Cloudflare 네트워크 해자: 통행료는 얼마나 단단한가

인터넷의 20%가 지나가는 길목

"Cloudflare의 해자(moat)는 무엇인가?" 이 질문에 가장 흔하게 돌아오는 답은 틀립니다. 진짜 해자는 빠른 제품 기술도, 네트워크의 절대 규모도 아닙니다. AWS와 Google은 Cloudflare보다 더 큰 글로벌 망을 가졌습니다. 진짜 해자는 모든 서버가 모든 서비스를 단일 코드베이스로 실행하는 설계 결정입니다. 전 세계 웹 트래픽의 약 20%가 지나는 337개 도시 위에서, 새 제품을 거의 0원에 동시 배포합니다. 더 큰 도로를 가진 하이퍼스케일러도 같은 도로로 모든 서비스를 이만큼 싸게 동시에 돌리려면 자기 기존 구조를 깨야 해서 비쌉니다. 개별 제품의 기능은 베낄 수 있어도, 이 통합 배포 구조와 전송료 인센티브 비대칭은 모방 비용이 막대합니다.

먼저 길목의 크기부터 보겠습니다. 전 세계 웹사이트 트래픽의 약 20%가 Cloudflare 네트워크를 거칩니다. 337개 도시, 100개+ 국가, 외부 용량 500 Tbps, 13,000개+ 네트워크 피어. 인터넷에 연결된 인구의 95%가 Cloudflare 거점까지 50ms 이내에 닿습니다. 이 정도면 "전 세계에 깔린 유료 고속도로망"이라는 비유가 과장이 아닙니다.

출처: cloudflare.com/network, Cloudflare 블로그 500 Tbps (2026-04). DNS 쿼리는 SQ Magazine(업계 집계).

그런데 "Cloudflare의 해자가 무엇이냐"는 질문에 대부분 엉뚱한 답을 합니다. 두 가지 흔한 오해부터 깨야 합니다.

여기에 정통 해자 이론도 빗나갑니다. 교과서적 해자는 보통 "양면 네트워크 효과"(사용자가 늘수록 다른 사용자에게 가치가 커지는 구조)를 말합니다. Cloudflare의 해자는 그 종류가 아닙니다. "망이 제일 크니까 해자"라는 규모 논리도 아닙니다. 규모만 따지면 AWS·Google이 더 큰 망을 가졌고, 그 논리대로면 그들이 이겨야 합니다. 그렇다면 진짜 해자는 어디에 있을까요. 그 정체, 즉 망 위에 얹힌 배포 구조와 전송료 인센티브 비대칭은 4장에서 정면으로 해부합니다. 여기서는 "이름이 같다고 메커니즘까지 같다고 가정하면 안 된다"는 것만 짚어 둡니다.

이 글은 다섯 개의 질문에 순서대로 답합니다.

1. 도로를 까는 비용: 네트워크 규모라는 물리 자산

네트워크 규모는 강력한 자산입니다. 하지만 그 자체로 해자는 아닙니다. 하이퍼스케일러(AWS·Google)는 Cloudflare보다 더 큰 망을 가졌기 때문입니다. 이 장에서는 도로망의 크기와 그 크기가 보안에서 왜 무기가 되는지를 먼저 보고, 그것이 "해자의 필요 조건일 뿐 정체는 아니다"라는 점까지 도착합니다.

1.1 숫자로 보는 도로망

도로망의 규모를 체감되는 숫자로 정리하면 이렇습니다. 차트보다는 "큰 숫자" 그 자체가 더 설득력 있습니다.

출처: cloudflare.com/network (도시·국가·도달 인구), Cloudflare 블로그(2026-04) (용량·피어·웹 20%), SQ Magazine (DNS 쿼리).

1.2 왜 규모 자체가 무기인가: anycast 인라인 방어

규모가 단순히 "크다"가 아니라 "무기"가 되는 이유는 라우팅 방식에 있습니다. Cloudflare는 anycast 방식을 씁니다. 전 세계 모든 거점이 동일한 IP 주소를 공고하고, 사용자 요청은 항상 가장 가까운 거점으로 자동 연결됩니다. 특정 지역에 트래픽이 몰리면 인접 거점들로 자동 분산됩니다.

이 구조의 결과는 결정적입니다. 모든 트래픽이 엣지(사용자와 가까운 거점)에서 곧바로 검사·필터링됩니다. 중앙 데이터센터로 왕복하지 않습니다. 보안에서 이 차이가 승부를 가릅니다. 분산서비스거부(DDoS) 공격이 들어오면, 넓게 퍼진 거점들이 공격 트래픽을 들어오는 길목에서 흡수합니다. 2025년에는 31.4 Tbps 규모의 사상 최대 공격(직전 기록 29.7 Tbps를 경신)을 사람 개입 없이 자동 방어했습니다.

개념적 시각화. 공격 자동 방어 규모 출처: Cloudflare Radar 2025.

핵심은 이렇습니다. 공격을 흡수하려면 흡수할 표면적이 있어야 합니다. 거점이 적은 네트워크는 같은 공격에 용량이 먼저 포화됩니다. 다만 한 걸음 더 들어가면, 표면적(용량)은 자본을 들이면 살 수 있습니다. 보안 우위의 더 깊은 뿌리는 용량이 아니라 데이터입니다. 전 세계 웹의 약 20%를 본다는 것은 그만큼의 공격·봇·악성 트래픽 패턴을 매일 학습한다는 뜻이고, 위협 탐지 ML 모델은 본 트래픽의 양과 다양성에 비례해 정교해집니다. 이 학습 데이터는 자본으로 단번에 살 수 없습니다. 이 점은 5장에서 다시 정리합니다.

1.3 경쟁사 대비: 거점 숫자보다 "균질성"이 다르다

거점 수만 보면 Akamai가 더 많습니다. 다만 CDN(콘텐츠 전송) 시장의 거점·점유는 단일 공식 집계가 없어 업계 추정치로만 가늠됩니다. 아래 수치는 방향성 참고용입니다.

그런데 거점 수가 곧 해자는 아닙니다(그 이유는 2장에서 봅니다). Akamai의 거점은 레거시 CDN과 기능별 특화 노드가 섞인 구조이고, 보안·컴퓨트는 인수·증축으로 붙여온 것입니다. 같은 1,500거점이라도 "모든 거점이 모든 서비스를 동일하게 돌리는" 균질 구조가 아닙니다. 거점이 많다는 것과 그 거점들이 똑같이 일한다는 것은 다른 문제입니다.

2. 단 하나의 설계 결정: 모든 서버가 모든 서비스를 돌린다

Cloudflare의 거의 모든 차별점은 단 하나의 결정에서 파생됩니다. "모든 도시의 모든 서버가 모든 서비스를 단일 코드베이스로 실행한다." 이 결정이 신제품의 한계 인프라 비용을 0에 가깝게 만듭니다. 그리고 경쟁사는 이 결정을 하지 않았습니다. 더 정확히 말하면, 이제 와서 하려면 자기 기존 구조를 깨야 해서 비쌉니다.

2.1 "every server runs every service"란 무엇인가

Cloudflare의 모든 거점, 모든 서버는 모든 서비스를 동시에 실행합니다. DNS, HTTPS 종료, 캐싱, DDoS 방어, WAF(웹 방화벽), 서버리스 컴퓨트가 한 서버 위에서 같이 돕니다. 특정 기능만 도는 전용 허브나 지역 허브가 없습니다.

세 가지가 이 구조를 떠받칩니다. 첫째, 하드웨어는 특정 벤더에 묶이지 않은 범용(commodity) 서버입니다. 용량을 늘리려면 기존 데이터센터에 서버를 더 꽂으면 되고, 그 즉시 모든 서비스의 처리 용량이 함께 늘어납니다. 둘째, 어떤 거점에 트래픽이 몰려도 그 거점이 모든 서비스를 처리할 수 있어 분산이 자유롭습니다. 셋째, 무엇보다 단일 코드베이스가 전 거점에 동시 배포됩니다. 한 곳에 맞춘 코드를 따로 만들지 않습니다.

2.2 결과: 신제품의 한계 인프라 비용 ≈ 0

비유로 돌아가 보겠습니다. 도로(네트워크)를 이미 전 세계에 깔아두었기 때문에, 새 휴게소(신제품)를 여는 데 드는 추가 비용이 거의 없습니다. 코드만 올리면 그 제품이 337개 도시 풋프린트를 즉시 상속합니다. 인프라를 새로 짓지 않습니다.

개념적 시각화. 단일 코드베이스·균질 서버 구조는 Cloudflare 공식 네트워크 아키텍처 설명 기반.

이 한 장의 그림이 두 가지를 동시에 설명합니다. 첫째, 신시장 진입 속도입니다. 새 제품을 만들면 그날 전 세계에 배포됩니다. 그래서 Cloudflare는 짧은 기간에 제품 수를 빠르게 늘릴 수 있었습니다. 둘째, 규모의 경제(이익 레버리지)입니다. 제품을 더 얹어도 네트워크라는 고정 자산은 그대로 씁니다. 매출이 커질수록 깔아둔 도로의 비용이 희석됩니다. 해자와 마진 레버리지가 같은 기술 뿌리(every server·single codebase)에서 나옵니다. 이 둘은 별개 현상이 아닙니다.

여기서 한 걸음 더 들어가야 명제가 정확해집니다. "경쟁사는 이 결정을 안 했다"가 아니라 "이제 와서 하려면 자기 기존 구조를 깨야 해서 비싸다"가 정확합니다. 이것이 경로의존(path dependency)입니다. 한 번 자리잡은 길은 조직·도구·배포 관행이 거기에 맞춰 굳어져, 뒤늦게 흉내 내려는 쪽은 같은 효율에 도달하는 데 시간과 비용이 비대칭적으로 더 듭니다. 처음부터 그렇게 지은 회사와, 다 지어놓고 헐어서 다시 짓는 회사의 차이입니다.

하이퍼스케일러가 통합 엣지로 갈아엎기 어려운 이유는 구체적입니다.

즉 능력의 문제가 아니라 자기 기존 구조를 깨는 비용의 문제입니다.

💡 범위 선언: 이 0원 배포 구조가 장기 영업이익률에 어떤 숫자로 귀결되는지, 즉 마진 추정·목표치 계산은 밸류에이션 딥다이브에서 다룹니다. 이 글은 "구조가 마진 레버리지를 만든다"는 정성 인과까지만 서술합니다.

2.3 경쟁사는 제품마다 인프라를 따로 짓는다

같은 구조적 차이를 사업자별로 펼치면 이렇습니다.

즉 거점 숫자(1장)가 아니라 "한 번 깐 도로 위에 제품을 0원에 얹는 구조"가 진짜 차이입니다. 경쟁사는 휴게소(제품)마다 도로를 새로 깝니다.

2.4 단일 코드베이스의 양날

실전 운영자라면 즉시 반박할 것입니다. "모든 서버가 같은 코드를 돌린다면, 그 코드 하나가 잘못되는 순간 전 세계가 동시에 멈추는 것 아닌가?"

맞습니다. 그리고 실제로 일어났습니다. 2025년 11월 18일, 봇 관리(Bot Management) 구성 파일이 비정상적으로 커지면서 약 6시간 동안 전역 장애가 발생했습니다. 평상시 Cloudflare 네트워크를 경유하는 웹이 약 20%에 달하는 만큼, 이 한 번의 장애로 X·ChatGPT·Spotify 등 다수 주요 서비스가 동시에 중단됐습니다.

출처: Cloudflare 장애 보고(2025-11-18), ThousandEyes 장애 분석.

3. 한 번 들어오면 나가기 어렵다: 전환비용은 어디에 진짜 있나

전환비용은 멀티프로덕트 채택에서 나옵니다. 한 고객이 보안·CDN·서버리스를 한 플랫폼에 쌓을수록 떼어내기 어려워집니다. 다만 진짜 끈끈함은 대형 고객에 편중되고, 무료·단일 제품 고객의 전환은 쉽습니다. 이 비대칭을 정직하게 봐야 유지력을 과대평가하지 않습니다.

3.1 멀티프로덕트 락인: 한 플랫폼에 제품을 쌓는다

전환비용이 실제로 작동하는지는 순매출유지율(NRR)이 말해줍니다. NRR은 기존 고객이 1년 뒤 얼마나 더(또는 덜) 쓰는지를 보여주는 지표입니다. Cloudflare의 NRR은 저점을 찍고 회복 추세입니다.

NRR 118%는 기존 고객이 매년 평균 18%씩 더 쓴다는 뜻입니다. 떠나기는커녕 지갑을 더 엽니다. 그 동력은 대형 고객의 빠른 증가입니다.

연 10만 달러+ 매출 고객이 4,416개(+25% YoY), 연 100만 달러+ 고객이 269개(+55% YoY)입니다. 이들이 매출의 약 72%를 만듭니다(2025년 69%에서 2026년 1분기 72%로 상승). 먼저 들어가서 제품을 늘려가는(land-and-expand) 모델이 작동하고 있다는 신호입니다.

3.2 통합 스택의 데이터·코드 중력

락인이 어디서 생기는지 메커니즘을 보겠습니다. 한 고객이 서버리스(Workers) + 데이터베이스(D1) + 스토리지(R2)를 Cloudflare 안에서 묶으면, 그 안에서의 데이터 이동 비용(egress)이 0이고 지연도 낮습니다. 반대로 이 스택을 외부 클라우드로 옮기면, 다른 벤더의 데이터 전송료와 지연이 새로 발생합니다. 통합돼 있을수록 떼어내는 마찰이 커집니다. 이것이 데이터 중력입니다. 데이터가 한곳에 모일수록 그 주변으로 더 많은 작업이 끌려옵니다.

특히 보안(DDoS·WAF)은 anycast 경로 자체에 인라인으로 박혀 있어, 트래픽 경로에서 분리·교체하기가 유독 어렵습니다. 다른 제품은 "옮기면 비싸다" 수준이지만, 보안은 "경로를 바꿔야 한다" 수준의 마찰입니다.

3.3 락인의 정직한 한계

그러나 "고객이 못 나간다"는 주장은 과장입니다. 락인은 균일하지 않습니다.

결론은 이렇습니다. 진짜 전환비용은 통합 스택을 깊게 쓰는 대형 고객에 집중됩니다. 해자의 "유지" 엔진은 강하기보다 중상(中上) 수준으로 보는 것이 정직합니다.

4. 그런데 왜 개별 제품 기술은 자꾸 따라잡히나: 범용화 압력

여기까지 보면 "그럼 Cloudflare의 빠른 제품들이 다 해자 아닌가?"라고 묻고 싶어집니다. 아닙니다. 개별 제품의 기술 우위는 빠르게 평준화됩니다. Workers의 빠른 시작은 이미 업계 표준으로 수렴 중이고, R2의 전송료 무료는 기술 비밀이 아니라 "AWS가 전송료를 포기할 수 없는 인센티브 구조"의 거울일 뿐입니다. 그래서 해자는 제품이 아니라 구조(네트워크 규모 + 0원 배포)에 있습니다.

4.1 Workers의 빠른 시작은 이제 표준이 되어간다

Workers는 컨테이너나 풀 가상머신 없이 V8 isolate(브라우저 자바스크립트 엔진을 떼어내 만든 초경량 실행 단위)를 직접 실행합니다. Cloudflare 공식 문서에 따르면 isolate는 컨테이너·가상머신 위의 Node 프로세스보다 약 100배 빠르게 시작하므로, AWS Lambda 같은 컨테이너 기반 서버리스에서 나타나는 수백 밀리초의 시작 지연(cold start)이 사실상 사라집니다. 과금도 Workers는 실제 CPU 실행 시간 기준이라 대기 시간에는 돈을 받지 않습니다.

이건 진짜 기술 우위입니다. 그러나 이미 엣지 컴퓨트의 사실상 표준으로 수렴 중입니다. Vercel의 엣지 함수가 같은 V8 기반이고, Deno Deploy도 유사합니다. cold start 우위는 절대적 비밀이 아니라 "먼저, 가장 넓게 깐 자"의 우위로 좁혀지고 있습니다. 게다가 isolate 모델은 제약도 동반합니다. 임의 바이너리·대용량 메모리·풀 운영체제를 못 씁니다. 무거운 워크로드는 여전히 하이퍼스케일러의 리전 컴퓨트 영역입니다.

출처: Cloudflare Workers 작동 원리 (V8 isolate·cold start, 공식 문서).

4.2 전송료 무료는 "기술"이 아니라 "AWS의 인센티브 구조"다

엣지·서버리스를 신봉하는 사람이라면 "R2의 전송료 무료야말로 게임체인저"라고 말할 것입니다. 방향은 맞지만, 그것을 "기술 해자"로 부르면 오해입니다. 전송료 무료는 기술 비밀이 아닙니다.

그러나 기술이 아니라는 것이 곧 "해자가 아니다"는 뜻은 아닙니다. 지배 사업자가 따라 하면 자기 기존 수익을 스스로 깎아야 해서 따라올 수 없는 구조적 우위, 이른바 카운터 포지셔닝(Counter-Positioning)입니다. 메커니즘은 인센티브 비대칭입니다.

핵심은 이렇습니다. 매칭할 능력은 AWS에도 있습니다. 하지만 매칭하는 순간 자기 이익원을 허무는 자기잠식이라 할 이유가 없습니다. 즉 이 우위의 실체는 "Cloudflare의 기술"이 아니라 "AWS가 전송료를 못 버리는 구조"이며, 이는 기술처럼 단기에 평준화되지 않습니다.

군소 사업자(Backblaze B2, Wasabi)도 무료·저가 전송을 합니다. 그러나 이들은 통합 스택도 337도시 근접성도 없는 군소 대안이라 경쟁 위협이 아닙니다. 정리하면 "베낄 수 있는 곳(군소)은 위협이 아니고, 위협이 되는 곳(AWS)은 베낄 수 없다"는 구도입니다. 그래서 전송료 무료는 대AWS 한정으로는 내구적 해자입니다. 차별의 완성은 전송료 단독이 아니라 통합 스택(서버리스+DB+스토리지) + 337도시 근접성 + 인센티브 비대칭의 묶음에 있습니다.

R2 전송료 $0/GB vs S3 전송료 $0.09/GB. 출처: Cloudflare R2 공식.

4.3 CDN은 이미 상품화가 진행 중이다

가장 오래된 제품군인 CDN(콘텐츠 전송)은 가격 경쟁과 하이퍼스케일러 번들로 이미 상품화가 진행됐습니다. Akamai의 CDN 전송 매출이 한 해 약 -15%로 줄어든 것이 시장 디플레이션의 증거입니다. 개발자용 제품(서버리스·스토리지)은 개발자를 확보하기 위해 의도적으로 낮은 마진으로 가격을 매깁니다. 이 믹스가 커질수록 전체 마진에 하방 압력이 생깁니다. 구체적 마진 수치·추세는 밸류에이션 딥다이브에서 다룹니다.

출처: Akamai FY2024 IR.

4.4 레이어별 범용화 압력: 해자는 제품이 아니라 구조에 있다

레이어마다 범용화 압력이 다릅니다. 어디가 견고하고 어디가 닳고 있는지를 한 표로 보겠습니다.

핵심 결론은 이렇습니다. 해자의 소재지는 "네트워크의 절대 규모"가 아닙니다(하이퍼스케일러가 더 큰 망을 가졌습니다). 해자는 두 곳입니다. 첫째, 그 망 위에서 모든 서비스를 단일 코드베이스로 0원에 얹는 배포 구조(경로의존)입니다. 둘째, AWS가 자기 이익원이라 따라 내리지 못하는 전송료 인센티브 비대칭(카운터 포지셔닝)입니다. 반면 순수 기술 레이어(엣지 컴퓨트의 cold start)는 빠르게 평준화됩니다. 해자를 개별 제품이나 raw 규모로 정의하면 빗나가고, 배포 구조와 인센티브 비대칭으로 정의하면 정확해집니다.

5. 무엇이 이 해자를 깨뜨리나: 투자자가 봐야 할 것

해자 강도는 종합적으로 중상(中上)입니다. 획득은 강, 유지는 중상, 범용화 압력은 중간이되 상승 위험입니다. 이 해자를 무너뜨릴 1순위 조건은 하이퍼스케일러가 글로벌 anycast급 엣지와 전송료 무료를 공격적 번들 가격으로 매칭하는 것입니다.

5.1 해자 강도 종합 (3엔진)

해자를 세 개의 엔진으로 나눠 강도를 매기면 이렇습니다.

획득(신시장·경쟁자 탈취) = 강. 뿌리는 "기술을 새로 만들지 않고도 되는 0원 배포 구조"입니다. 신제품이 코드 배포만으로 337도시에 출시됩니다. 이 구조는 경로의존이라, 경쟁사가 같은 효율에 도달하려면 자기 기존 아키텍처를 깨야 합니다(2장).

유지(전환비용·락인) = 중상. 멀티프로덕트 락인은 강하지만 대형 고객에 편중되고 롱테일은 약합니다(3장).

범용화 압력 = 중간, 상승 위험. 네트워크 규모는 견고하나 개별 제품 레이어가 평준화됩니다(4장).

5.2 반증조건: 이 해자 서사가 틀렸음을 입증할 관측 가능한 조건

해자 서사는 검증 가능해야 합니다. 아래 조건들이 관측되면 이 글의 결론을 수정해야 합니다. 그중 1순위는 압도적으로 하이퍼스케일러의 번들입니다.

나머지 반증조건은 아래와 같습니다.

5.3 가장 견고한 곳과 가장 약한 곳

가장 견고한 곳은 보안 레이어입니다. 단, 그 견고함의 뿌리는 용량이 아니라 데이터입니다. anycast 인라인 방어의 흡수 표면적(용량)은 자본을 들이면 살 수 있습니다. 그러나 전 세계 웹의 약 20%를 본다는 데서 나오는 위협 학습 데이터는 살 수 없습니다. 이 트래픽 가시성이 위협 탐지 ML 모델을 매일 더 정교하게 만들고, 이 학습 데이터의 양과 다양성은 자본·규모 우위로도 단번에 복제되지 않습니다. 하이퍼스케일러의 자본으로도 못 사는 거의 유일한 칸이 여기입니다.

가장 주시할 곳은 R1, 하이퍼스케일러 번들입니다. 이것은 "기술"의 문제가 아니라 "규모를 가진 상대가 전송료를 포기할 의향이 있는가"의 문제입니다. 현재는 AWS가 전송료를 이익원으로 지키기 때문에 발생하지 않았지만, 인센티브가 바뀌면 점유와 마진이 동시에 압박받습니다.

5.4 이 해자가 투자에 의미하는 것

투자 관점의 핵심은 단순합니다. 이 해자를 무너뜨릴 1순위 위협은 빠른 제품 추격이 아니라 하이퍼스케일러가 전송료를 포기할 인센티브 변화(5.2의 R1)입니다. 따라서 개별 제품 뉴스를 좇기보다 그 한 곳을 집중 감시하는 것이 옳습니다. 📈NETCloudflare 메인 분석에서 이 구조가 재무·문화·밸류에이션과 어떻게 연결되는지 이어서 볼 수 있습니다.

다만 그 구조의 강건함이 곧 "무한 성장"을 뜻하지는 않습니다. 시장에서 점유를 실제로 얼마나 더 빼앗아오느냐(특히 SASE·AI 워크로드 같은 고성장 영역에서)는 별개의 질문이고, 이는 미래 점유율 경쟁을 다루는 B편에서 검증합니다.