HTTP 쿠키와 세션 추적

HTTP

HTTP 쿠키와 세션 추적

9taetae9 2025. 2. 18. 15:02

728x90

HTTP 쿠키(HTTP cookie) : 웹 서버에 의해 사용자의 컴퓨터에 저장되는, '이름을 가진 작은 크기의 데이터'.

인터넷 사용자가 어떠한 웹사이트를 방문할 경우 사용자의 웹 브라우저를 통해 인터넷 사용자의 컴퓨터나 다른 기기에 설치되는 작은 기록 정보 파일로 쿠키, 웹 쿠키, 브라우저 쿠키라고도 한다.

쿠키의 기본적인 발상 : 브라우저가 서버 관련 정보를 저장하고, 사용자가 해당 서버에 접근할 때마다 그 정보를 함께 전송하게 하는 것

브라우저는 쿠키 정보를 저장할 책임이 있고, 이 메커니즘을 '클라이언트 측 상태' 또는 'HTTP 상태 관리 체계(HTTP State Management Mechanism)라 한다.

공통적인 쿠키 저장 방식

브라우저는 쿠키를 로컬 저장소에 보관하는데 각 쿠키는 이름, 도메인, 경로, 만료일, 보안 속성('HttpOnly','Secure','SameSite')등을 포함한다.

HttpOnly: JavaScript로 접근 불가.
Secure: HTTPS 연결에서만 전송.
SameSite: 크로스사이트 요청 제한(Lax, Strict, None).

브라우저 별 쿠키 관리 방식

1. 구글 크롬 : SQLite 데이터베이스 파일('Cookies')에 저장(해당 쿠키 파일은 사용자 디렉토리 내에 존재), 최근 버전에서는 Partitioned Cookies를 지원해 제 3자 쿠키를 더 세분화하여 관리한다.

2. Microsoft Edge

초기 버전(http 완벽가이드 기준)의 IE에서는 캐시 디렉터리에 각 쿠키가 개별 파일로 관리되었다.

하지만 Windows 10버전 1709 이후 성능과 보안을 강화하기 위해 WebCache라는 Jet Blue 데이터베이스(.dat 파일)에 통합되어 저장하는 방식으로 변경되었다. 해당 데이터베이스는 쿠키뿐만 아니라 브라우징 기록, 캐시 등 다양한 데이터를 통합 관리하기 떄문에 파일 시스템 레벨에서의 수정이 불가해졌다.
3. Safari (Apple)
Safari는 macOS/iOS에서 Keychain 및 WebKit 기반의 캐싱 시스템을 사용하여 쿠키를 관리하고, 추적 방지를 위해 Intelligent Tracking Prevention(ITP) 기술을 사용하여 제3자 쿠키와 추적 스크립트를 제한한다.

쿠키와 세션 추적은 웹 서버가 사용자를 식별하고 상태 정보를 유지하기 위해 사용하는 핵심 메커니즘이다.

사용자가 http://www.amazon.com 에 처음 접속할 때부터 여러 차례의 리다이렉트와 쿠키 설정이 일어난다.[=

아래는 그림 11-5에 나타난 흐름을 단계별로 정리한 설명이다.

최초 요청 (그림 11-5a)
- 사용자가 브라우저에서 http://www.amazon.com/을 입력한다.
- 브라우저는 GET / HTTP/1.0 요청을 Amazon.com의 서버(포트 80)로 전송한다.
- 이 단계에서는 아직 쿠키가 설정되지 않았으므로 Cookie 헤더가 없다.
서버의 첫 번째 리다이렉트 응답 (그림 11-5b)
- 서버는 브라우저에게 HTTP/1.1 302 Found 응답을 보내면서, 특정 전자상거래 소프트웨어가 동작하는 URL(예: /exec/obidos/...)로 리다이렉트 지시를 한다.
- 이때까지는 사용자를 식별하기 위한 쿠키가 설정되지 않았으므로, 서버가 응답 헤더에 Set-Cookie를 포함하지 않을 수 있다.
클라이언트의 리다이렉트 요청 (그림 11-5c)
- 브라우저는 서버가 준 리다이렉트 URL(예: /exec/obidos/subst/home/redirect.html)로 다시 GET 요청을 보낸다.
- 아직 쿠키 정보가 없으므로 Cookie 헤더 없이 요청이 이루어진다.
서버의 두 번째 리다이렉트 및 쿠키 설정 (그림 11-5d)
- 서버는 다시 한 번 HTTP/1.1 302 Found 응답을 보내며, 2개의 세션 쿠키를 Set-Cookie 헤더에 포함시킨다. 동시에 또 다른 URL로 이동하라고 지시한다.
- 예를 들어, Set-Cookie: session-id=... 형태로 사용자 식별에 필요한 세션 ID를 담는다.
- 이때 새 URL(“뚱뚱한 URL”이라 부르는)은 쿼리 스트링이나 경로에 세션 또는 식별 정보를 추가로 포함할 수 있다. 만약 사용자가 쿠키를 거부하도록 설정되어 있으면, 서버는 이러한 “뚱뚱한 URL”을 통해서도 식별을 계속 시도한다.
클라이언트의 새 URL 요청 (그림 11-5e)
- 브라우저는 서버가 지시한 새 URL로 GET 요청을 보낼 때, 이전 단계에서 받은 2개의 세션 쿠키를 Cookie 헤더에 담아 전송한다.
- 이제 서버는 쿠키에 들어 있는 세션 ID를 확인하여 사용자를 인식할 수 있다.
서버의 추가 쿠키 설정 및 리다이렉트 (그림 11-5f)
- 서버는 또다시 HTTP/1.1 302 Found 응답으로 home.html 페이지로 리다이렉트시키면서, 추가로 쿠키 2개를 더 설정한다.
- 예: Set-Cookie: session-id-time=... 와 같은 형태가 될 수 있다.
- 결과적으로 브라우저는 현재까지 총 4개의 쿠키를 소지하게 된다(세션 관리용, 사용자 맞춤 정보, 기타 추적 정보 등).
클라이언트의 home.html 요청 (그림 11-5g)
- 브라우저는 최종적으로 home.html 페이지를 요청하면서, 지금까지 받은 4개의 쿠키를 모두 Cookie 헤더에 담아 보낸다.
- 서버는 이 쿠키들을 통해 사용자가 동일 세션에 속함을 인식하고, 쇼핑 카트 등 사용자의 상태를 이어갈 수 있다.
최종 응답 (그림 11-5h)
- 서버는 사용자가 Amazon.com의 메인 콘텐츠를 볼 수 있도록 home.html 페이지의 실제 콘텐츠를 전송한다.
- 이 시점에서 사용자는 이미 세션이 식별된 상태이며, 쇼핑 카트나 로그인 상태 등 개인화된 서비스를 지속적으로 이용할 수 있게 된다.

쿠키 & 세션 비교
[클라이언트] [서버]
┌──────────────┐                   ┌─────────────┐
│  Cookie: │ │ Session: │
│  sessionId=xyz ◄─── ID 전달 ──► xyz: { ... } │
└──────────────┘                   └─────────────┘

보안성
- 쿠키: 사용자 PC에 저장 → XSS 취약점으로 데이터 유출 가능
- 세션: 서버 제어 → 암호화/접근 제어로 보안 강화
확장성
- 쿠키: 클라이언트 리소스 사용 → 스토리지 제한(4KB)
- 세션: 서버 리소스 사용 → 분산 캐시(Redis 등)로 대규모 처리 가능
개발 편의성
- 쿠키: 프론트엔드에서 직접 조작 가능
- 세션: 백엔드 로직에서만 관리 필요

실무에서 주의할 점

세션에는 최소한의 데이터만 보관해야 함.

보관한 데이터 용량 * 사용자 수로 세션의 메모리 사용량이 급격하게 늘어나서 장애로 이어질 수 있음.

세션의 시간을 너무 길게 설정하면 메모리 사용이 계속 누적될 수 있어 적당한 시간(통상 30분)을 선택하는 것이 필요하다.

쿠키 & 세션 추적 - 요약

쿠키 생성(Set-Cookie): 서버는 응답 헤더에 Set-Cookie를 포함해 클라이언트 측에 쿠키를 저장하게 한다.
쿠키 전송(Cookie 헤더): 클라이언트는 이후 같은 도메인으로 요청할 때 자동으로 쿠키를 포함해 서버에 전송한다.
세션 식별: 쿠키 안에는 보통 session-id나 유사한 토큰이 담겨 있어서, 서버가 이를 보고 특정 사용자의 세션 상태를 식별하고 관리한다.
URL 재작성(URL Rewriting): 쿠키가 차단되거나 지원되지 않는 경우, 서버는 URL에 세션 ID나 기타 식별 정보를 추가해 추적한다(“뚱뚱한 URL”).
상태 유지: 서버는 데이터베이스나 메모리에 세션 정보를 저장하고, 쿠키나 URL로부터 전달받은 세션 ID를 키로 사용해 해당 사용자의 상태(장바구니, 로그인 정보 등)를 찾아서 유지한다.

추가 정리 - 예시에서 등장하는 4개의 쿠키

1) 처음 설정되는 2개의 세션 쿠키

session-id (또는 유사 이름)
- 역할: 사용자의 세션을 구분하는 핵심 ID를 담는다.
- 특징: 서버는 session-id를 기준으로 사용자의 상태(장바구니, 방문 이력 등)를 식별한다.
- 수명: 보통 브라우저가 종료되거나 일정 시간(타임아웃)이 지나면 만료되는 세션 쿠키이다.
session-id-time (또는 유사 이름)
- 역할: session-id가 유효한 기간(시간 정보) 혹은 만료 시점을 관리한다.
- 특징: 어떤 시점 이후에는 해당 세션이 무효화될 수 있음을 서버와 클라이언트가 공유한다.
- 수명: 역시 세션 기반으로 작동하지만, 만료 시점에 대한 정보를 구체적으로 담을 수 있다.

이 두 쿠키가 합쳐져야 “사용자 식별 + 유효 기간”이라는 세션 관리가 원활해진다. 브라우저는 매 요청마다 이 두 쿠키를 함께 전송함으로써 서버가 “동일 사용자”임을 인식할 수 있게 한다.

2) 추가로 설정되는 2개의 쿠키

ubid-main (또는 x-main, lc-main 등)
- 역할: 지역 정보(언어, 통화 등)나 A/B 테스트 같은 사용자 선호도, 지역화(localization) 설정을 위해 사용된다.
- 특징: 이 쿠키를 통해 접속 지역에 맞는 페이지 구성이나 맞춤형 광고가 가능하다.
- 수명: 때에 따라 세션 쿠키일 수도, 특정 기간(예: 1년) 동안 유지되는 지속 쿠키일 수도 있다.
ap-id (또는 다른 이름의 식별자)
- 역할: 방문 기록, 마케팅 추적, 개인화 추천 등에 필요한 추가 정보(예: 추천 알고리즘 파라미터, 파트너 트래킹 ID)를 담는다.
- 특징: 사용자가 로그인하지 않아도, 이 쿠키를 통해 어느 정도 개인화된 경험을 제공할 수 있다.
- 수명: 일반적으로는 일정 기간 동안 유지되는 지속 쿠키 형태가 많다.

이 두 가지 추가 쿠키는 세션 이외의 부가 기능을 관리하기 위한 목적이 크다.

예를 들어, 지역화 설정, 추천 알고리즘, 광고 트래킹, UI/UX 실험(A/B 테스트) 등을 위해 추가로 쿠키를 사용할 수 있다.

3) 실례 - 아마존 쿠키 정책

주요 사용 목적
- 사용자 인증 및 서비스 제공: 로그인 시 사용자 식별을 통해 제품 추천, 개인화 콘텐츠 표시, 프라임 회원 인증, 1-Click 구매 기능 활성화
- 환경 설정 관리: 계정 설정을 통한 언어/화폐 단위 선택, 관심사 기반 광고 표시 여부 등 사용자 선호도 저장
- 쇼핑 과정 지원: 장바구니 항목 추적 및 구매 프로세스 유지
- 서비스 개선: 콘텐츠/제품 품질 향상을 위한 연구 및 진단 수행, 사기 방지 시스템 강화, 보안 개선
- 맞춤형 광고: 사용자 관심사에 기반한 광고 및 콘텐츠 제공(Interest-Based Ads 정책 참조)
필수 기능 의존성(쿠키 차단 시 핵심 서비스 이용이 제한)
- 장바구니에 상품 추가 불가
- 결제 프로세스 진행 불가
- 로그인 요구 서비스 전체 사용 불가
제3자 쿠키 활용(검색 엔진, 분석 서비스 제공사, 소셜 미디어 플랫폼, 광고주 등 승인된 외부 기관들이 활용)
- 맞춤형 광고 전달 및 효과 측정
- 아마존 대행 서비스 수행
- 사용자 행동 분석을 통한 서비스 최적화

4) 세션 쿠키와 지속 쿠키의 결합

세션 쿠키(예: session-id, session-id-time)
- 브라우저가 닫히거나 일정 시간이 지나면 자동으로 만료되므로, 사용자 로그인 상태나 장바구니와 같은 “현재 세션” 정보를 안전하게 관리한다.
지속 쿠키(예: ubid-main, ap-id 등)
- 만료 기한이 길어서, 브라우저를 껐다가 다시 켜도 유지된다.
- 로그인하지 않아도 사용자 맞춤 설정(추천 상품, 언어, 광고 설정 등)을 복원할 수 있다.

결과적으로, 2개의 세션 쿠키와 추가적인 쿠키를 함께 사용함으로써, 사용자 경험을 끊김 없이 유지하면서도, 광고나 추천 시스템을 위한 추가 데이터 추적을 동시에 진행할 수 있다.

참고 자료 :

HTTP 완벽 가이드 - 원서 HTTP The Definitive Guide

https://www.amazon.com/gp/help/customer/display.html/?nodeId=201890250

https://ko.wikipedia.org/wiki/HTTP_%EC%BF%A0%ED%82%A4

HTTP 쿠키 - 위키백과, 우리 모두의 백과사전

위키백과, 우리 모두의 백과사전. HTTP 쿠키(HTTP cookie)란 웹 서버에 의해 사용자의 컴퓨터에 저장되는, '이름을 가진 작은 크기의 데이터'이다. 인터넷 사용자가 어떠한 웹사이트를 방문할 경우 사

ko.wikipedia.org

728x90