무슨 일이 있었나
웹 아카이빙 서비스로 널리 알려진 archive.today가 Cloudflare의 보안 DNS 서비스(1.1.1.2)에서 더 이상 접속되지 않는 상황이 발생했다. Cloudflare Radar 페이지에서 해당 도메인을 조회하면 "Command and Control & Botnet"이라는 분류가 붙어 있다. 즉, Cloudflare가 archive.today를 악성 봇넷의 명령 제어 서버와 같은 수준의 위협으로 간주하고 차단한 것이다.
archive.today는 특정 시점의 웹페이지를 그대로 저장해두는 서비스로, 뉴스 기사가 삭제되거나 수정되었을 때 원본을 확인하거나 페이월 뒤의 콘텐츠를 보존하는 용도로 전 세계 연구자, 저널리스트, 개발자들이 광범위하게 사용해왔다. Internet Archive(archive.org)와 함께 웹의 공공 기록을 지키는 핵심 인프라 중 하나로 여겨지는 서비스다.
기술적으로 어떤 일이 벌어진 건가
Cloudflare는 자사 DNS 서비스를 여러 버전으로 제공하고 있다. 가장 기본적인 1.1.1.1은 아무 필터링 없이 모든 도메인을 해석해주는 퍼블릭 DNS이고, 1.1.1.2는 여기에 "악성 사이트 차단" 기능을 추가한 보안 버전이다. 가정용 라우터나 기업 네트워크에서 기본 DNS로 1.1.1.2를 설정해두면 피싱 사이트, 멀웨어 배포지 등에 대한 접근이 자동 차단되는 구조다.
문제는 Cloudflare가 특정 도메인을 어떤 기준으로 "C&C/Botnet"으로 분류하는지 그 프로세스가 투명하지 않다는 점이다. 전통적으로 C&C(Command and Control) 서버란 해커가 감염시킨 수많은 좀비 컴퓨터를 원격으로 제어하기 위해 사용하는 중앙 서버를 의미한다. archive.today가 이런 분류에 해당한다는 것은 상식적으로 이해하기 어렵다.
한 가지 배경으로, archive.today와 Cloudflare 사이에는 오랜 갈등이 있었다는 점을 알아둘 필요가 있다. archive.today의 운영자는 과거부터 Cloudflare의 DNS를 통한 접속을 의도적으로 차단해온 바 있고, Cloudflare 측에서도 archive.today에 대한 DNS 해석에 문제가 있었던 전례가 여러 차례 보고되었다. 이번 "봇넷" 분류가 기술적 판단에 의한 것인지, 아니면 다른 맥락이 있는 것인지는 아직 명확하지 않다.
DNS 필터링이 가진 구조적 권력
이 사건이 단순한 오분류 이상의 의미를 갖는 이유는 DNS가 인터넷 접속의 가장 기본적인 관문이기 때문이다. 사용자가 브라우저에 주소를 입력하면 가장 먼저 DNS 서버에 해당 도메인의 IP 주소를 물어본다. DNS 서버가 응답을 거부하면 해당 사이트는 사실상 존재하지 않는 것과 같다.
Cloudflare의 1.1.1.1은 전 세계에서 가장 많이 사용되는 퍼블릭 DNS 중 하나다. Google의 8.8.8.8과 함께 양대 산맥을 이루고 있으며, 특히 보안 필터링 버전인 1.1.1.2와 가족 보호 버전인 1.1.1.3은 학교, 기업, 가정에서 기본 DNS로 설정되는 경우가 많다. 이런 서비스에서 특정 도메인을 차단하면 그 영향력은 특정 국가의 인터넷 검열에 버금갈 수 있다.
기존에 DNS 차단은 주로 국가 단위에서 이루어졌다. 한국의 경우 warning.or.kr 리다이렉트가 대표적인 예시이고, 중국의 Great Firewall, 터키나 이란의 SNS 차단 등이 잘 알려져 있다. 하지만 최근에는 Cloudflare, Google과 같은 글로벌 인프라 사업자의 DNS 필터링이 사실상 국경을 초월한 접근 제어로 기능할 수 있다는 우려가 커지고 있다. 국가 검열은 최소한 법적 근거와 공론화 과정이 존재하지만, 사기업의 필터링 기준은 외부에서 검증하기 어렵기 때문이다.
개발자에게 주는 시사점
이 사건은 인프라 의존성에 대해 다시 한번 생각하게 만든다. 많은 서비스가 Cloudflare의 DNS, CDN, DDoS 방어 등에 의존하고 있는데, 해당 인프라 사업자의 정책 변경이나 분류 오류 하나로 서비스 접근성이 크게 달라질 수 있다. 실제로 2022년에 Cloudflare가 Kiwi Farms의 서비스를 중단했을 때도 "인프라 레이어에서의 검열이 어디까지 허용되어야 하는가"라는 논쟁이 격렬하게 벌어진 바 있다.
실무 관점에서는 몇 가지를 점검해볼 만하다. 첫째, 자사 서비스의 DNS 해석이 특정 DNS 제공자에 과도하게 의존하고 있지는 않은지. 둘째, 내부 크롤러나 아카이빙 시스템이 archive.today 등 외부 서비스를 참조하고 있다면 해당 연동이 DNS 필터링 환경에서도 정상 작동하는지. 셋째, 사용자가 보안 DNS를 사용할 경우 자사 도메인이 의도치 않게 차단될 가능성은 없는지 주기적으로 Cloudflare Radar 등의 도구로 확인해보는 것도 좋겠다.
마무리
핵심은 간단하다. 소수의 인프라 사업자가 사실상의 인터넷 접근 게이트키퍼 역할을 하고 있으며, 그 판단 기준은 충분히 투명하지 않다. archive.today의 봇넷 분류가 정당한 기술적 판단인지, 아니면 다른 맥락이 작용한 것인지는 지켜봐야 할 문제다.
여러분의 서비스는 특정 DNS나 CDN 사업자에 얼마나 의존하고 있나요? 인프라 레이어에서의 차단 권한에 대해 어떻게 생각하시는지 의견을 나눠보면 좋겠습니다.
🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공
