Defaults.Exposed › 수정 › CDN / WAF 및 호스팅

CDN / WAF 및 호스팅 수정 방법

웹사이트 뒤의 배관에 대한 두 가지 읽기: 공격을 필터링하고 트래픽 급증을 흡수하는 보호막(CDN 및 웹 애플리케이션 방화벽, Cloudflare 같은) 뒤에 있는지 여부, 그리고 DNS, 웹사이트, 이메일을 실제로 누가 운영하는지의 지도. 둘 다 채점에서 정보 제공입니다 — 등급을 변동시키지 않습니다 — 하지만 원본 서버가 공격과 장애에 얼마나 노출되어 있는지, 제공업체가 얼마나 얽혀 있는지를 설명합니다. 앞에 보호막이 있고 합리적으로 분리된 제공업체 집합이 탄력적인 비즈니스의 모습입니다.

비즈니스에 미치는 핵심 영향: 앞에 보호막이 없는 웹사이트는 모든 공격과 모든 트래픽 급증을 원본 서버에서 직접 받습니다 — 봇 폭탄, 출시일 급증, 또는 단일 자동화된 공격이 몇 시간 동안 오프라인으로 만들 수 있으며 복구는 귀사에 달려 있습니다. CDN/WAF를 앞에 두면(무료 티어 사용 가능) 자동화된 공격의 대부분이 필터링되고 급증이 흡수되며 사이트가 전 세계적으로 빨라집니다 — 일반적으로 IT 담당자에게 오후 하루 작업이며 라이선스 비용 없음. 별도로 DNS, 웹사이트, 이메일이 모두 하나의 제공업체와 함께 한다면 그 제공업체의 단일 장애나 침해가 전체 온라인 존재를 한 번에 다운시킵니다; 제공업체 지도를 아는 것이 사고 중에 가장 먼저 필요한 것입니다.

발생 가능한 비용

큰 프로모션 아침에 봇 트래픽 폭발이나 소규모 DDoS가 보호막 없는 서버에 도달합니다 — 사이트가 느려지거나 다운되고 고객이 결제에서 오류를 받으며 하루 매출을 잃고 호스트가 복구하는 동안 CDN/WAF가 앞에 있었다면 흡수했을 것입니다.
DNS, 웹사이트, 이메일이 하나의 제공업체를 통해 실행됩니다; 그 제공업체에 장애가 발생하면 사이트, 예약 시스템, 이메일이 모두 동시에 어두워집니다 — 메일함도 다운되어 '인식하고 있습니다'라는 이메일도 보낼 수 없습니다.
자동화된 공격이 밤새 사이트를 탐색합니다 — SQL 인젝션과 로그인 추측 스크립트가 필터링할 방화벽 레이어 없이 원본을 직접 강타 — 무언가가 손상될 때까지 알지 못합니다. WAF가 대부분의 그 노이즈를 코드에 도달하기 전에 차단합니다.
사고가 발생하고 '우리가 전화해야 할 사람이 누구야?'라는 기본 질문에 아무도 답할 수 없습니다 — 웹사이트가 이메일과 같은 호스트에 있나요? DNS를 누가 운영하나요? 사이트가 다운된 채로 배관을 매핑하는 데만 몇 시간이 낭비됩니다.
잠재 고객의 IT 팀이 서명 전에 스캔하여 CDN/WAF 없는 벌거벗은 원본 서버와 정확히 어떤 소프트웨어(와 버전)를 실행하는지 광고하는 서버 버전 헤더를 발견합니다.

중요한 이유. 두 검사 모두 방법론에서 정보 제공입니다 — 0점으로 등록되어 있으며 등급을 변동시키지 않습니다 — 왜냐하면 통과/실패 보안 제어를 테스트하는 것이 아니라 인프라를 설명하기 때문입니다. 실제 비즈니스 노출을 매핑하기 때문에 표시합니다. CDN/WAF 없는 사이트는 모든 공격과 트래픽 급증을 필터링 없이 원본에서 직접 받습니다; 추가(Cloudflare 무료 티어가 일반적인 경로)는 소규모 비즈니스가 할 수 있는 가장 높은 활용도, 최저 비용 복원력 업그레이드 중 하나입니다. 명확한 제공업체 지도 — DNS, 웹, 이메일이 분리되었는지 하나의 제공업체에 쌓여 있는지 아는 것 — 는 무언가 잘못될 때 가장 먼저 필요한 것이며 포함된 사고와 완전한 정전의 차이입니다.

쉬운 설명

모든 웹사이트는 어딘가의 서버에서 실행됩니다. 이 페이지가 답하는 질문: 열린 인터넷과 그 서버 사이에 무엇이 있으며 — 귀사 온라인 존재의 조각들을 실제로 누가 운영하나요?

두 부분이 있습니다:

CDN / WAF — 앞의 보호막. CDN(콘텐츠 전송 네트워크)은 귀사 사이트 앞에 앉아 방문자에게 빠르게 콘텐츠를 제공하고 트래픽 급증을 흡수하는 전 세계 네트워크입니다. WAF(웹 애플리케이션 방화벽)는 들어오는 요청을 검사하고 악성 요청이 귀사 서버에 도달하기 전에 차단하는 필터입니다. 인기 있는 서비스(Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri 등)가 이것들을 함께 번들합니다.
호스팅 / 제공업체 지도 — 배관을 누가 운영하나요. DNS(도메인을 주소로 바꾸는 디렉터리)를 누가 처리하는지, 이메일을 누가 처리하는지를 보여주는 공개 레코드를 읽습니다. 그것으로 DNS, 웹사이트, 이메일이 제공업체에 분리되어 있는지(탄력적) 하나에 쌓여 있는지(편리하지만 단일 장애점) 알 수 있습니다.

미리 알아야 할 가장 중요한 것: 채점에서 둘 다 정보 제공입니다. 등급에 영향을 미치지 않습니다.

비즈니스 피해 사례

가장 중요한 날에 오프라인. 귀사 사이트가 앞에 아무것도 없이 원본 서버에 앉아 있습니다. 출시나 프로모션 아침에 트래픽이 급증하거나 소규모 봇 폭탄이 도달하면 서버가 감당하지 못합니다. CDN이 급증을 흡수하고 WAF가 쓰레기 트래픽을 필터링합니다; 함께 “바쁜 날”과 “오전 내내 다운” 사이의 차이입니다.
모든 것이 한 번에 어두워짐. DNS, 웹사이트, 이메일이 단일 제공업체를 통해 실행됩니다. 그 제공업체에 장애가 발생합니다 — 결국 모두에게 발생합니다 — 그리고 사이트, 예약 시스템, 이메일이 동시에 사라집니다. 제공업체를 분리하면 하나의 장애가 포함되고 완전하지 않습니다.
코드가 모든 공격을 직접 받음. WAF 없이 모든 자동화된 탐색 — 인젝션 시도, 로그인 추측, 알려진 악용 스캐너 — 이 필터링 없이 귀사 애플리케이션 코드에 도달합니다. WAF가 그 자동화된 노이즈의 압도적 다수를 귀사에 도달하기 전에 차단합니다.
지도 없는 느리고 패닉적인 사고. 무언가가 손상되고 첫 시간이 “잠깐, 누가 DNS를 운영하나요? 이메일이 같은 호스트에 있나요? 누구에게 전화하나요?”에 낭비됩니다.
조심스러운 구매자에게 나쁜 첫 인상. 잠재 고객의 IT 팀이 서명 전에 스캔하여 CDN/WAF 없는 벌거벗은 원본을 봅니다 — 그리고 정확한 소프트웨어와 버전을 공개적으로 광고하는 서버 헤더.

실제 내용

CDN / WAF — 보호 레이어

방문자(또는 공격자)가 귀사 사이트를 요청하면 요청이 원본 서버로 직접 가거나 먼저 CDN/WAF를 통해 갈 수 있습니다. 앞에 보호막이 있다면:

악성 요청 필터링(WAF 부분): 인젝션 시도, 봇 공격, 알려진 악용 패턴을 코드에 도달하기 전에 차단.
트래픽 흡수(CDN 부분): 각 방문자 가까이의 서버에서 캐시된 콘텐츠를 제공하여 급증 — 합법적이든 적대적이든 — 이 원본을 압도하지 못하게.
사이트 속도 향상: 가까운 엣지 서버에서 전송된 콘텐츠가 전 세계 방문자에게 더 빠르게 로드.

Server 헤더로 기반 웹 서버(nginx, Apache, IIS, LiteSpeed, Caddy 등)를 식별하고 과도하게 공유하는 X-Powered-By 헤더가 있으면 표시합니다.

좋은 상태는: 원본 앞에 CDN/WAF가 감지되고, 특정 버전 번호를 광고하지 않는 Server 헤더.

호스팅 / 제공업체 지도 — 인프라 의존성

귀사 도메인은 여러 다른 서비스를 조용히 가리킵니다:

DNS — yourbusiness.com을 실제 서버 주소로 바꾸는 디렉터리. NS 레코드를 읽고 일반적인 공급업체를 인식합니다(Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap 등).
이메일 — 메일이 처리되는 곳. MX 레코드를 읽고 일반적인 공급업체를 인식합니다(Google Workspace, Microsoft 365, Proofpoint, Mimecast, Zoho 등).

이것으로 이 책임들이 제공업체에 분리되어 있는지(하나의 장애가 다른 것을 다운시키지 않음) 단일 제공업체에 쌓여 있는지(편리하지만 하나의 장애나 침해로 모든 것이 다운) 알 수 있습니다.

좋은 상태는: 최소한 DNS가 전용 신뢰할 수 있는 공급업체에 보유되어 다른 모든 것과 같은 계정에 번들되지 않음 — 따라서 도메인의 디렉터리가 웹사이트와 메일함과 운명을 공유하지 않습니다.

수정 방법 (무료, 약 1오후)

IT 담당자나 웹 개발자에게 전달하세요 — 수정은 무료입니다. 귀사 사이트 앞에 CDN/WAF를 두는 것은 일반적인 무료 티어에서 비용이 없고 서버 버전 억제는 한 줄 설정입니다. 라이선스 비용이 없습니다. 소유자를 위한 유일한 결정은: 사이트 앞에 보호막을 두세요.

1. 귀사 사이트 앞에 CDN/WAF 두기

가장 일반적인 무료 경로는 Cloudflare입니다:

무료 Cloudflare 계정을 만들고 도메인을 추가합니다.
Cloudflare가 기존 DNS 레코드를 읽습니다; 올바르게 가져왔는지 확인합니다.
등록업체에서 도메인의 네임서버를 Cloudflare가 제공하는 두 개로 변경합니다. 이것이 트래픽을 Cloudflare를 통해 라우팅하는 스위치입니다.
SSL/TLS 모드를 **완전(엄격)**으로 설정하여 암호화가 방문자 → Cloudflare → 원본 사이에서 종단 간으로 유지되도록 합니다.
CDN과 기준 WAF가 이제 활성화됩니다.

다른 경로, 스택에 따라:

AWS CloudFront — 원본을 가리키는 배포 생성; 필터링을 위해 AWS WAF와 쌍으로.
Sucuri WAF — DNS 기반, 서버 변경 필요 없음.
Fastly / Akamai — 기업급 CDN/WAF, 일반적으로 더 크거나 높은 트래픽 사이트.

2. 서버 버전 광고 중단

CDN을 추가하는 것과 상관없이 서버가 알리는 버전을 억제하세요:

Nginx:

server_tokens off;

Apache:

ServerTokens Prod
ServerSignature Off

과도하게 공유하는 X-Powered-By 헤더(PHP나 앱 프레임워크에서)를 서버나 CDN 수준에서 제거하세요 — Cloudflare에서 응답 헤더 변환 규칙으로 제거할 수 있습니다.

3. 제공업체 지도 확인 (선택 사항, 약 10분)

DNS, 웹사이트, 이메일이 실제로 어디에 있는지 확인합니다:

세 가지 모두 하나의 제공업체 계정에 있다면 최소한 DNS를 전용 공급업체로 이전하는 것을 고려하세요(Cloudflare DNS는 무료이고 빠릅니다). 그 단일 분리는 귀사 도메인의 디렉터리가 호스팅 장애에서 살아남는다는 것을 의미합니다.
지도를 적어두세요 — DNS 공급업체, 웹 호스트, 이메일 공급업체, 등록업체, 각각의 로그인/지원 연락처. 이 한 페이지가 사고 중에 가장 유용한 것입니다.

플랫폼 참고

Google Workspace / Microsoft 365: 이것들은 이메일 공급업체이며 웹사이트가 아닙니다. 웹사이트 앞에 CDN/WAF를 두는 것은 이메일에 영향을 미치지 않으며 그 반대도 마찬가지입니다.
관리형 사이트 빌더(Wix, Squarespace, Shopify): 이것들은 플랫폼의 일부로 자체 CDN과 WAF 보호 수준을 포함하므로 헤더 검사가 공급업체를 명명하지 않아도 이미 보호될 수 있습니다.
자체 호스팅의 WordPress: 무료 Cloudflare 레이어를 앞에 두기에 이상적인 후보입니다.

흔한 실수

“사이트가 작기 때문에” 벌거벗은 원본 실행. 소규모 사이트는 대형 사이트와 같은 자동화된 공격과 봇 폭탄을 받습니다 — 봇은 먼저 수익을 확인하지 않습니다. 무료 CDN/WAF 티어가 정확히 소규모 사이트를 위해 존재합니다.
Cloudflare “유연” SSL 사용. 자물쇠를 보여주지만 Cloudflare와 원본 사이의 연결을 암호화되지 않은 채로 둡니다. 항상 **완전(엄격)**을 사용하여 종단 간 암호화가 되도록 하세요.
잘못된 것 캐시. 로그인한 페이지, 장바구니, 결제를 공격적으로 캐시하면 한 고객에게 다른 고객의 콘텐츠나 오래된 가격을 보여줄 수 있습니다.
인식하지 못하고 하나의 제공업체에 모든 것 쌓기. 편의성은 의식적인 선택이라면 괜찮습니다 — 하지만 많은 비즈니스가 세 가지를 모두 다운시키는 장애 중에야 DNS, 웹, 이메일이 하나의 계정을 공유한다는 것을 발견합니다.
서버 버전을 표시 상태로 방치. 잊기 쉬운 무료, 한 줄 강화 단계입니다.

등급에 관한 참고

완전히 명확하게: 이 두 검사 중 어느 것도 등급에 영향을 미치지 않습니다. 방법론에서 0점으로 정보 제공으로 등록되어 있으며 보호막 없는 원본이나 단일 제공업체 설정에 대해 패널티를 주지 않습니다. 다운타임, 공격, 느린 사고 복구에 대한 실제 노출을 설명하기 때문에 보고합니다 — 귀사 사이트 앞에 무료 CDN/WAF를 추가하는 것이 소규모 비즈니스가 할 수 있는 최고 가치 업그레이드 중 하나이기 때문입니다.

FAQ

이것들이 등급에 영향을 미치지 않는데 왜 신경 써야 하나요?

왜냐하면 등급은 특정 보안 제어(암호화, 이메일 안티스푸핑, 보안 헤더)를 측정하는 반면 이 두 검사는 복원력을 설명하기 때문입니다 — 다운타임과 공격에 얼마나 노출되어 있는지. 보호막 없는 벌거벗은 서버는 채점된 검사에서 여전히 잘 점수를 받을 수 있고 출시일에 봇 폭탄에 의해 오프라인이 될 수 있습니다. 등급과 복원력은 다른 질문입니다; 이 페이지는 두 번째 것에 관한 것입니다.

기술적이지 않은데 실제로 무엇을 해야 하나요?

하나의 결정과 하나의 전달입니다. 결정: 귀사 사이트 앞에 보호막(CDN/WAF)을 원하시나요? 거의 모든 비즈니스에서 답은 그렇습니다이며 일반적인 경로 — Cloudflare 무료 티어 — 는 비용이 없습니다. 전달: '수정 방법' 섹션을 웹사이트나 도메인을 관리하는 사람에게 전달하세요. 무료 CDN/WAF 설정은 일반적으로 오후 작업이며 라이선스 비용이 없습니다.

CDN과 WAF의 차이는 무엇인가요 — 둘 다 필요한가요?

CDN(콘텐츠 전송 네트워크)은 귀사 사이트 앞에 앉아 방문자에게 가까운 콘텐츠를 캐시하여 페이지가 더 빨리 로드되고 트래픽 급증을 흡수하는 전 세계 서버 네트워크입니다. WAF(웹 애플리케이션 방화벽)는 들어오는 요청을 검사하고 악성 요청 — 인젝션 시도, 봇 공격, 알려진 악용 패턴 — 을 차단하는 필터링 레이어입니다. 좋은 소식은 인기 있는 서비스가 둘을 번들합니다: Cloudflare를 켜면 CDN과 기준 WAF를 함께 얻습니다.

모든 서비스가 하나의 제공업체에 있는 것이 나쁜가요?

집중 위험이지 죄가 아닙니다. 편의성은 실재합니다 — 하나의 청구서, 하나의 로그인, 하나의 지원 라인. 하지만 절충점은 단일 장애나 단일 계정 침해가 DNS, 웹사이트, 이메일을 함께 다운시킬 수 있다는 것입니다. 검사의 목적은 단순히 의존성을 보이게 하여 놀라움이 아닌 결정이 되게 하는 것입니다.

서버 소프트웨어와 버전을 감지했습니다 — 왜 중요한가요?

서버가 어떤 소프트웨어를 실행하고 어떤 버전인지 정확히 광고하면('서버' 또는 'X-Powered-By' 헤더에서) 공격자에게 지름길을 제공합니다: 정확히 그 버전의 알려진 취약점을 찾아 바로 겨냥할 수 있습니다. 무료, 한 줄 서버 설정인 버전 억제는 작고 합리적인 강화 단계입니다.

귀사 사이트 앞에 CDN을 두면 무언가를 손상시키거나 느려지게 하나요?

올바르게 수행하면 사이트가 빨라집니다 — 그것이 CDN의 전체 목적입니다. 설정 중에 올바르게 해야 할 주요 것들: HTTPS가 종단 간으로 유지되는지 확인(Cloudflare에서 '완전(엄격)' 모드 사용, '유연'이 아님), 로그인한 대시보드, 결제 등 개인적이거나 실시간이어야 하는 페이지를 공격적으로 캐시하지 마세요.