iCloud 비공개 릴레이를 위해 네트워크 또는 웹 서버 준비하기

iCloud 비공개 릴레이는 iCloud+에서 구독 옵션으로 제공되는 인터넷 개인정보 보호 서비스로, 사용자가 iOS 15, iPadOS 15 및 macOS Monterey 이후 버전에서 비공개로 안전하게 웹에 접속하고 탐색할 수 있도록 지원합니다. 비공개 릴레이를 사용하여 Safari의 사용자 웹 브라우징 데이터, DNS 확인 쿼리, 안전하지 않은 http 앱 트래픽을 보호할 수 있습니다. 비공개 릴레이를 통해 인터넷 연결이 설정되면 사용자의 정확한 위치나 신원을 공개하지 않고 사용자가 위치한 지역에 매핑되는 익명의 IP 주소를 사용합니다. 네트워크 또는 웹사이트에서 비공개 릴레이 사용자에게 탁월한 경험을 제공하는 방법을 알아보세요.

개요

iCloud 비공개 릴레이에는 혁신적인 멀티 홉 아키텍처가 사용됩니다. 사용자의 요청이 서로 다른 기관에서 운영하는 두 개의 개별 인터넷 릴레이를 통해 전송되기 때문에 Apple을 포함하여 어느 누구도 사용자의 탐색 활동에 대한 세부 정보를 보거나 수집할 수 없습니다. 비공개 릴레이에서는 연결된 클라이언트가 iPhone, iPad 또는 Mac인지 검증하므로, Apple 기기와 연결되었음을 확신할 수 있습니다. 비공개 릴레이는 사용자의 원래 IP 주소를 서비스에서 사용되는 IP 주소 범위에서 할당된 IP 주소로 대체합니다. 할당된 릴레이 IP 주소는 동일한 영역에 있는 둘 이상의 비공개 릴레이 사용자 간에 공유될 수 있습니다. 네트워크 및 웹 서버에 제공되는 릴레이 IP 주소에는 기본적으로 클라이언트의 대략적인 위치가 도시 수준으로 정확하게 나타나므로, IP 주소에 기반하여 지역에 따른 제한 사항을 적용할 때 네트워크에서 관련 위치 정보를 수신할 수 있습니다.

비공개 릴레이가 인터넷에서 사용자의 개인정보를 보호하는 방법 알아보기

네트워크 운영자

비공개 릴레이 연결에 최적화하기

iCloud 비공개 릴레이에는 UDP 기반의 새로운 표준 전송 프로토콜인 QUIC가 사용됩니다. 비공개 릴레이에서 QUIC 연결은 포트 443과 TLS 1.3을 사용하여 설정되므로, 네트워크와 서버에서 해당 연결을 처리할 수 있는지 확인하도록 합니다.

네트워크에서 QUIC 연결을 관리하는 방법 알아보기

네트워크 트래픽 감사 지원하기

일부 기업 또는 학교 네트워크의 경우 정책에 따라 모든 네트워크 트래픽을 감사해야 할 수 있으며, 이 경우 네트워크에서 비공개 릴레이의 접근을 차단할 수 있습니다. 이때 사용자는 네트워크를 사용하려면 비공개 릴레이를 비활성화하거나, 원하지 않을 경우 다른 네트워크를 선택해야 한다는 알림 메시지를 받게 됩니다.

사용자에게 알림을 보내는 가장 빠르고 확실한 방법은 네트워크의 DNS 확인자에서 ‘no error no answer’(오류 없음 대답 없음) 응답을 반환하거나 NXDOMAIN 응답을 반환하는 것입니다. 이렇게 하면 비공개 릴레이 트래픽에서 사용하는 아래의 호스트 이름에 대한 DNS 확인을 방지할 수 있습니다. DNS 확인 시간이 초과되거나 비공개 릴레이 서버로 전송된 IP 패킷이 자동 삭제되지 않도록 하세요. 클라이언트 기기에서 지연이 일어날 수 있습니다.

mask.icloud.com
mask-h2.icloud.com

웹 서버

IP 위치 정보 피드에 접근하기

웹 서버를 운영한다면 클라이언트의 지역에 따라 콘텐츠를 현지화하거나 접근을 제한할 수 있습니다. 거주 지역의 IP 데이터베이스 제공업체에 문의하여 피드를 최신 매핑으로 업데이트하세요. 또는 Apple의 최신 IP 주소 세트 및 위치에 직접 접근할 수 있습니다.

비공개 릴레이는 사용자가 위치한 지역을 유지하므로 서버에서 보고 있는 IP 주소에 할당된 지역을 신뢰할 수 있습니다. 기본적으로 클라이언트와 가장 가까운 도시가 연결에 사용되므로, 콘텐츠의 관련성을 유지할 수 있습니다.

IP 위치 정보 피드에 접근하기

비공개 릴레이 연결 신뢰하기

비공개 릴레이를 사용하는 모든 연결에서는 클라이언트가 iPhone, iPad 또는 Mac이고 고객에게 유효한 iCloud+ 구독이 있는지 확인합니다. 비공개 릴레이에서는 일회용 인증 토큰 및 속도 제한과 같은 여러 가지 남용 방지 및 사기 방지 기술을 적용합니다. 이는 유효한 Apple 기기 및 정상 상태의 계정만 비공개 릴레이를 사용할 수 있도록 설계된 것입니다. 또한 릴레이 IP 주소는 사용자가 웹사이트와 상호작용하는 동안 브라우징 세션에서 안정적으로 유지됩니다.

IP 주소에 의존하는 기존의 사기 탐지는 정당한 사용자가 영향을 받지 않도록 조정이 필요할 수도 있습니다. 서버는 위의 비공개 릴레이 IP 주소 목록을 사용하거나 지역 IP 데이터베이스 제공업체의 분류 방식을 확인하여 비공개 릴레이에서 보낸 트래픽을 인식할 수 있습니다. 대부분의 제공업체는 IP 주소의 Organization 필드를 iCloud Private Relay’로 어노테이션하므로 이를 통해 서버에서 인식할 수 있습니다. 기타 관련 필드로는 ‘is_relay’, ‘is_hosting’, ‘privacy_service’, ‘privacy_proxy’ 등이 있습니다. 이러한 필드를 파악하고 서버가 이러한 필드를 고려하도록 로직을 조정하는 것은 비공개 릴레이 사용자를 지원하기 위한 첫 단계입니다. 많은 비공개 릴레이 사용자가 단일 릴레이 IP 주소에 할당될 수 있으므로 이 유형의 트래픽을 더 잘 처리하려면 이러한 주소를 더 큰 이동통신사급 NAT 또는 엔터프라이즈 IP 주소처럼 처리하는 것이 좋습니다.

대개 IP 주소는 시스템에서 서버 내 트래픽 오버로드를 방지하기 위해 사용됩니다. 일반적인 완화 방법에는 CAPTCHA 또는 전체 트래픽 차단이 포함됩니다. iOS 16, iPadOS 16, 또는 macOS Monterey 이후 버전을 실행하는 모든 Apple 기기는 비공개 접근 토큰을 지원합니다. 비공개 접근 토큰은 서버를 보호하는 동시에 정당한 사용자에게는 원활한 경험을 선사하는 대체 방법을 제공합니다. 비공개 접근 토큰은 Privacy Pass 표준을 기반으로 구축되어, 서버가 정당한 기기 및 사용자의 신원 또는 개인정보를 침해하지 않고도 HTTP 요청을 식별할 수 있게 도와줍니다. 이 방법을 사용하면 웹사이트에서 사용자 경험을 향상하고 사용자 개인정보를 보호할 수 있으며, 서버도 안전하게 보호됩니다.

추가 리소스