작성일 작성자 댓글 남기기

[Cloudflare 완전 정복: 입문부터 2026 AI 에이전트까지] 7/16화: 1.1.1.1 WARP VPN 설정과 DNS 광고차단 완전 가이드

WARP와 DNS 필터링으로 보호되는 디바이스들

이 글은 「Cloudflare 완전 정복」 시리즈 7회입니다. 지난 6화에서 Zero Trust Access로 사설 포털을 만들었다면, 이번에는 내 모든 디바이스의 인터넷 트래픽 자체를 보호하는 개인 보안 스택을 쌓아봅니다. 주인공은 1.1.1.1, WARP, 그리고 DNS 필터링 — 세 가지 모두 무료입니다.

왜 DNS부터 바꿔야 하는가

인터넷에 접속할 때 가장 먼저 일어나는 일은 DNS 조회입니다. 브라우저에 주소를 입력하면 ISP(통신사)의 DNS 서버가 IP 주소를 알려주죠. 문제는 이 과정이 대부분 암호화되지 않은 평문으로 이루어진다는 겁니다.

  • ISP가 내 방문 사이트 목록을 전부 볼 수 있음
  • 카페 와이파이에서 DNS 스푸핑 공격에 노출
  • 통신사 DNS는 속도 최적화보다 비용 절감에 초점
  • 광고·추적 도메인을 차단할 방법이 없음

Cloudflare의 1.1.1.1은 이 모든 문제를 한 번에 해결합니다. 2018년 출시 이후 꾸준히 세계에서 가장 빠른 퍼블릭 DNS 자리를 지키고 있고, DNS-over-HTTPS(DoH)와 DNS-over-TLS(DoT)를 기본 지원합니다.

기존 DNS vs Cloudflare 1.1.1.1 암호화 DNS 비교

1.1.1.1 — 3분 만에 DNS 바꾸기

기본 DNS 주소

Cloudflare는 용도별로 세 가지 DNS 주소를 제공합니다.

  • 기본(필터 없음): 1.1.1.1 / 1.0.0.1 (IPv6: 2606:4700:4700::1111 / 2606:4700:4700::1001)
  • 악성코드 차단: 1.1.1.2 / 1.0.0.2 (1.1.1.1 for Families — Security)
  • 악성코드 + 성인콘텐츠 차단: 1.1.1.3 / 1.0.0.3 (1.1.1.1 for Families — Family)

자녀가 있는 가정이라면 공유기에 1.1.1.3을 설정하는 것만으로 별도 소프트웨어 없이 네트워크 전체에 콘텐츠 필터가 적용됩니다.

Windows 11 설정

설정 → 네트워크 및 인터넷 → Wi-Fi(또는 이더넷) → DNS 서버 할당에서 수동으로 전환합니다. 하지만 PowerShell이 더 빠릅니다.

# 관리자 권한 PowerShell
# 현재 네트워크 어댑터 확인
Get-NetAdapter | Where-Object Status -eq Up

# Wi-Fi 어댑터에 1.1.1.1 설정 (DoH 자동 활성화)
Set-DnsClientServerAddress -InterfaceAlias "Wi-Fi" `
  -ServerAddresses ("1.1.1.1","1.0.0.1")

# DNS-over-HTTPS 활성화 (Windows 11 22H2+)
Set-DnsClientDohServerAddress -ServerAddress "1.1.1.1" `
  -DohTemplate "https://cloudflare-dns.com/dns-query" `
  -AllowFallbackToUdp $false -AutoUpgrade $true

Set-DnsClientDohServerAddress -ServerAddress "1.0.0.1" `
  -DohTemplate "https://cloudflare-dns.com/dns-query" `
  -AllowFallbackToUdp $false -AutoUpgrade $true

# 확인
Resolve-DnsName cloudflare.com | Select-Object Name, IPAddress

Synology NAS DS+925에서 DNS 설정

# SSH 접속 후 DNS 확인
cat /etc/resolv.conf

# DSM 웹 UI 경로:
# 제어판 → 네트워크 → 일반 → 수동으로 DNS 서버 구성
# 기본 DNS: 1.1.1.1
# 보조 DNS: 1.0.0.1

DSM 7.2+에서는 웹 UI에서 직접 변경하는 것을 권장합니다. SSH로 /etc/resolv.conf를 직접 수정하면 재부팅 시 DSM이 덮어쓸 수 있습니다.

공유기(라우터) 레벨 설정 — 네트워크 전체 적용

개별 디바이스마다 설정하기 번거롭다면 공유기의 DHCP DNS를 1.1.1.1로 변경하세요. 연결된 모든 기기에 자동 적용됩니다.

  • 공유기 관리 페이지 접속 (보통 192.168.0.1 또는 192.168.1.1)
  • DHCP 설정 → DNS 서버 → 1.1.1.1 / 1.0.0.1 입력
  • 저장 후 연결된 기기 재접속

WARP — 무료 VPN 그 이상

DNS만 바꾸면 “어디에 접속하는지”는 보호되지만, 실제 통신 내용은 여전히 노출될 수 있습니다. 특히 카페·공항 같은 공공 와이파이에서요. WARP는 이 갭을 메웁니다.

WARP란 무엇인가

WARP는 Cloudflare가 만든 WireGuard 기반 VPN입니다. 일반 VPN과 다른 점이 있습니다.

  • 속도 저하 최소화: WireGuard 프로토콜 + Cloudflare 글로벌 네트워크(330+ 도시) 활용. 전통적 VPN 대비 체감 속도 차이가 거의 없음
  • IP 우회 목적이 아님: Netflix 지역 우회 같은 용도가 아닌, 순수 보안·프라이버시 목적. Cloudflare는 로그를 저장하지 않겠다고 공개 감사까지 받았음
  • 무료: 기본 WARP는 완전 무료. 유료 WARP+는 더 빠른 라우팅(Argo 네트워크) 제공
WARP 동작 모드 세 가지 비교

WARP 설치 및 설정

모바일(iOS/Android): 앱스토어에서 “1.1.1.1” 검색 → 설치 → 토글 한 번이면 끝입니다.

Windows/macOS 데스크톱:

# Windows — winget으로 설치
winget install Cloudflare.Warp

# macOS — brew로 설치
brew install --cask cloudflare-warp

# 설치 후 시스템 트레이(메뉴 바)에서 톱니바퀴 → 연결 클릭

Linux (Ubuntu/Debian):

# Cloudflare GPG 키 추가
curl -fsSL https://pkg.cloudflareclient.com/pubkey.gpg \
  | sudo gpg --yes --dearmor -o /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg

# 저장소 추가
echo "deb [signed-by=/usr/share/keyrings/cloudflare-warp-archive-keyring.gpg] \
  https://pkg.cloudflareclient.com/ $(lsb_release -cs) main" \
  | sudo tee /etc/apt/sources.list.d/cloudflare-client.list

sudo apt update && sudo apt install cloudflare-warp

# 등록 및 연결
warp-cli registration new
warp-cli connect

# 상태 확인
warp-cli status

WARP 동작 모드 이해하기

WARP 클라이언트는 세 가지 모드를 제공합니다.

  • 1.1.1.1 only (DNS만): DNS 쿼리만 Cloudflare로. 가장 가벼움
  • WARP (기본): 모든 트래픽을 WireGuard 터널로 암호화. 공공 와이파이에서 필수
  • WARP+ (유료): Argo Smart Routing으로 최적 경로 선택. 해외 서버 접속 시 체감 향상

대부분의 사용자에게는 기본 WARP면 충분합니다. 일상 웹 브라우징에서 속도 차이를 체감하기 어려울 정도로 잘 최적화되어 있습니다.

DNS 필터링 — 광고와 추적기를 네트워크 레벨에서 차단

1.1.1.1 for Families로 기본적인 필터링은 가능하지만, 내가 원하는 도메인만 골라서 차단하고 싶다면 Zero Trust의 Gateway DNS 필터링을 사용합니다. 6화에서 다룬 Zero Trust 대시보드를 다시 열어봅시다.

Gateway DNS 정책 설정

Zero Trust 대시보드(https://one.dash.cloudflare.com)에서 설정합니다.

  1. Gateway → Firewall Policies → DNS 진입
  2. Add a policy 클릭
  3. 정책 이름: Block Ads and Trackers
  4. 트래픽 선택자 구성:
    • Selector: Security Categories → Operator: in → Value: Spyware, Phishing, Malware
    • 또는 Selector: Content Categories → Value: Advertisements & Trackers
  5. Action: Block
  6. Save

이렇게 하면 Cloudflare가 관리하는 위협 인텔리전스 데이터베이스를 기반으로 광고·추적·악성 도메인이 DNS 레벨에서 차단됩니다. Pi-hole과 비슷하지만 별도 하드웨어 없이, 클라우드에서 동작합니다.

Gateway DNS 필터링 정책 동작 흐름

커스텀 차단 리스트 추가

특정 도메인을 수동으로 차단하거나, 외부 차단 리스트를 가져올 수도 있습니다.

# Gateway → Lists에서 커스텀 리스트 생성
# 이름: my-blocklist
# 타입: Domains
# 수동 입력 또는 CSV 업로드

# 예시 — 자주 차단하는 도메인
ads.example.com
tracker.example.net
telemetry.example.org

생성한 리스트를 DNS 정책의 Selector에서 Domain → in list → my-blocklist로 연결하면 적용됩니다.

WARP 클라이언트를 Gateway에 연결하기

개인용 WARP와 Zero Trust Gateway를 연결하면, WARP가 켜진 모든 디바이스에 DNS 필터링 정책이 자동 적용됩니다.

# Zero Trust 대시보드에서
# Settings → WARP Client → Device enrollment permissions

# 팀 이름(예: myhomelab) 설정 후
# WARP 클라이언트에서 로그인:
# 설정 → 계정 → Cloudflare Zero Trust 로그인
# 팀 도메인: myhomelab.cloudflareaccess.com 입력

로그인 후 WARP 아이콘이 “Zero Trust” 모드로 전환됩니다. 이제부터 이 디바이스의 모든 DNS 쿼리는 Gateway 정책을 거칩니다.

실전 구성 — 개인 보안 스택 아키텍처

지금까지 배운 것을 조합하면 다음과 같은 보안 스택이 완성됩니다.

┌─────────────────────────────────────────────────────┐
│                    내 디바이스                        │
│  ┌───────────┐   ┌──────────┐   ┌────────────────┐  │
│  │  WARP     │──▶│ Gateway  │──▶│ 1.1.1.1 DNS    │  │
│  │  (암호화)  │   │ (필터링)  │   │ (DoH/DoT)      │  │
│  └───────────┘   └──────────┘   └────────────────┘  │
│        │                                             │
│        ▼                                             │
│  ┌─────────────────────────────────────────┐         │
│  │  Zero Trust Access (6화)                │         │
│  │  → 홈랩 NAS/서버 안전 접근               │         │
│  └─────────────────────────────────────────┘         │
└─────────────────────────────────────────────────────┘

각 레이어의 역할을 정리하면:

  • 1.1.1.1 (DNS): 모든 DNS 쿼리를 암호화. ISP 스누핑 방지
  • Gateway (필터링): 광고·추적·악성 도메인을 DNS 단계에서 차단
  • WARP (VPN): 전체 트래픽 암호화. 공공 와이파이 보호
  • Zero Trust Access (6화): 홈랩 서비스에 인증된 접근만 허용

5화의 Tunnel이 “집 서버를 안전하게 내보내는 것”이었다면, 7화의 WARP+Gateway는 “나를 안전하게 보호하는 것”입니다. 두 방향이 합쳐져야 완전한 보안 스택이 됩니다.

Mac Studio 홈랩 — WARP CLI로 상시 보호

Mac Studio처럼 GUI 없이 운영하는 홈랩 서버에서도 WARP CLI로 보호할 수 있습니다.

# macOS — WARP CLI 상태 확인
warp-cli status

# Zero Trust 팀에 등록
warp-cli registration new
warp-cli teams-enroll myhomelab

# 연결
warp-cli connect

# 부팅 시 자동 연결 (macOS LaunchAgent)
# /Library/LaunchDaemons/com.cloudflare.warp.plist 이 설치 시 자동 생성됨
# 별도 설정 불필요 — 설치 후 자동 시작

DNS 쿼리 로그 확인 — 뭐가 차단됐는지 보기

Gateway에 연결된 상태라면 Zero Trust 대시보드에서 모든 DNS 쿼리 로그를 확인할 수 있습니다.

Logs → Gateway → DNS에서 시간대별 쿼리 목록, 차단된 도메인, 카테고리를 볼 수 있습니다. 어떤 앱이 몰래 추적 서버에 접속하는지 적나라하게 드러나죠.

  • 차단된 쿼리는 빨간색으로 표시
  • 도메인별·디바이스별·시간대별 필터 가능
  • 무료 플랜도 최근 24시간 로그 제공

처음 켜고 하루 정도 지나서 로그를 보면 놀랄 겁니다. 평범한 스마트폰 하나가 하루에 수백 건의 광고·추적 도메인에 접속하고 있다는 사실을요.

WARP vs 일반 VPN vs Pi-hole — 비교

항목 WARP (무료) 일반 VPN (유료) Pi-hole
월 비용 0원 5,000~15,000원 전기세 (라즈베리파이)
DNS 암호화 DoH/DoT 업체마다 다름 별도 설정 필요
광고 차단 Gateway 연동 시 일부 업체만 핵심 기능
트래픽 암호화 WireGuard OpenVPN/WireGuard 없음
외부에서 사용 가능 가능 홈 네트워크만
IP 우회 제한적 핵심 기능 불가
하드웨어 필요 없음 없음 라즈베리파이 등

WARP+Gateway 조합은 Pi-hole의 광고 차단 + VPN의 트래픽 암호화를 클라우드에서 무료로 제공하는 셈입니다. 별도 하드웨어를 유지할 필요가 없다는 것이 결정적 장점이죠.

월 비용 명세표

기능 Free WARP+ (개인) Zero Trust (팀)
1.1.1.1 DNS 무제한 무료
1.1.1.1 for Families 무제한 무료
WARP VPN 무료 (기본 라우팅) $4.99/월 (Argo 라우팅)
Gateway DNS 필터링 최대 50명 무료 $7/사용자/월 (50명 초과)
DNS 쿼리 로그 24시간 보존 30일 보존
커스텀 차단 리스트 최대 1,000개 항목 확장 가능
1인 홈랩 권장 조합 Free만으로 충분 — DNS + WARP + Gateway 50석 무료

개인 또는 가족 단위 사용이라면 Free 플랜으로 모든 기능을 사용할 수 있습니다. 50명 제한은 개인 홈랩에서 걸릴 일이 없죠.

트러블슈팅 — 자주 묻는 문제

WARP 켜면 특정 사이트가 안 돼요

WARP 클라이언트 설정에서 Split Tunnel(분할 터널링)을 사용하세요. 특정 도메인이나 IP 대역을 WARP 터널에서 제외할 수 있습니다.

# Zero Trust 대시보드
# Settings → WARP Client → Device settings → 프로필 선택
# Split Tunnels → Manage
# "Exclude" 모드에서 제외할 도메인/IP 추가

# 예: 사내 VPN과 충돌 시 사내 IP 대역 제외
# 10.0.0.0/8
# 172.16.0.0/12

DNS 변경 후 확인하는 법

# 브라우저에서 접속
# https://1.1.1.1/help
# "Connected to 1.1.1.1" → Yes 확인
# "Using DNS over HTTPS (DoH)" → Yes 확인
# "Using DNS over TLS (DoT)" → Yes 확인 (둘 중 하나면 OK)

# 또는 터미널에서
nslookup -type=TXT debug.cloudflare-dns.com 1.1.1.1

NAS에서 WARP를 쓸 수 있나요?

Synology DSM에는 WARP 클라이언트가 공식 지원되지 않습니다. 대신 NAS의 DNS를 1.1.1.1로 설정하고, Tunnel(5화)과 Access(6화)로 보호하는 것이 정석입니다. NAS 자체의 트래픽 암호화가 필요하다면 Docker로 WireGuard를 올리는 방법도 있지만, 대부분의 경우 DNS 레벨 보호만으로 충분합니다.

정리 — 5분이면 완성되는 보안 스택

오늘 다룬 내용을 순서대로 정리합니다.

  1. 공유기 DNS를 1.1.1.1로 변경 → 집 전체 DNS 암호화 (2분)
  2. 휴대폰·PC에 WARP 설치 → 외부에서도 트래픽 암호화 (2분)
  3. Zero Trust Gateway에 DNS 정책 추가 → 광고·추적·악성 도메인 차단 (5분)
  4. WARP를 Gateway에 연결 → 모든 디바이스에 정책 자동 적용 (1분)

총 10분, 비용 0원. 5화의 Tunnel로 홈 서버를, 6화의 Access로 사설 포털을, 그리고 7화의 WARP+Gateway로 내 디바이스 전체를 보호하는 3중 방어가 완성됐습니다.

다음 8화에서는 Cloudflare R2 — AWS S3 대체 오브젝트 스토리지를 다룹니다. 송신 비용(egress) 0원이라는 파격적인 가격 정책과, 홈랩 백업·미디어 서빙에 활용하는 실전 방법을 알아봅니다.

이미지는 Leonardo AI 로 생성되었습니다.

이미지는 Claude AI 로 생성되었습니다.

📚 시리즈: Cloudflare 완전 정복: 입문부터 2026 AI 에이전트까지 (총 16화 중 7화)
이전 6화  (다음 차수는 아직 게시되지 않았습니다)
답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다