웹사이트를 운영하다 보면 DDoS 공격, 악성 봇, SQL 인젝션 같은 보안 위협에 노출되는 순간이 반드시 찾아온다. 특히 소규모 사이트일수록 별도 보안 인프라를 갖추기 어려워 피해가 더 크다. 실제로 2025년 기준 전 세계 웹사이트의 약 39%가 한 해에 최소 1회 이상 사이버 공격을 경험했다.
이런 상황에서 클라우드플레어(Cloudflare)는 무료 요금제부터 DDoS 방어, SSL 인증서, CDN을 제공하는 유일한 글로벌 보안 플랫폼으로 자리 잡았다. 전 세계 330개 이상의 데이터센터를 통해 트래픽을 처리하며, 수백만 개의 인터넷 자산이 이 네트워크 위에서 운영되고 있다.
이 글에서는 클라우드플레어의 도메인 보호 기능을 세부적으로 분석하고, 무료(Free)와 유료(Pro, Business, Enterprise) 요금제 간 차이를 용어 단위로 정리한다. 특히 월 20달러 Pro 요금제가 모든 사이트를 보호하는지, 실제 적용 시 주의할 점은 무엇인지 구체적으로 다룬다.
클라우드플레어 핵심 보안 용어와 기능 해설
클라우드플레어를 제대로 활용하려면 먼저 보안 관련 핵심 용어를 이해해야 한다. 대시보드에서 자주 마주치는 기능들을 하나씩 정리한다.
DDoS(Distributed Denial of Service) 방어는 분산 서비스 거부 공격을 차단하는 기능이다. 수천에서 수백만 개의 요청을 동시에 보내 서버를 마비시키는 공격 유형으로, 클라우드플레어는 모든 요금제에서 무제한(Unmetered) DDoS 방어를 제공한다. 공격 규모와 관계없이 추가 요금 없이 방어가 가능하다는 점이 핵심이다.
WAF(Web Application Firewall)는 웹 애플리케이션 방화벽이다. SQL 인젝션, XSS(크로스 사이트 스크립팅), RCE(원격 코드 실행) 같은 공격을 HTTP 요청 레벨에서 탐지하고 차단한다. 무료 요금제에서는 심각도가 높은 취약점에 대한 기본 관리 규칙(Managed Ruleset)만 제공되며, Pro 요금제부터 OWASP 핵심 규칙 세트와 Cloudflare Managed Ruleset 전체를 사용할 수 있다.
SSL/TLS 인증서는 사이트와 방문자 사이의 통신을 암호화하는 인증서다. 무료 요금제에서 Universal SSL이 제공되어 별도 구매 없이 HTTPS를 적용할 수 있다. 다만 무료 SSL은 도메인 검증(DV) 수준이며, 유료 요금제에서는 Advanced Certificate Manager를 통해 커스텀 인증서 관리가 가능하다.
CDN(Content Delivery Network)은 전 세계에 분산된 서버를 통해 콘텐츠를 빠르게 전달하는 네트워크다. 클라우드플레어의 CDN은 모든 요금제에서 무료로 제공되며, 대역폭 제한이 없다.
Rate Limiting(속도 제한)은 특정 IP나 세션에서 과도한 요청이 들어올 때 자동으로 차단하거나 제한하는 기능이다. 무료 요금제에서는 IP 기반 속도 제한이 가능하고, Pro 요금제부터 더 정밀한 조건 설정이 가능하다.
WAF의 Managed Ruleset은 클라우드플레어가 직접 관리하는 사전 구성 규칙 세트다. 무료 요금제에서도 가장 심각한 취약점(Log4j, Spring4Shell 등)에 대한 보호가 자동 적용되므로, 무료 사용자도 기본적인 제로데이 공격 방어 혜택을 받을 수 있다.
Cloudflare Rules와 WAF Rules 수량 비교
요금제별로 사용할 수 있는 규칙 수에 큰 차이가 있다. 이 수량이 곧 보안 설정의 세밀함을 결정한다.
| 규칙 유형 | Free | Pro (20달러) | Business (200달러) | Enterprise (커스텀) |
|---|---|---|---|---|
| Cloudflare Rules | 70개 | 225개 | 450개 | 2,700개 |
| WAF Rules (커스텀) | 5개 | 20개 | 100개 | 1,000개 |
| Page Rules | 3개 | 20개 | 50개 | 125개 |
| Rate Limiting Rules | 1개 | 2개 | 5개 | 100개 |
무료 요금제의 WAF 커스텀 규칙은 5개뿐이다. 워드프레스 관리자 페이지 보호, 특정 국가 차단, API 엔드포인트 보호 등 기본적인 보안 규칙만 설정해도 금방 한도에 도달한다. 보안 규칙을 세밀하게 관리해야 하는 사이트라면 Pro 요금제의 20개 규칙이 훨씬 유리하다.
무료 요금제 vs 유료 요금제 핵심 차이 분석
클라우드플레어의 무료 요금제는 업계에서 가장 관대한 무료 보안 서비스로 평가받는다. 그러나 유료 요금제와의 차이는 분명히 존재한다.
무료(Free) 요금제가 제공하는 것
무료 요금제에서도 상당한 수준의 보호를 받을 수 있다. 무제한 DDoS 방어, Universal SSL 인증서, 글로벌 CDN, 기본 봇 차단(Bot Fight Mode), 그리고 심각도 높은 취약점에 대한 기본 WAF 관리 규칙이 포함된다. 개인 블로그나 트래픽이 적은 포트폴리오 사이트라면 무료 요금제만으로도 충분한 보안을 확보할 수 있다.
다만 무료 요금제의 WAF는 "고심각도(high severity)" 취약점만 방어한다. OWASP Top 10 전체를 커버하는 규칙 세트는 포함되지 않으며, 봇 탐지 역시 일반적인(common) 봇만 감지하고 정교한(sophisticated) 봇은 식별하지 못한다.
Pro(20달러) 요금제의 추가 보호
Pro 요금제는 무료 요금제의 모든 기능을 포함하면서 보안과 성능 양쪽에서 의미 있는 업그레이드를 제공한다. 핵심 차이는 세 가지다.
첫째, WAF가 대폭 강화된다. OWASP 취약점에 대한 방어, 제로데이 위협 방어, 그리고 일반 공격 패턴(SQL 인젝션, XSS 등)에 대한 포괄적 방어가 활성화된다. 둘째, 봇 탐지 수준이 올라간다. 무료 요금제의 "common bots only" 탐지에서 "easy-to-detect bots" 수준으로 업그레이드되어 더 많은 악성 봇을 식별한다. 셋째, 이미지 최적화(Polish) 기능이 포함되어 이미지 메타데이터를 제거하고 손실/무손실 압축을 자동 적용한다.
Pro 요금제의 가장 큰 가치는 WAF 강화에 있다. 특히 워드프레스, 쇼핑몰(WooCommerce, Shopify), 또는 사용자 입력을 받는 모든 웹 애플리케이션은 Pro 요금제의 WAF를 통해 OWASP Top 10 공격에 대한 체계적 방어가 가능해진다.
전 요금제 기능 비교 상세표
| 기능 | Free (무료) | Pro (20달러/월) | Business (200달러/월) | Enterprise (커스텀) |
|---|---|---|---|---|
| DDoS 방어 | 무제한 | 무제한 | 무제한 | 무제한 + 고급 |
| SSL 인증서 | Universal SSL | Universal SSL | Custom SSL | Custom + 전용 |
| CDN | 무료 무제한 | 무료 무제한 | 무료 무제한 | 무료 무제한 |
| WAF 관리 규칙 | 고심각도만 | OWASP + 전체 | OWASP + 전체 | 고급 WAF |
| 봇 탐지 | 일반 봇만 | 쉬운 탐지 봇 | 정교한 봇 | 엔터프라이즈 봇 관리 |
| 이미지 최적화 | 미제공 | Polish 포함 | Polish 포함 | Polish 포함 |
| 속도 제한 | IP 기반 | 고급 설정 | 고급 설정 | 고급 + SLA |
| 지원 | 커뮤니티 + 문서 | 티켓 + 커뮤니티 | 채팅 + 티켓 | 전화 + 전담 |
| 업타임 보장(SLA) | 없음 | 없음 | 100% | 100% |
| PCI/SOC 2 준수 | 없음 | 없음 | Type II 포함 | Type II 포함 |
| 커스텀 네임서버 | 없음 | 없음 | 제공 | 제공 |
| 워드프레스 APO | 5달러/월 추가 | 포함 | 포함 | 포함 |
Business 요금제(200달러/월)는 PCI DSS와 SOC 2 Type II 컴플라이언스가 필요한 전자상거래 사이트에 적합하다. 결제 정보를 직접 처리하는 쇼핑몰이라면 Business 요금제 이상을 고려해야 한다.
클라우드플레어를 반드시 써야 하는 5가지 이유
클라우드플레어는 단순한 CDN이 아니다. 보안, 성능, 안정성을 하나의 플랫폼에서 해결하는 연결 클라우드(Connectivity Cloud) 서비스다.
첫 번째, 무료로도 강력한 기본 보안을 제공한다. DDoS 방어에 트래픽 제한이 없다는 것은 파격적이다. 2017년부터 클라우드플레어는 공격 규모와 관계없이 모든 고객을 보호하는 "무제한 방어(Unmetered Mitigation)" 정책을 시행하고 있다. 경쟁 서비스 대부분은 일정 수준 이상의 DDoS 공격 시 추가 요금을 부과하거나 서비스를 중단한다.
두 번째, DNS 속도가 압도적이다. 클라우드플레어의 DNS 확인자(1.1.1.1)는 세계에서 가장 빠른 퍼블릭 DNS로 측정되고 있다. DNS 응답 시간이 평균 11ms 수준으로, 이는 사이트 접속 속도에 직접적인 영향을 미친다.
세 번째, 서버 원본 IP를 숨긴다. 클라우드플레어를 사용하면 방문자가 실제 서버 IP 대신 클라우드플레어의 IP와 통신하게 된다. 이렇게 되면 공격자가 서버를 직접 타겟팅하기 어려워지며, 이것만으로도 상당한 보안 효과가 있다.
네 번째, SSL 인증서를 무료로 자동 발급한다. 별도의 SSL 구매, 설치, 갱신 과정 없이 HTTPS를 적용할 수 있다. 인증서 만료로 인한 보안 경고 발생 위험도 사라진다.
다섯 번째, 도메인 등록 시 프라이버시 보호가 무료다. 클라우드플레어에서 도메인을 등록하면 WHOIS 정보 보호(개인정보 노출 방지)가 기본 제공된다. 다른 등록 기관에서는 연간 10 - 15달러 수준의 유료 옵션으로 제공하는 기능이다.
클라우드플레어의 보안 기능은 DNS 레코드가 프록시 모드(주황색 구름 아이콘)로 설정된 경우에만 작동한다. DNS 전용(회색 구름) 모드로 설정하면 CDN, WAF, DDoS 방어가 모두 비활성화되므로, 보안 목적이라면 반드시 프록시 모드를 사용해야 한다.
20달러 Pro 요금제, 모든 사이트가 보호되는가
가장 많이 받는 질문이 "Pro 요금제 하나로 내 모든 사이트를 보호할 수 있나요?"인데, 답은 아니오다.
요금제는 도메인(존) 단위로 적용된다
클라우드플레어의 요금 체계는 도메인(Zone) 단위로 작동한다. 이것은 매우 중요한 부분이다. example.com이라는 도메인에 Pro 요금제를 적용하면, blog.example.com, shop.example.com 등 해당 도메인의 모든 서브도메인은 Pro 요금제 보호를 받는다.
하지만 다른 도메인, 예를 들어 mysite.co.kr에도 Pro 보호를 적용하려면 별도로 20달러를 추가 결제해야 한다. 도메인이 3개라면 월 60달러, 5개라면 월 100달러가 된다.
비용 시뮬레이션
운영하는 도메인 수에 따른 월 비용을 계산하면 다음과 같다.
- 도메인 1개: 월 20달러 (연간 결제 시 월 20달러)
- 도메인 3개: 월 60달러
- 도메인 5개: 월 100달러
- 도메인 10개: 월 200달러
연간 결제를 선택하면 최대 20% 할인이 적용되어 Pro 요금제 기준 연 240달러(월 20달러)로 이용 가능하다. 월간 결제 시에는 25달러로 약간 더 높아진다.
혼합 요금제 전략
모든 도메인에 동일한 요금제를 적용할 필요는 없다. 클라우드플레어 계정 하나에 여러 도메인을 추가하고, 각 도메인마다 다른 요금제를 설정할 수 있다.
실전에서 많이 사용하는 전략은 수익이 발생하는 메인 사이트에만 Pro 요금제를 적용하고, 나머지 서브 프로젝트나 개인 블로그에는 무료 요금제를 유지하는 방식이다. 무료 요금제에서도 DDoS 방어와 기본 SSL은 동일하게 제공되므로, WAF 강화가 불필요한 사이트라면 무료로도 충분하다.
워드프레스 사이트를 운영한다면 Pro 요금제에 포함된 APO(Automatic Platform Optimization) 기능도 주목할 만하다. 무료 요금제에서는 APO를 월 5달러에 별도 구매해야 하지만, Pro 요금제에서는 무료로 포함되어 있다. 워드프레스 전용 캐싱 최적화로 페이지 로딩 속도가 최대 300% 향상될 수 있다.
Pro 요금제를 적용했더라도 DNS 레코드가 프록시 모드(주황색 구름)로 설정되지 않은 서브도메인은 클라우드플레어의 보안 기능이 적용되지 않는다. 각 서브도메인의 DNS 설정을 반드시 확인하고, WAF 보호가 필요한 모든 레코드를 프록시 모드로 전환해야 한다.
요금제 선택 기준과 실전 적용 시나리오
어떤 요금제가 적합한지는 사이트의 성격, 트래픽 규모, 보안 요구 수준에 따라 달라진다.
개인 블로그, 포트폴리오, 소규모 프로젝트는 무료 요금제로 충분하다. DDoS 방어, SSL, CDN이 모두 포함되어 있고, 기본 WAF 규칙으로 가장 위험한 공격은 자동 차단된다.
수익을 창출하는 전문 사이트, 중규모 블로그, 스타트업은 Pro 요금제가 적합하다. WAF의 OWASP 규칙 세트가 활성화되어 웹 애플리케이션 공격에 대한 체계적 방어가 가능하며, 이미지 최적화와 향상된 봇 탐지가 포함된다.
전자상거래, 금융 서비스, 대규모 트래픽 사이트는 Business(200달러/월) 이상을 고려해야 한다. PCI DSS 컴플라이언스, 100% 업타임 SLA, 커스텀 SSL 인증서, 정교한 봇 탐지 기능이 비즈니스 연속성을 보장한다.
2025년 조사 기준으로 클라우드플레어를 사용하는 웹사이트의 약 82%가 무료 요금제를 이용하고 있으며, Pro 요금제 사용자는 전체의 약 12%, Business와 Enterprise는 합쳐서 6% 수준이다. 대부분의 사이트 운영자에게 무료 요금제가 기본적인 보안 수요를 충족시키고 있다는 의미다.
그러나 사이트에서 사용자 로그인, 결제, 파일 업로드 등 서버 사이드 처리가 이루어진다면 Pro 요금제 이상을 강력히 권장한다. 이런 기능이 있는 사이트는 WAF의 OWASP 규칙 세트 없이는 SQL 인젝션, CSRF, 파일 포함 공격 등에 취약해질 수 있다.
클라우드플레어의 도메인 보호는 단순히 돈을 내고 켜두면 끝나는 서비스가 아니다. DNS 레코드의 프록시 설정 확인, WAF 규칙 세트의 활성화 여부 점검, 그리고 보안 이벤트 로그를 주기적으로 모니터링하는 것이 함께 이루어져야 비로소 제 효과를 발휘한다.
지금 클라우드플레어 대시보드에 접속해서 보유 도메인의 보안 설정 상태를 점검해 보자. 무료 요금제를 쓰고 있다면 WAF 섹션에서 현재 활성화된 관리 규칙을 확인하고, 5개의 커스텀 규칙을 전략적으로 배치하는 것부터 시작하면 된다. 보안은 설정해두고 잊어버리는 것이 아니라, 지속적으로 관리해야 하는 프로세스다.