ドキュメント価格ブログ
お問い合わせ
ログイン無料で新規登録
Back to Tech Articles

백엔드 프레임워크를 위한 쿠키 인증 심층 분석

9月 04, 2025
# Misc

Takashi Yamamoto

Infrastructure Engineer · Leapcell

この記事はEnglish日本語Deutschでも利用できます
Cover of "백엔드 프레임워크를 위한 쿠키 인증 심층 분석"

소개: 안전한 쿠키 인증으로 백엔드 강화

웹 애플리케이션 개발의 영역에서 인증은 보안의 초석입니다. 다양한 방법이 존재하지만, 쿠키 기반 인증은 사용자 세션 및 상태 유지에 있어 여전히 보편적이고 강력한 선택지로 남아 있습니다. 그러나 쿠키 설정이라는 겉보기에는 간단한 행위도 주의 깊게 다루지 않으면 의도치 않게 보안 취약점에 문을 열 수 있습니다. 백엔드 개발자로서 쿠키 속성의 미묘한 차이를 이해하는 것은 단순한 좋은 습관이 아니라 일반적인 웹 공격에 대한 필수적인 방어 메커니즘입니다. 이 글에서는 세 가지 중요한 쿠키 속성인 HttpOnly, Secure, SameSite에 대해 심층적으로 분석하여, 해당 속성의 목적, 구현 및 백엔드 애플리케이션을 위한 강력하고 안전한 인증 시스템 구축에 있어 필수적인 역할에 대한 포괄적인 가이드를 제공할 것입니다. 이러한 속성을 마스터함으로써 애플리케이션의 보안 태세를 크게 강화하고 사용자의 민감한 정보를 보호할 수 있습니다.

핵심 이해: 보안을 위한 필수 쿠키 속성

안전한 쿠키 인증의 구체적인 내용으로 들어가기 전에, 이 논의에 필수적인 기본 쿠키 속성에 대한 명확한 이해를 확립해 보겠습니다.

  • 쿠키 (Cookie): 웹사이트에서 보내 사용자 웹 브라우저가 사용자가 브라우징하는 동안 저장하는 작은 데이터 조각입니다. 쿠키는 주로 상태 정보를 기억하거나(예: 쇼핑 카트에 담긴 상품) 사용자의 브라우징 활동을 기록하는 데(예: 특정 버튼 클릭, 로그인, 과거 방문 페이지 기록) 사용됩니다.
  • 세션 ID (Session ID): 웹 애플리케이션과의 사용자 세션에 할당되는 고유 식별자입니다. 종종 쿠키에 저장되어 서버가 사용자의 인증 자격 증명 및 기타 세션 관련 데이터를 검색하는 데 사용됩니다.
  • 크로스 사이트 스크립팅 (XSS, Cross-Site Scripting): 일반적으로 웹 애플리케이션에서 발견되는 보안 취약점 유형입니다. XSS 공격은 공격자가 다른 사용자가 보는 웹 페이지에 클라이언트 측 스크립트를 삽입할 수 있도록 합니다. XSS 취약점은 공격자가 동일 출처 정책(same-origin policy)과 같은 액세스 제어를 우회하는 데 사용될 수 있습니다.
  • 크로스 사이트 요청 위조 (CSRF, Cross-Site Request Forgery): 사용자가 현재 인증된 웹 애플리케이션에서 원치 않는 작업을 수행하도록 강제하는 공격입니다. CSRF 공격은 특히 상태 변경 요청을 대상으로 하며, 공격자는 위조된 요청에 대한 응답을 볼 방법이 없기 때문에 데이터 도용을 목표로 하지 안습니다.

이제 안전한 쿠키 인증의 기본을 형성하는 개별 속성을 살펴보겠습니다.

HttpOnly: 클라이언트 측 스크립트 접근 방지

XSS 공격에 대한 HttpOnly 속성은 중요한 방어 수단입니다. 쿠키에 HttpOnly 속성이 설정되면 클라이언트 측 스크립트(예: JavaScript)에서 접근할 수 없다는 것을 의미합니다. 이 제한은 세션 쿠키를 훔치려는 악의적인 스크립트를 무력화하는 강력한 억제책입니다. 공격자가 웹사이트에 스크립트를 성공적으로 삽입하더라도 사용자의 세션 ID가 포함된 HttpOnly 쿠키를 읽을 수 없으므로 사용자를 사칭할 수 없습니다.

구현 예시 (Node.js with Express):

const express = require('express');
const app = express();
const session = require('express-session');

app.use(session({
  secret: 'your_secret_key', // 강력하고 무작위적인 비밀 키로 교체하세요
  resave: false,
  saveUninitialized: false,
  cookie: {
    httpOnly: true, // 중요: 클라이언트 측 스크립트 접근 방지
    maxAge: 3600000 // 세션은 1시간 후에 만료됩니다.
  }
}));

app.post('/login', (req, res) => {
  // 성공적인 인증이라고 가정
  req.session.userId = 'user123';
  res.redirect('/dashboard');
});

app.get('/dashboard', (req, res) => {
  if (req.session.userId) {
    res.send(`Welcome back, ${req.session.userId}!`);
  } else {
    res.redirect('/login');
  }
});

app.listen(3000, () => {
  console.log('Server running on port 3000');
});

이 Express 예시에서 express-session 미들웨어 내 cookie 객체의 httpOnly: true 설정은 브라우저의 JavaScript 콘솔에서 document.cookie를 통해 세션 쿠키에 접근하는 것을 방지합니다.

Secure: HTTPS를 통한 전송 보장

Secure 속성은 쿠키가 반드시 암호화된 HTTPS 연결을 통해서만 전송되어야 함을 지정합니다. 이는 암호화되지 않은 HTTP 트래픽을 가로챌 수 있는 "중간자 공격"(man-in-the-middle attack)을 방지하여 세션 쿠키를 훔칩니다. Secure 없이 세션 쿠키가 평문 HTTP를 통해 전송될 수 있다면 도청에 취약해집니다.

구현 예시 (Node.js with Express):

이전 예시를 기반으로 Secure 속성을 활성화하려면 일반적으로 애플리케이션이 HTTPS를 통해 제공될 때 통합해야 합니다.

const express = require('express');
const app = express();
const session = require('express-session');
const https = require('https');
const fs = require('fs');

// 실제 SSL 인증서 및 키로 교체하세요
const privateKey = fs.readFileSync('path/to/your/private.key', 'utf8');
const certificate = fs.readFileSync('path/to/your/certificate.crt', 'utf8');
const credentials = { key: privateKey, cert: certificate };

app.use(session({
  secret: 'your_secret_key',
  resave: false,
  saveUninitialized: false,
  cookie: {
    httpOnly: true,
    secure: true, // 중요: HTTPS를 통해서만 전송
    maxAge: 3600000
  }
}));

// ... (로그인 및 대시보드 경로는 동일하게 유지) ...

const httpsServer = https.createServer(credentials, app);

httpsServer.listen(3001, () => {
  console.log('HTTPS Server running on port 3001');
});

운영 환경에서는 HTTPS를 통해 제공될 때 secure: true를 항상 설정해야 합니다. 로컬 개발 중에는 HTTPS를 사용하지 않는 경우 secure: false를 일시적으로 설정할 수 있지만, 운영 환경에서는 절대 이렇게 해서는 안 됩니다. 최신 웹 프레임워크는 종종 환경 기반 구성을 통해 이를 관리합니다.

SameSite: 크로스 사이트 요청 위조 (CSRF) 완화

SameSite 속성은 CSRF 공격에 대한 강력한 방어 수단입니다. 쿠키가 사이트 간 요청과 함께 전송될 시점을 제어합니다. SameSite에는 세 가지 주요 값이 있습니다.

  • Lax: 쿠키는 최상위 탐색 (예: 링크 클릭) 및 타사 사이트의 GET 요청과 함께 전송됩니다. 현대 브라우저에서 SameSite가 명시적으로 지정되지 않은 경우 이 값이 종종 기본 동작입니다. 보안과 사용성 간의 좋은 균형을 제공합니다.
  • Strict: 쿠키는 동일한 사이트에서 시작된 요청에 대해서만 전송됩니다. CSRF에 대한 가장 강력한 보호를 제공하지만, 사이트 간 요청과 함께 쿠키 전송이 필요한 사이트의 기능(예: 외부 이메일에서 사용자를 사이트에 로그인시키는 링크 클릭)이 중단될 수 있습니다.
  • None: 쿠키는 사이트 간 요청을 포함한 모든 컨텍스트에서 전송됩니다. 그러나, SameSite=None으로 설정된 경우 Secure 속성이 반드시 함께 설정되어야 합니다. Secure가 누락되면 쿠키가 거부됩니다. 이는 일부 타사 위젯이나 임베디드 콘텐츠에 사용되는 쿠키와 같이 사이트 간 사용을 위해 특별히 의도된 쿠키에 사용됩니다.

구현 예시 (Node.js with Express):

이어서 Express 예시에서 SameSite 구현을 살펴보겠습니다.

const express = require('express');
const app = express();
const session = require('express-session');
// const https = require('https'); // 'Secure'를 위해 HTTPS 구성이 되었다고 가정

// ... (HTTPS를 사용하는 경우 SSL 인증서 로딩) ...

app.use(session({
  secret: 'your_another_secret_key',
  resave: false,
  saveUninitialized: false,
  cookie: {
    httpOnly: true,
    secure: process.env.NODE_ENV === 'production', // 환경에 따라 동적으로 설정
    maxAge: 3600000,
    sameSite: 'Lax' // 대부분의 애플리케이션에 권장되는 기본값
    // sameSite: 'Strict' // 더 안전하지만 사용자 경험에 영향을 줄 수 있습니다.
    // sameSite: 'None', // `secure: true`가 필요합니다.
  }
}));

// ... (로그인 및 대시보드 경로는 동일하게 유지) ...

// 운영 환경에서는 HTTPS 서버를 사용하세요
// httpsServer.listen(3001, () => { ... });
app.listen(3000, () => {
    console.log('HTTP Server running on port 3000 (for dev)');
});

이 수정된 예시에서는 NODE_ENV를 기반으로 secure 속성을 동적으로 설정하고 sameSite: 'Lax'를 명시적으로 설정하고 있습니다. sameSite: 'None'이 필요한 시나리오의 경우 secure: true도 함께 존재하도록 보장하는 것을 잊지 마세요. LaxStrict 간의 선택은 애플리케이션의 특정 요구 사항과 잠재적인 사이트 간 상호 작용을 신중하게 고려해야 합니다.

종합: 안전한 쿠키 전략

강력한 쿠키 인증을 위해 이러한 속성을 효과적으로 결합하는 것이 중요합니다. 운영 환경에서의 일반적인 안전한 쿠키 설정은 다음과 같습니다.

cookie: {
  httpOnly: true, // 항상 클라이언트 측 스크립트 접근 방지
  secure: true,   // 운영 환경에서는 항상 HTTPS를 통해 전송
  sameSite: 'Lax', // CSRF 보호와 사용 편의성 간의 좋은 균형
  maxAge: 3600000 // 쿠키 만료 시간 정의
}

이 조합은 가장 일반적인 쿠키 관련 취약점을 해결합니다.

  • HttpOnly는 XSS 공격자가 세션 ID를 훔치는 것을 방지합니다.
  • Secure는 쿠키가 암호화된 연결을 통해서만 전송되도록 보장하여 도청으로부터 보호합니다.
  • SameSite='Lax' (또는 요구 사항에 따라 Strict)는 사이트 간 쿠키 전달을 제어하여 CSRF 공격에 대한 상당한 보호를 제공합니다.

애플리케이션 시나리오

  • 표준 웹 애플리케이션: 대부분의 단일 페이지 애플리케이션 (SPA) 및 기존의 서버 렌더링 애플리케이션의 경우, httpOnly: true, secure: true, sameSite: 'Lax' (또는 Strict) 조합이 세션 쿠키에 이상적입니다.
  • 세션 기반 인증이 있는 API: API가 인증에 세션 쿠키를 사용하는 경우, 동일한 원칙이 적용됩니다. API 엔드포인트에 대해 이러한 속성이 올바르게 구성되었는지 확인하십시오.
  • 타사 통합: 쿠키가 사이트 간에 전송되어야 하는 특정 요구 사항이 있는 경우 (예: 분석, 추적 또는 임베디드 콘텐츠 용), sameSite: 'None'이 필요할 수 있지만, 이와 함께 secure: true의 엄격한 요구 사항을 기억하십시오.

결론: 안전한 웹 인증의 기둥

요약하자면, HttpOnly, Secure, SameSite는 선택 사항이 아니라 안전한 쿠키 기반 인증의 기본입니다. HttpOnly는 스크립트 접근을 제한하여 XSS로부터 보호하고, Secure는 HTTPS를 통한 암호화된 전송을 보장하며, SameSite는 사이트 간 쿠키 전달을 제어하여 CSRF 공격을 효과적으로 완화합니다. 이러한 속성을 신중하게 적용함으로써 백엔드 개발자는 웹 애플리케이션의 보안 태세를 크게 강화하여 사용자 세션이 일반적이고 치명적인 공격으로부터 보호되도록 할 수 있습니다. 기본적으로 안전하게 구축하는 것이 오늘날의 위협 환경에서 가장 중요합니다.

Share this article

HackerNews

More Posts from Leapcell

Popular Posts