bunnycdn-security: DDoS 과금 정책 공식 확인 결과 기록 (Ticket #386429)

services/bunnycdn-security.md

@@ -118,6 +118,13 @@ bloom filter (FNV-1a) base64 → BunnyCDN compute API
 - **i-gate (5557897)**: 시스템 호스트 1개, 0 byte 트래픽. 빈 슬롯 — 용도 부여 또는 제거 필요
 - ~~**Turnstile sitekey zone gap**~~: 2026-04-17 해결. `inouter-bunny-middleware` 위젯 domains에 `inouter.com`, `anvil.it.com`, `actions.it.com`, `n8n.anvil.it.com`, `tg.anvil.it.com`, `linode.actions.it.com`, `iron-kr.b-cdn.net`, `iron-jp.b-cdn.net` 등록 완료. Cloudflare Turnstile는 루트 도메인 등록 시 서브도메인 자동 커버 (inouter.com → *.inouter.com). 위젯 도메인 상한 10개.
 
+## DDoS 과금 정책 (2026-04-17 지원팀 확인, Ticket #386429)
+
+- **WAF 차단 요청**: 과금됨. 차단 응답도 outgoing bandwidth로 집계. 단, Origin 응답보다 크기가 작아 비용은 적음
+- **DDoS PoW 챌린지 페이지**: 과금 안 됨. 챌린지는 Bunny 소유 별도 도메인에서 호스팅되어 내 계정 대역폭 미포함
+- **DDoS 크레딧/보호**: 공식 보장 없음. Shield가 정상 동작했음에도 피해가 큰 경우 케이스별 goodwill 크레딧 검토 가능 (보장 아님)
+- **대응**: Rate Limiting으로 불필요한 차단 응답 자체를 줄이고, MonthlyBandwidthLimit으로 비용 상한 설정
+
 ## 대역폭 한도 (2026-04-17 설정)
 
 | Pull Zone | MonthlyBandwidthLimit |