Cloudflare 무료 플랜 보안 설정을 병원 사이트에 처음 적용했을 때, 가장 먼저 느낀 것은 Nginx 액세스 로그가 조용해졌다는 것이었습니다. 봇 트래픽 대부분이 Cloudflare에서 걸러져서 서버까지 오지 않기 때문입니다. 무료 플랜임에도 병원 사이트 규모에서는 필요한 보안 기능이 충분히 제공됩니다.
DDoS 완화: 레이어 3·4·7 공격을 자동으로 흡수합니다. 서버가 직접 공격을 받지 않습니다.
봇 관리 (기본): 알려진 악성 봇을 자동으로 차단합니다. 크롤러, 스캐너, 브루트포스 봇 대부분이 여기서 막힙니다.
SSL/TLS: 무료 SSL 인증서를 제공하고 HTTPS를 강제할 수 있습니다. Let’s Encrypt와 별개로 작동합니다.
CDN: 정적 파일(이미지, CSS, JS)을 Cloudflare 엣지 서버에서 캐시해서 제공합니다. 서버 부하가 줄고 속도가 개선됩니다.
원본 IP 숨김: 사이트 방문자와 공격자가 서버 원본 IP를 알기 어려워집니다.
1. SSL/TLS 설정
Cloudflare 대시보드 → SSL/TLS → 개요
“Full (strict)” 모드를 권장합니다. 서버에 유효한 SSL 인증서가 있어야 합니다.
2. 보안 수준 설정
보안 → 설정 → 보안 수준: “중간” 이상으로 설정
봇 의심 트래픽에 CAPTCHA를 표시합니다.
3. Under Attack Mode (비상 시)
공격 중이라면 보안 → 설정 → “공격 받는 중” 모드 활성화
모든 방문자에게 5초 챌린지를 표시합니다. 일반 방문자에게 불편할 수 있으니 공격 중에만 사용합니다.
무료 플랜에서 커스텀 방화벽 규칙을 5개까지 만들 수 있습니다.
관리자 페이지 보호 규칙:
If URI Path contains /wp-admin
AND Country is not KR (한국)
Then Block
해외에서 관리자 페이지 접근을 차단합니다. 해외 출장이 없는 병원 사이트에 적합합니다.
xmlrpc.php 차단 규칙:
If URI Path equals /xmlrpc.php
Then Block
Cloudflare 수준에서 xmlrpc 요청을 차단하면 서버까지 요청이 오지 않습니다.
Cloudflare는 설정보다 유지관리가 중요합니다. 방화벽 규칙 이벤트 로그를 월 1회 확인해서 비정상 패턴을 체크하는 루틴을 만들어두세요.
AI가 초안을 생성하고, 의료기관 인프라 운영자가 1차 데이터 기반으로 최종 검수·승인합니다.
작성·검수: WavePix 운영자 (의료기관 3곳 인프라 전담)