내가 이해하기로 Cloudflare에서 공격 용량을 빌린다는 표현은 부정확함
그 집단이 Cloudflare 뒤에 사이트를 호스팅한 것은 맞지만, Cloudflare 인프라가 공격에 쓰였다고 주장한 경우는 못 봤음
글 전체가 공격자가 운영하는 안내 사이트를 호스팅하는 것과 공격 자체를 호스팅하는 것을 섞어 말하는 듯함
예전에는 문제 되는 DDoS 운영자가 많지 않았는데, 서로를 DDoS로 오프라인 상태로 만들어버렸기 때문임
웹사이트든 제어 인프라든 전부 공격 대상이었음
DDoS 방어는 Akamai 같은 회사가 제공했고, 가격은 문의해야 했으며, 대기업만 가능하고 익명 가입은 절대 안 됐음
Cloudflare는 DDoS-for-hire 서비스까지 포함해 누구에게나 무료 DDoS 방어를 제공하면서 업계를 바꿨고, 서로를 오프라인으로 몰아내지 못하게 되자 DDoS 산업이 본격적으로 커질 수 있었음
이 특정 사건은 모르지만 HTTP 트래픽 관리를 많이 하다 보니, 최근 로그에서 Cloudflare IP가 탐색이나 성가신 요청으로 더 자주 보임
프록시된 트래픽이라서 그런 것도 아닌 듯하고, 적어도 CF-Connecting-Ip 헤더는 없음
이 공격에 쓰였는지는 모르겠지만, 일부 공격에는 쓰임
다만 Cloudflare는 여전히 거의 모든 다른 인프라 제공자보다 훨씬 덜 성가신 편임
나도 이 부분이 헷갈렸고, 작성자가 다른 요소에서는 꽤 철저하고 정확했던 걸 보면 의도적으로 얼버무린 것처럼 보임
맞음, 이 둘은 매우 다른 일임
논리도 잘 성립하는지 모르겠음
AWS에 호스팅된 명령·제어 서버도 많고 AWS 피해자도 많은데, 그렇다고 AWS가 책임지거나 협박한다고 보긴 어렵고, 답은 대체로 아니라고 봄
누구나 Cloudflare 호스팅 서비스를 쓰면 안 된다고 생각하는 사이트 몇 개쯤은 고를 수 있음
문제는 사람마다 그 목록이 다르다는 것임
Cloudflare는 합법적 명령을 받기 전까지는 무엇이든 호스팅해야 함
어떤 모호한 기준으로 사이트 내용이 “적절한지” 판단하기 시작하면 사람들이 정당하게 크게 화낼 것이 확실함 Cloudflare에서 공격 용량을 빌린다는 주장에는 근거가 있어야 하고, 내가 아는 한 공격자들은 실제 공격에 Cloudflare 인프라를 쓰고 있지 않음
이 글에서의 전반적 분위기와 Google 관련 글에서의 분위기가 너무 달라서 꽤 당황스러움
인터넷의 많은 부분을 중간자 관찰자처럼 가로지르려는 전 세계적 존재에 대해 기본적으로 높은 의심, 거의 경멸에 가까운 태도를 보는 건 고무적임
Cloudflare가 악의적 행위자인지는 확신 못 하지만, 모두가 그런 것처럼 행동해야 한다고 봄
대부분의 회사 약관에는 회사 자체를 손상시키거나 공격하지 말라는 조항이 있음
광고된 서비스가 Cloudflare를 명시적으로 공격한다면, 합리적인 약관이라면 당연히 위반일 것 같음
실제 Cloudflare 약관에도 그렇게 나와 있음 https://www.cloudflare.com/en-ca/website-terms/
“7. PROHIBITED USES”에는 Cloudflare 서버나 API, 연결된 네트워크를 손상·비활성화·과부하·방해·저해할 수 있는 방식으로 웹사이트나 온라인 서비스를 사용할 수 없고, 바이러스·웜·트로이목마 등 파괴적 항목을 전송할 수 없으며, 해킹이나 암호 채굴 등으로 무단 접근을 시도할 수 없다고 되어 있음
또한 Cloudflare는 불법·유해하거나 약관을 위반한다고 단독 재량으로 판단한 콘텐츠를 Distributed Web Gateway에서 차단할 권리를 보유한다고 되어 있고, 여기에는 악성코드 배포, 피싱 조장, 기타 기술적 남용도 포함됨
Cloudflare가 이 일을 어떻게 막을 수 있었는지 모르겠음
공격자의 안내 사이트를 내려도 GitHub Pages나 수많은 무료 정적 사이트 호스팅으로 옮기면 됨
내가 보기엔 Cloudflare가 실제 공격 자체를 가능하게 했다는 증거가 전혀 없음
Cloudflare는 이미 골라서 처리하고 있음
완전히 바깥에 있기로 결정한 게 아님
개입하지 않는다는 주장은 묵시적 승인으로 읽어야 함
충분히 마음에 들지 않는 사용자는 실제로 내보낸다는 걸 알고 있기 때문임
지구상의 대부분 사람은 각자의 목록 중 실제로 Cloudflare를 쓰면 안 되는 사이트의 공통 부분에 쉽게 동의할 수 있을 것임
이런 글들은 Cloudflare가 보안 신고나 법적 명령에 반응하지 않는다는 이상한 믿음을 깔고 있는 듯함
내 경험상 Cloudflare는 업계 전반과 비교해 적절하고 비교적 빠르게 대응함
더 선제적으로 움직이거나 가입 절차에 더 많은 마찰을 넣을 수는 있겠지만, 인터넷 경찰 노릇을 하지 않겠다는 이유는 납득됨
인터넷에 콘텐츠를 호스팅하려고 신용카드, 전화번호, 신분증 사본까지 요구받아야 한다고는 생각하지 않음
인터넷이 오래 작동한 이유는 각 작은 섬의 책임자들이 대체로 다른 섬 전체의 이익에 맞게 행동했기 때문임
그러지 않으면 다른 섬들이 그쪽 연결을 끊었음
법 집행은 최후의 수단이었는데, 법원은 인터넷 속도로 움직이지 않고, 인터넷이 국경을 넘는 성격이라 누구도 위에서 내려오는 정부 규제를 원하지 않았기 때문임
Cloudflare는 벤처 자본을 써서 비싼 것들을 무료로 제공하고 시장 점유율을 샀음
모든 식료품점을 자기 섬으로 옮기게 만들면, 다른 이들이 배척할 걱정 없이 범죄 활동 소굴을 운영할 수 있음
봇넷, 악성코드, 온라인 사기와 싸우는 사람에게 물어보면 됨 Cloudflare 막다른 길에 도달하면 그냥 포기해야 함
감염된 컴퓨터가 7,000대뿐인 사건을 법 집행기관이 맡을 리 없고, Cloudflare도 직접 조사해서 조치하지 않음
인터넷에 콘텐츠를 호스팅하는 데 Cloudflare와 이야기해야 할 필요 자체가 없어야 한다고 봄
나는 실제로 그렇게 하지 않음
Cloudflare와 AWS는 내가 보낸 남용 신고에 침해 URL이나 “특정 리소스”가 없다는 이유로 조사조차 하지 않았음
내부 조사를 시작하거나 남용 고객에게 연락할 수 있을 정도의 증거는 제공했지만, 그렇게 하지 않았음
stresser라면 바깥에서 보이는 건 로그인 패널뿐일 것임
이런 사이트들이 자기들이 뭘 하는지 공개적으로 광고하는 것도 아님
그건 이상한 믿음이 아님
Cloudflare는 스스로를 인프라로 포지셔닝함
즉 자신들이 운반하는 콘텐츠에 책임이 없다고 본다는 뜻임
일반적인 상황에서 인터넷의 나쁜 시스템으로부터 내 시스템을 보호하려면 IP 계층에서 차단할 수 있음
하지만 Cloudflare는 IP 계층에서 좋은 시스템과 나쁜 시스템, 그 사이 모든 것을 프록시함
보통은 범죄 조직이 운영하는 사이트를 IP 수준에서 막거나, 콘텐츠를 호스팅하는 조직의 abuse@에 연락해 차단·신고할 수 있음
Cloudflare는 둘 다 못 하게 만듦
그리고 Cloudflare에 남용 신고를 보내면, 내 연락처 정보를 내가 신고한 당사자에게 그대로 전달하지 않으리라는 보장도 없음
몇 년간 더 책임감 있게 보이도록 입장을 바꿔왔지만 핵심은 그대로임
Cloudflare 뒤에 숨은 시스템에 abuse@ 신고를 보내고 싶어도, 그들이 누구에게 전달하는지 모르는 상태에서 그냥 전달하지 않을 거라고 확신할 수 없음
글이 아주 간결하게 말하듯, Cloudflare는 공격자를 무료로 앞단에서 보호하고 피해자에게는 구제 비용을 청구함
DDoS 방어 서비스는 디지털 보호비 갈취처럼 볼 수 있고, 공격자가 계속 공격하도록 둘 유인이 생김
“위험한 인터넷이니, 무료 계층을 쓰는 공격자들로부터 웹사이트를 보호하려면 우리에게 돈을 내라”는 식임
최소한 적극적 공모나 수익 배분이 없더라도, DDoS 방어 서비스가 어느 편에 서 있는지는 명확하지 않음
그렇다면 해결책은 뭘까?
지적에는 동의하지만, Cloudflare가 DDoS를 발명한 건 아님
Cloudflare가 내일 마법처럼 사라져도 AI 크롤러들은 멈추지 않음
대안은 뭘까? 인터넷을 둘러보려면 정부 발급 신분증을 올려야 하는 세상은 아니겠지?
동네나 나라에서는 공격자로부터 통제권을 세우고 폭력의 통제를 확립할 수 있음
인터넷의 상대적 익명성과 전 세계적 성격을 보존하고 싶다면 그걸 어떻게 할 수 있을까?
사람들이 협동조합을 만들어 방어를 맡을 수도 있겠지만, 전 세계 규모의 주체로 운영하기는 어려움
DDoS 방어는 주로 감당할 수 있을 만큼 과도한 용량을 갖고 필터링하는 방식이라 필요한 투자가 상당히 큼
완전히 동의함
Cloudflare는 거대한 규모로 사기꾼들을 보호하고 아무도 신경 쓰지 않음
내가 Cloudflare에 신고한 가짜 쇼핑몰들, Cloudflare 뒤에 있던 피싱 페이지들은 하나도 내려가지 않았음
단 하나도
사람들을 보호해서 수십억을 버는 회사라면 이런 일을 진지하게 다뤄야 함
법적 절차로 Cloudflare에 조치를 요구하지 않는다면 들을 가능성이 낮음
예를 들어 “20달러 피해를 입었고, 손해배상 청구 대상을 특정하기 위해 Cloudflare에 제공된 고객 결제 정보, 발급 은행과 계좌번호를 구한다”는 식의 소액재판은 꽤 괜찮아 보임
아직 누가 해봤다는 얘기는 못 들었지만, 누군가 한다면 결과를 보고 싶음
항소 장치나 법적 절차 없이 웹사이트를 임의로 검열하는 거대 조직을 더 원하나?
지금 상태가 훨씬 낫다고 봄
Ubuntu가 내려간 건 ubuntu 서버들이 copy.fail을 패치하지 못하게 해서, 그 해킹 그룹이 그 시간 동안 가능한 많은 대상을 악용하려고 했기 때문이라고 늘 생각했음
Ubuntu에서 copy.fail은 modprobe(8) 설정 몇 가지로 완화할 수 있었음 # echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf # rmmod algif_aead
이 기능을 쓰는 프로세스가 있을 수도 있지만(lsof | grep AF_ALG), 내가 이해하기로 널리 쓰이진 않아서 대다수 시스템에서는 비활성화해도 문제가 없을 것임
copy.fail 패치는 최소한의 중단으로 적용할 수 있고, VM은 크기와 무관하게 재부팅에 길어야 30초면 됨
모든 apex 서버는 부하 분산을 유지하도록 고가용성으로 설정되어 있을 테니, 일반 사용자는 copy.fail 패치 때 아무것도 느끼지 못할 것임
우리 사용자들도 패치를 배포할 때 전혀 체감하지 못했음
그건 협박이 아니라 갈취에 가까움
CF는 둘 다 하지 않았음
이런 논리라면 키보드 제조사도 자기 제품으로 작성된 불법 행위에 책임이 있다고 할 수 있음
이건 기기 판매가 아니라 서비스임
범죄 활동을 지원하는 데 쓰이는 조직에 계속 서비스를 제공하는 것은 매우 다르고, 불법 활동을 이유로 고객을 해지하는 건 논란거리도 아님
같은 경우가 아님
UPS 소포에서 폭탄을 받았다고 해서 UPS 잘못은 아님
하지만 누군가 UPS를 이용해 사람들에게 폭탄을 보내고 있다고 알렸는데도 아무 조치도 하지 않고, 심지어 폭탄 발송자를 보호하는 것처럼 보인다면 어느 정도는 책임이 생기지 않나?
잘못된 비유임
이 시나리오에서 “키보드 제조사”는 Cloudflare가 장비를 사는 라우터 제조사에 가깝지 Cloudflare가 아님
이 비유에서 Cloudflare는 온갖 더러운 것과 정상 해설을 함께 싣는 신문 집계자에 더 가까움
보통 상황이라면 더러운 신문은 안 읽고, 읽고 싶은 사람은 스스로 결정하게 둘 수 있음
하지만 Cloudflare 상황에서는 주요 정상 신문들이 모두 Cloudflare를 통해 콘텐츠를 발행하기로 했고, 문제 되는 게 함께 발행되면 원 발행자에게 따지는 대신 Cloudflare에 따져야 함
그런데 Cloudflare는 사전에 알 수 없게 내 정보를 매우 불쾌한 사람들에게 전달할 수도 있음
Hacker News 의견들
내가 이해하기로 Cloudflare에서 공격 용량을 빌린다는 표현은 부정확함
그 집단이 Cloudflare 뒤에 사이트를 호스팅한 것은 맞지만, Cloudflare 인프라가 공격에 쓰였다고 주장한 경우는 못 봤음
글 전체가 공격자가 운영하는 안내 사이트를 호스팅하는 것과 공격 자체를 호스팅하는 것을 섞어 말하는 듯함
웹사이트든 제어 인프라든 전부 공격 대상이었음
DDoS 방어는 Akamai 같은 회사가 제공했고, 가격은 문의해야 했으며, 대기업만 가능하고 익명 가입은 절대 안 됐음
Cloudflare는 DDoS-for-hire 서비스까지 포함해 누구에게나 무료 DDoS 방어를 제공하면서 업계를 바꿨고, 서로를 오프라인으로 몰아내지 못하게 되자 DDoS 산업이 본격적으로 커질 수 있었음
프록시된 트래픽이라서 그런 것도 아닌 듯하고, 적어도
CF-Connecting-Ip헤더는 없음이 공격에 쓰였는지는 모르겠지만, 일부 공격에는 쓰임
다만 Cloudflare는 여전히 거의 모든 다른 인프라 제공자보다 훨씬 덜 성가신 편임
논리도 잘 성립하는지 모르겠음
AWS에 호스팅된 명령·제어 서버도 많고 AWS 피해자도 많은데, 그렇다고 AWS가 책임지거나 협박한다고 보긴 어렵고, 답은 대체로 아니라고 봄
누구나 Cloudflare 호스팅 서비스를 쓰면 안 된다고 생각하는 사이트 몇 개쯤은 고를 수 있음
문제는 사람마다 그 목록이 다르다는 것임
Cloudflare는 합법적 명령을 받기 전까지는 무엇이든 호스팅해야 함
어떤 모호한 기준으로 사이트 내용이 “적절한지” 판단하기 시작하면 사람들이 정당하게 크게 화낼 것이 확실함
Cloudflare에서 공격 용량을 빌린다는 주장에는 근거가 있어야 하고, 내가 아는 한 공격자들은 실제 공격에 Cloudflare 인프라를 쓰고 있지 않음
이 글에서의 전반적 분위기와 Google 관련 글에서의 분위기가 너무 달라서 꽤 당황스러움
Cloudflare가 악의적 행위자인지는 확신 못 하지만, 모두가 그런 것처럼 행동해야 한다고 봄
광고된 서비스가 Cloudflare를 명시적으로 공격한다면, 합리적인 약관이라면 당연히 위반일 것 같음
실제 Cloudflare 약관에도 그렇게 나와 있음
https://www.cloudflare.com/en-ca/website-terms/
“7. PROHIBITED USES”에는 Cloudflare 서버나 API, 연결된 네트워크를 손상·비활성화·과부하·방해·저해할 수 있는 방식으로 웹사이트나 온라인 서비스를 사용할 수 없고, 바이러스·웜·트로이목마 등 파괴적 항목을 전송할 수 없으며, 해킹이나 암호 채굴 등으로 무단 접근을 시도할 수 없다고 되어 있음
또한 Cloudflare는 불법·유해하거나 약관을 위반한다고 단독 재량으로 판단한 콘텐츠를 Distributed Web Gateway에서 차단할 권리를 보유한다고 되어 있고, 여기에는 악성코드 배포, 피싱 조장, 기타 기술적 남용도 포함됨
공격자의 안내 사이트를 내려도 GitHub Pages나 수많은 무료 정적 사이트 호스팅으로 옮기면 됨
내가 보기엔 Cloudflare가 실제 공격 자체를 가능하게 했다는 증거가 전혀 없음
완전히 바깥에 있기로 결정한 게 아님
개입하지 않는다는 주장은 묵시적 승인으로 읽어야 함
충분히 마음에 들지 않는 사용자는 실제로 내보낸다는 걸 알고 있기 때문임
이런 글들은 Cloudflare가 보안 신고나 법적 명령에 반응하지 않는다는 이상한 믿음을 깔고 있는 듯함
내 경험상 Cloudflare는 업계 전반과 비교해 적절하고 비교적 빠르게 대응함
더 선제적으로 움직이거나 가입 절차에 더 많은 마찰을 넣을 수는 있겠지만, 인터넷 경찰 노릇을 하지 않겠다는 이유는 납득됨
인터넷에 콘텐츠를 호스팅하려고 신용카드, 전화번호, 신분증 사본까지 요구받아야 한다고는 생각하지 않음
그러지 않으면 다른 섬들이 그쪽 연결을 끊었음
법 집행은 최후의 수단이었는데, 법원은 인터넷 속도로 움직이지 않고, 인터넷이 국경을 넘는 성격이라 누구도 위에서 내려오는 정부 규제를 원하지 않았기 때문임
Cloudflare는 벤처 자본을 써서 비싼 것들을 무료로 제공하고 시장 점유율을 샀음
모든 식료품점을 자기 섬으로 옮기게 만들면, 다른 이들이 배척할 걱정 없이 범죄 활동 소굴을 운영할 수 있음
봇넷, 악성코드, 온라인 사기와 싸우는 사람에게 물어보면 됨
Cloudflare 막다른 길에 도달하면 그냥 포기해야 함
감염된 컴퓨터가 7,000대뿐인 사건을 법 집행기관이 맡을 리 없고, Cloudflare도 직접 조사해서 조치하지 않음
나는 실제로 그렇게 하지 않음
내부 조사를 시작하거나 남용 고객에게 연락할 수 있을 정도의 증거는 제공했지만, 그렇게 하지 않았음
stresser라면 바깥에서 보이는 건 로그인 패널뿐일 것임
이런 사이트들이 자기들이 뭘 하는지 공개적으로 광고하는 것도 아님
Cloudflare는 스스로를 인프라로 포지셔닝함
즉 자신들이 운반하는 콘텐츠에 책임이 없다고 본다는 뜻임
일반적인 상황에서 인터넷의 나쁜 시스템으로부터 내 시스템을 보호하려면 IP 계층에서 차단할 수 있음
하지만 Cloudflare는 IP 계층에서 좋은 시스템과 나쁜 시스템, 그 사이 모든 것을 프록시함
보통은 범죄 조직이 운영하는 사이트를 IP 수준에서 막거나, 콘텐츠를 호스팅하는 조직의
abuse@에 연락해 차단·신고할 수 있음Cloudflare는 둘 다 못 하게 만듦
그리고 Cloudflare에 남용 신고를 보내면, 내 연락처 정보를 내가 신고한 당사자에게 그대로 전달하지 않으리라는 보장도 없음
몇 년간 더 책임감 있게 보이도록 입장을 바꿔왔지만 핵심은 그대로임
Cloudflare 뒤에 숨은 시스템에
abuse@신고를 보내고 싶어도, 그들이 누구에게 전달하는지 모르는 상태에서 그냥 전달하지 않을 거라고 확신할 수 없음지난주 관련 글:
“Why is Cloudflare protecting the DDoS'er (beamed.st) attacking Ubuntu servers?”
https://news.ycombinator.com/item?id=48025001
현대 인터넷에서 CF의 역할을 싫어하긴 하지만, 이 글은 Canonical 인증서 갱신과 회사 이전이 같은 날 있었다는 것 말고는 근거 없이 점을 연결하려는 추측 묶음처럼 보임
다만 곁가지로 볼 만한 이야기는 있음
Njalla가 최근 조용히 조직 개편이나 소유권 변경을 한 듯하고[1], Njalla와 immateriali.sm이 관련된 법인처럼 보임[2]
https://xn--gckvb8fzb.com/njalla-has-silently-changed-a-word...
https://www.wipo.int/amc/en/domains/decisions/pdf/2026/dio20...
글이 아주 간결하게 말하듯, Cloudflare는 공격자를 무료로 앞단에서 보호하고 피해자에게는 구제 비용을 청구함
DDoS 방어 서비스는 디지털 보호비 갈취처럼 볼 수 있고, 공격자가 계속 공격하도록 둘 유인이 생김
“위험한 인터넷이니, 무료 계층을 쓰는 공격자들로부터 웹사이트를 보호하려면 우리에게 돈을 내라”는 식임
최소한 적극적 공모나 수익 배분이 없더라도, DDoS 방어 서비스가 어느 편에 서 있는지는 명확하지 않음
지적에는 동의하지만, Cloudflare가 DDoS를 발명한 건 아님
Cloudflare가 내일 마법처럼 사라져도 AI 크롤러들은 멈추지 않음
대안은 뭘까? 인터넷을 둘러보려면 정부 발급 신분증을 올려야 하는 세상은 아니겠지?
인터넷의 상대적 익명성과 전 세계적 성격을 보존하고 싶다면 그걸 어떻게 할 수 있을까?
사람들이 협동조합을 만들어 방어를 맡을 수도 있겠지만, 전 세계 규모의 주체로 운영하기는 어려움
DDoS 방어는 주로 감당할 수 있을 만큼 과도한 용량을 갖고 필터링하는 방식이라 필요한 투자가 상당히 큼
Cloudflare는 The Daily Stormer 사례[1]처럼 100%는 아니지만, 대체로 자기 시스템을 지나는 추정상 합법 콘텐츠를 검열하지 않고, 합법성의 판정자가 되기를 스스로 선택하지 않음
[1]: https://blog.cloudflare.com/why-we-terminated-daily-stormer/
완전히 동의함
Cloudflare는 거대한 규모로 사기꾼들을 보호하고 아무도 신경 쓰지 않음
내가 Cloudflare에 신고한 가짜 쇼핑몰들, Cloudflare 뒤에 있던 피싱 페이지들은 하나도 내려가지 않았음
단 하나도
사람들을 보호해서 수십억을 버는 회사라면 이런 일을 진지하게 다뤄야 함
예를 들어 “20달러 피해를 입었고, 손해배상 청구 대상을 특정하기 위해 Cloudflare에 제공된 고객 결제 정보, 발급 은행과 계좌번호를 구한다”는 식의 소액재판은 꽤 괜찮아 보임
아직 누가 해봤다는 얘기는 못 들었지만, 누군가 한다면 결과를 보고 싶음
지금 상태가 훨씬 낫다고 봄
Ubuntu가 내려간 건 ubuntu 서버들이 copy.fail을 패치하지 못하게 해서, 그 해킹 그룹이 그 시간 동안 가능한 많은 대상을 악용하려고 했기 때문이라고 늘 생각했음
modprobe(8)설정 몇 가지로 완화할 수 있었음# echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf# rmmod algif_aead이 기능을 쓰는 프로세스가 있을 수도 있지만(
lsof | grep AF_ALG), 내가 이해하기로 널리 쓰이진 않아서 대다수 시스템에서는 비활성화해도 문제가 없을 것임모든 apex 서버는 부하 분산을 유지하도록 고가용성으로 설정되어 있을 테니, 일반 사용자는 copy.fail 패치 때 아무것도 느끼지 못할 것임
우리 사용자들도 패치를 배포할 때 전혀 체감하지 못했음
그건 협박이 아니라 갈취에 가까움
CF는 둘 다 하지 않았음
이런 논리라면 키보드 제조사도 자기 제품으로 작성된 불법 행위에 책임이 있다고 할 수 있음
범죄 활동을 지원하는 데 쓰이는 조직에 계속 서비스를 제공하는 것은 매우 다르고, 불법 활동을 이유로 고객을 해지하는 건 논란거리도 아님
UPS 소포에서 폭탄을 받았다고 해서 UPS 잘못은 아님
하지만 누군가 UPS를 이용해 사람들에게 폭탄을 보내고 있다고 알렸는데도 아무 조치도 하지 않고, 심지어 폭탄 발송자를 보호하는 것처럼 보인다면 어느 정도는 책임이 생기지 않나?
이 시나리오에서 “키보드 제조사”는 Cloudflare가 장비를 사는 라우터 제조사에 가깝지 Cloudflare가 아님
이 비유에서 Cloudflare는 온갖 더러운 것과 정상 해설을 함께 싣는 신문 집계자에 더 가까움
보통 상황이라면 더러운 신문은 안 읽고, 읽고 싶은 사람은 스스로 결정하게 둘 수 있음
하지만 Cloudflare 상황에서는 주요 정상 신문들이 모두 Cloudflare를 통해 콘텐츠를 발행하기로 했고, 문제 되는 게 함께 발행되면 원 발행자에게 따지는 대신 Cloudflare에 따져야 함
그런데 Cloudflare는 사전에 알 수 없게 내 정보를 매우 불쾌한 사람들에게 전달할 수도 있음
선은 어디에 그어야 할까?