Route53 도메인 CloudFlare 이전하기

이전을 고민한 이유

도메인 운영에서 DNS 서비스는 단순한 네임서버 수준을 넘어 보안, 인증서 관리, 성능 최적화, 그리고 인프라 통합의 기반이 됩니다.

 

리버스프록시 환경에서 몇 개 정도 인터넷에 오픈해 둔 서비스가 있는데, 이용자 대신 많은 봇과 크롤러들이 방문하고 있음을 확인했다.

proxy access log

 

 

AWS의 Route 53은 AWS Certificate Manager(ACM) 및 Application Load Balancer(ALB) 등 AWS 서비스와의 연동에 최적화되어 있어, 인증서 자동 갱신과 로드밸런싱을 통해 서비스 가용성과 안정성을 확보할 수 있다. AWS 인프라 내에서의 통합 운용을 중시한다면 매우 강력한 선택지이다.

그러나 웹서비스의 보안과 성능 요구가 엣지 네트워크 중심으로 이동하면서, Cloudflare와 같은 통합 CDN+보안 플랫폼이 주목받고 있다. Cloudflare는 다음과 같은 기능을 무료 플랜에서도 통합 제공한다:

• L3, L4, L7 전 계층에 대한 DDoS 공격 방어
• 글로벌 CDN을 통한 콘텐츠 캐싱 및 성능 향상
• SSL/TLS 인증서 자동 제공 (Universal SSL)
• 기본적인 웹 방화벽(WAF) 정책과 봇 차단
• 빠른 DNS 응답 속도 및 직관적인 관리 UI

이러한 강점에도 불구하고, Cloudflare 무료 플랜에는 아래와 같은 제약도 존재한다:

• SSL 인증서 적용 범위 제한: 무료 Universal SSL은 기본적으로 example.com, www.example.com 등 최상위 도메인 및 1단계 서브도메인까지만 인증서가 적용이 가능하다. 예를 들어, api.dev.example.com과 같은 2단계 이상의 서브도메인에는 인증서가 적용되지 않아 연결 경고가 발생할 수 있다.
• WAF(웹 방화벽) 룰 커스터마이징이 제한되어 있으며, 고급 보안 기능(예: 사용자 지정 룰셋, 위협 점수 기반 제어)은 유료 플랜에서만 제공된다.
• 트래픽 분석 및 로그 저장 기능 부재: 로그 기반 이상 탐지나 세밀한 트래픽 분석이 어려우며, 유료 Add-on 또는 별도 외부 도구 연동이 필요하다.
• 서비스 수준 계약(SLA) 미제공: 무료 플랜은 가용성이나 응답 시간에 대한 SLA가 없으며, 이는 안정성을 중시하는 서비스에는 리스크가 될 수 있다.
• Rate Limiting, 페이지 규칙 세분화, Edge Function(Workers) 등 일부 고급 기능은 제한되거나 유료 전용입니다.

이처럼 각각의 플랫폼은 장단점이 명확하며, 필자가 운영하는 환경에서는 속도나 SLA 측면에서 큰 영향을 받지 않기 때문에 이번 글에서는 AWS Route 53에서 Cloudflare로 도메인을 이전하게 된 배경과 그 과정, 그리고 Cloudflare 무료 플랜을 선택하면서 감수해야 할 한계점에 대한 고려를 함께 정리한다.

 

2. Cloudflare

Cloudflare는 단순한 DNS 서비스 제공자를 넘어, 전 세계적으로 분산된 엣지 네트워크를 기반으로 한 CDN(콘텐츠 전송 네트워크), 웹 보안, 성능 최적화, DDoS 방어 기능을 통합 제공하는 대표적인 엣지 플랫폼이다.

수백 개의 글로벌 데이터 센터를 통해 사용자의 콘텐츠를 가장 가까운 노드에서 제공함으로써, 웹사이트 로딩 속도를 비약적으로 향상시킬 수 있으며, 동시에 L3~L7 계층의 트래픽에 대한 보호 기능을 제공한다. 특히 무료 플랜에서도 SSL/TLS 인증서 자동 적용, 봇 차단, 기본적인 웹 방화벽(WAF), DDoS 완화 기능을 제공해, 중소 규모 서비스 운영자에게도 높은 가성비를 제공한다.

 

도메인 등록

 

Cloudflare를 사용하는 과정은 다음과 같이 수행한다:

1. https://www.cloudflare.com 에 접속하여 회원가입 후 로그인합니다.
2. 로그인 후, "사이트 추가(Add a Site)" 메뉴를 통해 자신의 도메인 이름(예: example.com)을 입력합니다.
3. Cloudflare가 자동으로 현재 도메인의 DNS 레코드를 가져오며, 이를 검토하고 필요한 레코드를 수정하거나 추가합니다.
4. 요금제를 선택합니다. 대부분의 경우 무료(Free) 플랜으로도 충분히 시작할 수 있습니다.
5. Cloudflare에서 안내하는 NS(Name Server) 값으로 도메인의 네임서버를 변경합니다.

 

 

 

Route53에서 NS 레코드 설정시 주의사항

 

NS 레코드 변경 필요 안내 화면

 

AWS Route 53에서 도메인을 구입했거나 Route 53에 등록된 도메인을 사용하는 경우, Cloudflare로 DNS를 이전하려면 반드시 NS 레코드 변경이 필요하다.
이때 실수하기 쉬운 부분이 있는데 여기서 며칠 삽질했다:

  필자는 AWS Route53에서 도메인을 구매하고, 호스팅 존을 운영하고 있었기 때문에 호스팅 존의 설정에서 NS 레코드를 변경하는 방법으로 적용을 하려고 했다.

잘못된 NS 레코드 변경

그런데 이 작업은 실제 네임서버에는 영향을 미치지 않는 설정이었고, 이러한 설정이 된 상태에서 네임서버의 설정이 되는데에 시간이 걸리는 것으로 판단. 이틀 정도를 날렸다.

 

• NS 레코드를 변경할 때, Route 53의 '호스팅 존(Hosted Zone)' 내의 NS 레코드를 수정해서는 안된다.
• 반드시 Route 53의 "도메인(Registered domains)" 메뉴로 이동한 뒤, 네임서버(Name Server) 설정을 변경해야 Cloudflare DNS가 정상적으로 적용된다.

 

이는 Route 53에서 Hosted Zone의 NS 레코드는 단순한 정보 표시용이며, 실제 DNS 위임에는 아무 영향도 미치지 않기 때문이다. 이 부분을 놓치면 Cloudflare 측에서는 네임서버 변경이 확인되지 않아 도메인 보호 기능이 활성화되지 않는다.

 

설정 완료 대시보드