱 접근할 수 있으니 훨씬 직관적이고 빨랐어요. 게다가 Cloudflare의 글로벌 네트워크를 통해 트래픽이 처리되니 안정성도 높고요. 기존 VPN에서 발생했던 IP 충돌 문제나 복잡한 라우팅 설정이 필요 없다는 점도 정말 큰 장점입니다.

Cloudflare Zero Trust를 통해 안전하게 내부 Prometheus 대시보드에 접속한 모습.

마무리하며: Zero Trust, 이제 선택이 아닌 필수!

오늘은 제가 직접 Cloudflare Zero Trust를 구축하여 VPN을 대체하고 보안을 한층 더 높인 실전 경험을 공유해드렸습니다. 처음엔 낯설게 느껴질 수 있지만, 한번 구축하고 나면 기존 VPN 방식보다 훨씬 강력하고 유연한 보안 환경을 갖출 수 있다는 것을 몸소 느꼈습니다.

Cloudflare Zero Trust는 단순히 VPN을 대체하는 것을 넘어, 사용자와 애플리케이션, 데이터의 위치에 상관없이 일관된 보안 정책을 적용할 수 있게 해주는 미래 지향적인 보안 모델입니다. 특히 재택근무가 활성화되고 클라우드 환경이 보편화된 요즘에는 선택이 아닌 필수가 되어가고 있다고 생각해요. 여러분도 저처럼 삽질 좀 하시면서 직접 경험해보시면, 이 강력한 보안 솔루션의 매력에 푹 빠지실 겁니다. 혹시 이 글을 읽고 궁금한 점이 있다면 언제든지 댓글로 물어봐 주세요!

Cloudflare Zero Trust와 전통 VPN의 주요 특징 비교.

다음 글에서는 Cloudflare Zero Trust의 또 다른 강력한 기능인 WARP Gateway(워프 게이트웨이)를 활용한 DNS 필터링과 L7 방화벽 설정에 대해 더 깊이 다뤄볼게요. 기대해주세요!

📚 함께 읽으면 좋은 글

• Pulumi vs Terraform: 멀티 클라우드 IaC 선택 가이드 및 실전 활용
• Ansible로 멀티 클라우드 인프라 자동화: AWS, Azure, GCP 통합 관리 가이드
• GitHub Actions OIDC로 AWS 인증하기: 보안 강화 및 자격 증명 관리