475. 쿠키 (Cookie) - 클라이언트 로컬 저장 상태 값

핵심 인사이트 (3줄 요약)

본질: 쿠키(Cookie)는 웹 서버가 Set-Cookie 헤더를 통해 브라우저에 저장시키는 최대 4KB의 Key-Value 데이터로, 브라우저는 이후 해당 도메인으로 요청을 보낼 때마다 무조건 Cookie 헤더에 이를 담아 서버로 자동 전송한다.

가치: HTTP의 상태 비저장(Stateless) 한계를 극복하고 로그인 유지, 장바구니, 개인화 설정 등 '문맥(Context)'을 이어주는 필수 매개체 역할을 수행한다.

융합: 자바스크립트로 탈취되는 XSS 공격을 막는 HttpOnly, 암호화 통신에만 전송하는 Secure, 타 사이트 전송을 막아 CSRF를 방어하는 SameSite 속성 설정은 현대 웹 보안 아키텍처의 가장 기초적인 필수 방어막이다.

Ⅰ. 개요 및 필요성 (Context & Necessity)

개념: HTTP 쿠키(Cookie)는 웹 서버가 사용자의 브라우저로 전송하는 작은 텍스트 조각이다. 브라우저는 이 조각을 로컬(하드디스크나 메모리)에 저장해 두었다가, 이후 동일한 서버로 HTTP 요청을 날릴 때마다 Cookie 헤더에 담아 되돌려 보낸다. (브라우저당 도메인별 통상 최대 4KB, 50개 제한)
필요성: HTTP 프로토콜은 태생적으로 **무상태성(Stateless)**이다. 사용자가 홈페이지를 보고, 로그인 버튼을 누르고, 장바구니에 물건을 담는 과정에서 서버는 "방금 요청한 애가 아까 걔"라는 사실을 기억하지 못한다. 상태를 저장하지 않아야 서버 확장이 무한정 가능하기 때문이다. 하지만 비즈니스를 하려면 문맥 유지가 필수적이다. "서버가 기억하지 못하면, 클라이언트 손에 식별표를 쥐여주어 올 때마다 내밀게 하자"는 아이디어가 쿠키의 탄생 배경이다.
💡 비유: HTTP 통신은 매번 처음 보는 사람처럼 행동하는 건망증 심한 놀이공원 매표소 직원입니다. 이 직원이 나를 기억하게 하려면, 직원이 내 손목에 찍어준 '자유이용권 도장(쿠키)'을 놀이기구를 탈(요청) 때마다 무조건 들이밀어 보여주어야 합니다.
등장 배경:
1. 정적 문서 전송의 한계: 초기 웹은 단순히 문서를 보여주는 것이 끝이라 상태 유지가 필요 없었으나, 전자상거래(Netscape)가 등장하며 장바구니 기능 구현이 시급해졌다.
2. Netscape의 혁신: 1994년 넷스케이프 엔지니어 루 몬툴리(Lou Montulli)가 유닉스 프로그래밍에서 문맥을 유지하기 위해 주고받던 '매직 쿠키(Magic Cookie)' 개념을 HTTP에 이식하여 탄생시켰다.
3. 보안의 진화: 초기 쿠키는 평문으로 주고받아 해킹에 취약했으나, XSS, CSRF 같은 웹 해킹 공격이 발전함에 따라 이를 방어하기 위한 다양한 보안 속성(HttpOnly, Secure, SameSite)들이 추가 스펙으로 진화했다.

┌─────────────────────────────────────────────────────────────┐
│                 HTTP 쿠키(Cookie)의 생명 주기 흐름             │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│ [Client / Browser]                           [Web Server]   │
│         │                                         │         │
│         │ 1. POST /login (ID=admin, PW=123)       │         │
│         │────────────────────────────────────────▶│         │
│         │                                (로그인 성공 및 인증)│
│         │                                         │         │
│         │ 2. 200 OK                               │         │
│   ┌─────│    Set-Cookie: session_id=ABC123XYZ;    │         │
│   │     │                HttpOnly; Secure         │         │
│저장│     │◀────────────────────────────────────────│         │
│   │     │                                         │         │
│   └────▶│ (이후 해당 도메인으로의 모든 통신)            │         │
│         │                                         │         │
│         │ 3. GET /cart (장바구니 보여줘)             │         │
│         │    Cookie: session_id=ABC123XYZ         │         │
│         │────────────────────────────────────────▶│         │
│         │                          (서버: 아, 아까 그 admin이군)│
│         │ 4. 200 OK (장바구니 데이터 반환)             │         │
│         │◀────────────────────────────────────────│         │
└─────────────────────────────────────────────────────────────┘

[다이어그램 해설] 클라이언트가 로그인을 성공하면, 서버는 2번 단계에서 Set-Cookie 헤더를 통해 세션 식별자(session_id)를 브라우저에 하달한다. 브라우저는 이 쿠키를 도메인(bank.com) 기준으로 철저히 보관한다. 핵심은 3번 단계다. 이후 사용자가 "장바구니", "마이페이지" 등 어떤 링크를 클릭하든, 브라우저가 개발자의 코딩 유무와 상관없이 해당 도메인에 대한 쿠키를 자동으로 알아서 Cookie 헤더에 담아 전송한다는 점이다. 서버는 이 식별표를 보고 Stateless한 HTTP 위에서도 Stateful한 서비스 맥락을 이어간다. 이 "브라우저의 자동 전송" 속성이 쿠키의 축복이자 동시에 치명적 취약점(CSRF)의 근원이 된다.

📢 섹션 요약 비유: 클럽 입장 시 문지기가 찍어주는 형광 도장(Set-Cookie)과 같습니다. 한 번 찍고 나면, 안에 들어가서 어떤 바텐더에게 술을 시키든 손목만 들어 보이면(자동 전송) 성인 인증 절차를 다시 거치지 않고 프리패스로 맥주를 줍니다.

Ⅱ. 아키텍처 및 핵심 원리 (Deep Dive)

속성명 (Attribute)	역할	보안 및 아키텍처 연관성	비유
Domain & Path	쿠키가 전송될 유효 주소 범위 지정	서브도메인 간 공유 여부 통제 (예: `domain=.google.com`)	이 쿠폰이 통하는 체인점 범위
Expires / Max-Age	쿠키의 생존 수명 설정 (미지정시 세션 쿠키)	세션 쿠키(브라우저 종료시 날아감) vs 영구 쿠키 분기	쿠폰 유통기한
HttpOnly	자바스크립트(`document.cookie`)의 접근 원천 차단	XSS (크로스 사이트 스크립팅) 공격 방어의 핵심	타인이 복사할 수 없는 디지털 서명
Secure	오직 HTTPS 암호화 통신에서만 쿠키 전송	네트워크 스니핑을 통한 쿠키 탈취(도청) 차단	철가방 수송 의무화
SameSite	다른 사이트(Cross-Site)에서 넘어오는 요청에 쿠키 전송 제한	CSRF (크로스 사이트 요청 위조) 공격 방어의 핵심 (`Strict`, `Lax`, `None`)	타사 링크를 통한 무단 결제 원천 차단

쿠키 보안의 양대 산맥: XSS와 CSRF 방어

쿠키 아키텍처에서 가장 깊이 다루어야 할 부분은 보안이다. "브라우저가 자동으로 보낸다"는 특성을 악용한 해킹이 웹 보안의 역사를 장식했다.

XSS (Cross-Site Scripting)와 HttpOnly: 해커가 게시판에 악성 자바스크립트를 몰래 심어둔다. 일반 유저가 글을 읽으면 해커의 자바스크립트가 실행되어 document.cookie를 읽어내어 해커 서버로 전송한다. (세션 탈취). ➔ 방어: 서버가 쿠키를 구울 때 HttpOnly 옵션을 달아주면, 브라우저 엔진 레벨에서 자바스크립트로는 쿠키를 읽을 수 없게 원천 봉쇄한다. 오직 HTTP 통신 시 헤더에만 실려 나간다.
CSRF (Cross-Site Request Forgery)와 SameSite: 사용자가 은행에 로그인(쿠키 보유)된 상태에서, 해커가 메일로 보낸 매력적인 고양이 사진 링크(해커.com)를 누른다. 해커 사이트 안에 <img src="은행.com/송금?to=해커"> 같은 태그가 숨어있다. 브라우저는 은행.com으로 요청을 보낼 때 자동으로 은행 쿠키를 실어 보내므로, 서버 입장에서는 정상 로그인 유저의 송금 요청으로 판단하고 돈을 보낸다. ➔ 방어: SameSite=Lax (크롬 등 현대 브라우저 기본값) 또는 Strict를 설정하면, 해커.com에서 은행.com으로 요청이 넘어갈 때 브라우저가 쿠키 전송을 차단(Drop)하여 위조된 요청을 막아버린다.

┌─────────────────────────────────────────────────────────────┐
│          SameSite 속성을 통한 CSRF(요청 위조) 방어 원리        │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│ [희생자 브라우저] - (은행.com 로그인 상태, 쿠키 보유)                │
│                                                             │
│ 1. 악성사이트(해커.com) 방문                                    │
│ 2. 악성코드 실행: "은행.com/해커에게_송금" API 몰래 호출           │
│                                                             │
│        [ 브라우저 엔진의 SameSite 정책 판별 로직 ]              │
│                           │                                 │
│        지금 요청을 보내는 출발지가 목적지(은행)와 같은가?             │
│        (Top-level site: 해커.com ≠ 대상: 은행.com)          │
│                           │                                 │
│          ┌────────────────┼────────────────┐                │
│          ▼                ▼                ▼                │
│ [SameSite=None]   [SameSite=Lax(기본)]   [SameSite=Strict]  │
│  쿠키 전송 뚫림!      쿠키 전송 차단 (Drop)    쿠키 전송 차단      │
│  (서드파티 허용)       (안전한 GET 이동만 허용)  (100% 무조건 차단)   │
│          │                │                │                │
│ 💥 해킹(송금) 성공    ✅ 은행 서버 인증 실패    ✅ 은행 서버 인증 실패 │
└─────────────────────────────────────────────────────────────┘

[다이어그램 해설] SameSite 속성은 브라우저 엔진에 "내가 접속해 있는 현재 주소창의 도메인(1st Party)과 백그라운드로 API를 찌르려는 도메인(3rd Party)이 다를 경우, 쿠키를 보내지 마라"는 엄격한 명령이다. Strict는 무조건 안 보내고, Lax는 사용자가 링크를 클릭해 직접 페이지를 이동하는 안전한 GET 요청(Top-level navigation)에 한해서만 융통성 있게 쿠키를 붙여주어 서비스 사용성을 살리면서 악성 POST 요청은 완벽히 방어한다. 구글 구글 크롬은 2020년부터 명시가 없으면 SameSite=Lax를 기본값으로 강제 적용하여 전 세계 CSRF 해킹의 싹을 잘라버렸다.

📢 섹션 요약 비유: HttpOnly가 "지갑(쿠키)을 투명한 금고에 넣어 자물쇠를 채워 아무나 못 꺼내가게 막는 것(XSS 방어)"이라면, SameSite 속성은 "우리 가족(동일 도메인)이 심부름을 시킬 때만 지갑에서 카드를 꺼내 결제하게 규칙을 정한 것(CSRF 방어)"입니다.

Ⅲ. 융합 비교 및 다각도 분석

현대 웹(HTML5)에서는 쿠키 외에도 브라우저에 데이터를 저장할 수 있는 Web Storage API가 등장했다.

비교 항목	Cookie (쿠키)	Local Storage (로컬 스토리지)
저장 용량	도메인당 최대 4KB (매우 적음)	도메인당 약 5MB 이상 (대용량)
통신 비용	매 HTTP 요청마다 헤더에 자동 전송됨 (낭비 발생)	자동으로 서버에 전송되지 않음 (네트워크 낭비 0)
접근 제어	`HttpOnly`로 JS 접근 차단 가능 (보안 우수)	무조건 JS로만 접근 가능 (XSS에 취약)
주 사용처	세션 ID (SID), 자동 로그인 토큰 등 백엔드 인증용	UI 테마 세팅, 글 임시저장, 장바구니 등 클라이언트 렌더링 데이터

실무 프론트엔드 아키텍처(React, Vue)에서는 네트워크 왕복 오버헤드를 막기 위해, 서버가 알아야 하는 '인증 토큰'만 쿠키에 담고, 클라이언트만 알면 되는 'UI 테팅 상태'는 Local Storage에 저장하는 이원화 패턴을 표준으로 쓴다.

과목 융합 관점

서드파티 쿠키(3rd Party Cookie)와 빅데이터(Ad-Tech): 내가 A쇼핑몰을 봤는데 B뉴스 사이트에서 A쇼핑몰 광고가 뜨는 이유는, 광고 네트워크사(구글, 메타 등)가 여러 사이트에 심어놓은 스크립트가 도메인 교차 전송되는 서드파티 쿠키를 활용해 내 방문 궤적을 추적(Tracking)하기 때문이다. 애플 사파리(ITP)와 크롬에서 프라이버시 보호를 위해 서드파티 쿠키 전송을 전면 차단하는 방향으로 진화하며 디지털 마케팅 생태계에 거대한 충격파(Cookie-less 시대)를 던졌다.
📢 섹션 요약 비유: 쿠키가 매번 경비원에게 무조건 보여줘야 하는 작은 '신분증'이라면, 로컬 스토리지는 혼자서만 몰래 보는 두꺼운 '다이어리'와 같습니다. 신분증을 두껍게 만들면 경비원(서버)이 검사하기 힘드니, 가벼운 신분증과 다이어리의 용도를 철저히 나눠 써야 합니다.

Ⅳ. 실무 적용 및 기술사적 판단

실무 시나리오

시나리오 — 토큰 기반 인증(JWT)의 저장소 선택 (Local Storage vs Cookie): 모던 아키텍처(MSA)를 도입하며 백엔드를 Stateless한 JWT 토큰 방식으로 바꿨다. 프론트엔드 개발자가 구현 편의성을 위해 JWT Access Token을 로컬 스토리지에 저장하고 매번 Authorization 헤더에 스크립트로 끼워 넣었다. 그 후 게시판에 XSS 취약점이 터지며 해커의 JS가 로컬 스토리지의 토큰을 탈취해 대규모 계정 도용이 발생했다.
- 판단: 로컬 스토리지는 XSS 공격에 무방비다. 인증과 관련된 민감한 토큰(특히 Refresh Token)은 반드시 HttpOnly와 Secure, SameSite가 적용된 쿠키에 저장하여, 자바스크립트 자체가 아예 토큰 문자열에 접근하지 못하게 원천 차단하는 백엔드-프론트엔드 분산 보안 아키텍처를 강제해야 한다.
시나리오 — 무거운 쿠키로 인한 네트워크 대역폭 병목 및 헤더 초과 에러: 개발자가 사용자 편의를 위해 쿠키에 장바구니 상품 목록 문자열과 각종 UI 설정값을 잔뜩 때려 넣었다. 쿠키 크기가 3KB에 달했다. 이 상태에서 고객이 서버로 100바이트짜리 가벼운 핑(API)을 찌를 때마다, 브라우저는 3KB짜리 거대한 쿠키 덩어리를 헤더에 자동으로 얹어서 전송(업로드)했다. 전체 트래픽 비용이 폭증했고 일부 로드밸런서에서 431 Request Header Fields Too Large 에러를 뱉고 요청을 잘라버렸다.
- 판단: 쿠키는 "브라우저가 묻지도 따지지도 않고 매번 보낸다"는 무서운 특성을 지닌다. 따라서 쿠키에는 오직 32바이트짜리 무의미한 '세션 식별자(SID)' 하나만 가볍게 넣어야 하며, 실질적 데이터(장바구니)는 서버 측 세션 스토어나 DB에 보관하여 헤더 비대화를 막는 상태 관리의 정석을 따라야 한다.

  ┌─────────────────────────────────────────────────────────────┐
  │         실무 아키텍처: JWT 인증 토큰의 안전한 저장소 설계        │
  ├─────────────────────────────────────────────────────────────┤
  │                                                             │
  │ [위험한 패턴: 로컬 스토리지 사용]                               │
  │  1. 서버 ➔ JWT Access Token 반환                           │
  │  2. 브라우저 ➔ Local Storage 저장                           │
  │  3. 💥 해커가 XSS 스크립트로 Local Storage 뒤져서 토큰 탈취!    │
  │                                                             │
  │ [표준 권장 패턴: HttpOnly 쿠키 이원화 사용]                     │
  │  1. 인증 서버 ➔ 2개의 토큰(Access, Refresh) 발급              │
  │                                                             │
  │  2. 프론트엔드 통제권 분할:                                    │
  │   - Refresh Token: 무조건 HttpOnly + Secure 쿠키에 저장.     │
  │     (브라우저가 JS로 조작 불가, 갱신 요청 시 알아서 날아감. XSS 방어)│
  │                                                             │
  │   - Access Token: 로컬 JS 메모리 변수(클로저)에 임시 보관하거나,  │
  │     수명을 아주 짧게(예: 15분) 주어 탈취되더라도 타격 최소화.      │
  │                                                             │
  │  3. 보안 방패 완성:                                           │
  │   - XSS 방어 ➔ HttpOnly가 탈취 막음                           │
  │   - CSRF 방어 ➔ SameSite=Lax 가 타사에서 넘어오는 위조 막음     │
└─────────────────────────────────────────────────────────────┘

[다이어그램 해설] 클라이언트 사이드 웹 애플리케이션(React, Vue 등)에서 상태 관리의 딜레마를 보여준다. 모든 것을 JS로 쥐고 있으려면 XSS 공격에 털리고, 모든 것을 쿠키에 맡기자니 CSRF 위조에 당할 수 있다. 모범 답안은 가장 핵심이 되는 보안 키(Refresh Token, Session ID)는 HttpOnly+Secure+SameSite의 3중 방어막이 쳐진 쿠키라는 감옥에 가두어 브라우저 엔진이 알아서 관리하게 만들고, 프론트엔드 코드(JS)는 절대 이 키를 직접 만지지 않는 구조로 분리하는 것이다.

도입 체크리스트

기술적: API 서버의 도메인(api.service.com)과 프론트엔드 도메인(www.service.com)이 다를 때, SameSite=None; Secure 설정과 CORS(Cross-Origin Resource Sharing) 설정의 credentials: true가 올바르게 맞물려 있어 쿠키 전송이 누락되지 않는가?
운영·보안적: 로그아웃 로직 구현 시, 서버에서 해당 세션을 파기할 뿐만 아니라 응답 헤더에 Set-Cookie: session_id=; Max-Age=0을 달아주어 클라이언트 브라우저 로컬에서도 쿠키를 확실하게 청소(삭제)해주고 있는가?

안티패턴

평문 민감 정보의 쿠키 적재: 쿠키에 is_admin=true 라거나 user_level=VIP 같은 인가(Authorization) 관련 로직을 평문으로 구워 넣는 행위. 쿠키는 클라이언트 컴퓨터에 저장되므로, 사용자가 브라우저 개발자 도구(F12)를 열어 is_admin=false를 true로 변조하면 시스템 전체가 탈취되는 어처구니없는 참사가 벌어진다.
📢 섹션 요약 비유: 은행 통장 비밀번호(상태 정보)를 이마에 적고(평문 쿠키) 다니는 사람은 없습니다. 비밀번호는 은행 금고(서버 세션)에 두고, 나는 은행이 주는 알 수 없는 번호가 적힌 은행 대기표(식별자 쿠키)만 들고 다니는 것이 상식입니다.

Ⅴ. 기대효과 및 결론

정량/정성 기대효과

구분	무상태 (Stateless) 유지	쿠키 (Cookie) 적용 아키텍처	개선 효과
정량	매 요청마다 ID/PW 재전송 필요	1회 로그인 후 수 킬로바이트 쿠키로 대체	인증 부하 및 트래픽 대폭 절감
정량	서드파티 추적 불가	타사 도메인 쿠키를 통한 방문 궤적 추적	초개인화 광고 매칭으로 광고 ROI 상승
정성	매번 장바구니 초기화 (이탈)	브라우저 끄고 내일 와도 장바구니 유지	사용자 체감 UX 극대화 및 비즈니스 연속성 확보

미래 전망

Cookie-less (서드파티 쿠키의 종말): 개인정보 침해 논란으로 애플(Safari)과 모질라(Firefox)에 이어 구글 크롬(Chrome) 마저 타사 사이트 추적용 '서드파티 쿠키' 지원을 전면 중단하는 정책을 밀어붙이고 있다. 이에 따라 디지털 광고 시장은 쿠키에 의존하던 개인 타겟팅을 버리고, 브라우저가 자체적으로 관심사 그룹을 익명화해 알려주는 'Privacy Sandbox (Topics API 등)'나 자사 데이터(1st Party Data) 중심의 아키텍처로 거대한 지각 변동을 맞고 있다.
쿠키의 크기 한계 극복 (CHIPS): 크롬은 파티션된 쿠키(Partitioned Cookies, CHIPS) 스펙을 제안하여, 톱 레벨 사이트별로 서드파티 쿠키 공간을 분리(격리)함으로써 보안과 제한적 상태 유지를 양립시키는 타협점을 모색 중이다.

참고 표준

RFC 6265: HTTP State Management Mechanism (쿠키 기본 스펙)
IETF Draft: SameSite Cookie Attribute (CSRF 방어 메커니즘)

"상태가 없다(Stateless)"는 HTTP의 철학은 웹이 전 세계로 확장될 수 있었던 최고의 무기였지만, "너를 기억하겠다"는 인간의 비즈니스적 욕망은 쿠키라는 작은 텍스트 파일을 탄생시켰다. 쿠키는 XSS와 CSRF라는 끔찍한 해킹의 통로가 되기도 했으나, 역설적으로 HttpOnly, SameSite 같은 스펙을 강제하며 현대 웹 보안 브라우저 엔진을 가장 단단하게 단련시킨 주역이기도 하다. 결국 쿠키는 프로토콜의 결함을 비즈니스의 요구가 어떻게 덮어씌우고 진화시켰는지를 보여주는 가장 훌륭한 기술사적 증거다.

📢 섹션 요약 비유: 인간의 건망증(Stateless)을 돕기 위해 시작된 작은 메모장(쿠키)이, 남이 몰래 훔쳐보는 것(XSS)을 막기 위해 철갑 자물쇠를 두르게 되었고, 이제는 사생활 침해(서드파티 추적)를 막기 위해 아예 찢어버리려는 시대를 맞이하고 있습니다.

📌 관련 개념 맵 (Knowledge Graph)

개념 명칭	관계 및 시너지 설명
Session (세션)	쿠키가 껍데기(식별표)라면, 세션은 그 식별표가 가리키는 실제 중요 데이터(알맹이)를 서버 측에 보관하는 아키텍처 짝꿍이다.
XSS (크로스 사이트 스크립팅)	자바스크립트를 이용해 남의 쿠키를 탈취하는 공격 기법으로, `HttpOnly` 속성이라는 방패를 탄생시켰다.
CSRF (크로스 사이트 요청 위조)	쿠키가 "자동으로 전송된다"는 맹점을 악용한 공격으로, `SameSite` 속성이라는 방어막 표준을 탄생시켰다.
Local / Session Storage	쿠키의 좁은 용량과 매번 네트워크로 실려 나가는 낭비를 해결하기 위해 도입된, 클라이언트(JS) 전용 HTML5 웹 저장소다.
JWT (JSON Web Token)	세션 저장소를 두지 않고 상태 증명 정보 자체를 암호화해 클라이언트(주로 쿠키나 로컬스토리지)에 던져두는 현대적 인증 방식이다.

👶 어린이를 위한 3줄 비유 설명

인터넷 세상의 서버 아저씨는 엄청난 건망증이 있어서, 로그인하고 1초 뒤에 말을 걸어도 "누구세요?" 한답니다 (Stateless).
그래서 서버 아저씨는 내 손목에 지워지지 않는 **'투명 도장(쿠키)'**을 꾹 찍어줘요. 다음에 놀이기구를 탈 때는 이 도장만 슥 보여주면 나를 기억하죠.
하지만 이 도장을 도둑이 몰래 사진을 찍어서(해킹) 훔쳐 쓸 수도 있어요! 그래서 절대 남에게 보여주면 안 되는 '보안 투명 매니큐어(HttpOnly, Secure)'를 꼭 발라줘야 해요!