시스매

인터넷 쿠키 완벽 핸드북 당신이 몰랐던 모든 것

17 min read

2025-09-05 00:26

  • 인터넷 쿠키는 서버가 사용자의 웹 브라우저에 전송하는 작은 데이터 조각으로, HTTP의 비상태성(Stateless) 문제를 해결하기 위해 만들어졌습니다.

  • 쿠키는 로그인 정보 유지, 장바구니, 개인화 설정 등 사용자 경험을 향상시키지만, 제3자 쿠키는 사용자 추적 및 광고에 활용되어 개인정보 보호 문제를 야기합니다.

  • 최근 브라우저들은 개인정보 보호를 강화하기 위해 제3자 쿠키 지원을 중단하고 있으며, 웹은 쿠키 없는(Cookieless) 시대로 전환되고 있습니다.

인터넷 쿠키 완벽 핸드북 당신이 몰랐던 모든 것

우리가 매일같이 사용하는 인터넷 세상은 수많은 기술의 집합체입니다. 그중에서도 ‘쿠키(Cookie)‘는 작지만 가장 핵심적인 역할을 수행하는 기술 중 하나입니다. “쿠키를 허용하시겠습니까?”라는 팝업에 무심코 ‘예’를 눌렀던 경험, 다들 있으시죠? 이 작은 데이터 조각이 어떻게 우리의 웹 경험을 편리하게 만들고, 때로는 개인정보 보호의 뜨거운 감자가 되는지, 지금부터 쿠키의 모든 것을 파헤쳐 보겠습니다.

1. 쿠키는 왜 태어났을까? HTTP의 건망증을 해결하기 위해

쿠키의 탄생 배경을 이해하려면 먼저 웹 통신의 기본 규칙인 **HTTP(HyperText Transfer Protocol)**의 가장 중요한 특징을 알아야 합니다. 바로 **‘비상태성(Stateless)‘**입니다.

상태가 없다는 것은, 서버가 클라이언트(사용자의 브라우저)의 이전 요청을 전혀 기억하지 못한다는 의미입니다. 마치 손님의 주문을 받을 때마다 “누구시죠?”라고 되묻는 점원과 같습니다.

[비유로 이해하기: 단골 카페의 점원]

  • HTTP만 있는 세상: 당신이 단골 카페에 가서 어제 마셨던 ‘아이스 아메리카노’를 주문한다고 상상해 보세요. 점원은 당신이 어제 왔었는지, 무엇을 주문했는지 전혀 기억하지 못합니다. 그래서 당신은 매번 “저는 OOO이고, 아이스 아메리카노 한 잔 주세요”라고 처음부터 다시 설명해야 합니다. 온라인 쇼핑몰이라면, 페이지를 옮길 때마다 로그인을 다시 하고 장바구니에 담았던 상품이 사라지는 불편함이 발생할 겁니다.

  • 쿠키가 있는 세상: 이때 점원이 당신에게 멤버십 카드(쿠키)를 발급해 줍니다. 당신은 계산할 때마다 이 카드를 보여주기만 하면 됩니다. 점원은 카드를 보고 “아, OOO님이시군요! 늘 드시던 아이스 아메리카노 맞으시죠?”라며 당신을 기억하고 이전 주문 기록을 바탕으로 더 나은 서비스를 제공할 수 있습니다.

이처럼 쿠키는 HTTP의 ‘건망증’을 보완하여, 서버가 사용자를 식별하고 이전 상태를 기억하게 해주는 **‘이름표’ 또는 ‘멤버십 카드’**와 같은 역할을 하기 위해 탄생했습니다.

2. 쿠키의 정체와 구조: 작은 데이터 조각 해부하기

쿠키는 서버에 의해 생성되어 사용자의 컴퓨터나 모바일 기기의 웹 브라우저에 저장되는 작은 텍스트 파일입니다. 이 파일은 Key-Value 쌍으로 이루어진 데이터 조각들로 구성되어 있습니다.

쿠키의 구조를 구성하는 주요 속성들은 다음과 같습니다.

속성 (Attribute)설명예시
Name쿠키의 이름입니다.userID
Value쿠키에 저장되는 값입니다. 이 값을 통해 서버는 사용자를 식별합니다.user1234
Expires/Max-Age쿠키의 만료 날짜 또는 최대 수명을 지정합니다. 이 시간이 지나면 쿠키는 자동으로 삭제됩니다. 지정하지 않으면 브라우저 종료 시 삭제되는 ‘세션 쿠키’가 됩니다.Expires=Sat, 07-Sep-2024 15:00:00 GMT
Domain쿠키가 전송될 서버의 도메인을 지정합니다. 지정된 도메인과 그 하위 도메인으로 요청할 때만 쿠키가 전송됩니다..example.com
Path쿠키가 전송될 도메인 내의 특정 경로를 지정합니다. 이 경로와 그 하위 경로에서만 쿠키가 활성화됩니다./cart
Secure이 속성이 설정되면, 쿠키는 반드시 HTTPS 프로토콜(암호화된 연결)을 통해서만 전송됩니다.Secure
HttpOnly이 속성이 설정되면, 자바스크립트의 document.cookie API로 쿠키에 접근할 수 없습니다. XSS(Cross-Site Scripting) 공격을 통해 쿠키를 탈취하는 것을 방지하는 데 도움이 됩니다.HttpOnly
SameSite다른 도메인에서 요청이 발생할 때 쿠키 전송 여부를 결정하는 중요한 보안 속성입니다. CSRF(Cross-Site Request Forgery) 공격을 방어하는 데 효과적입니다. (Strict, Lax, None)SameSite=Strict

3. 쿠키는 어떻게 일할까? 서버와 브라우저의 약속

쿠키의 작동 방식은 서버와 브라우저 간의 간단한 약속으로 이루어집니다.

  1. 최초 방문 및 쿠키 발급: 사용자가 웹사이트에 처음 방문하면, 브라우저는 서버에 페이지를 요청합니다.

  2. 서버의 응답과 Set-Cookie: 서버는 요청에 대한 응답을 보내면서, HTTP 응답 헤더(HTTP Response Header)에 Set-Cookie라는 필드를 포함시켜 쿠키를 생성하라고 브라우저에 명령합니다. (예: Set-Cookie: userID=user1234)

  3. 브라우저의 쿠키 저장: 브라우저는 서버로부터 받은 쿠키를 기기의 지정된 공간에 저장합니다.

  4. 재방문 및 쿠키 전송: 사용자가 동일한 웹사이트를 다시 방문하면, 브라우저는 HTTP 요청 헤더(HTTP Request Header)에 Cookie 필드를 포함시켜 저장해 두었던 쿠키를 서버로 다시 전송합니다. (예: Cookie: userID=user1234)

  5. 서버의 사용자 식별: 서버는 브라우저가 보낸 쿠키를 읽고 “아, user1234님이 다시 오셨군요!”라며 사용자를 식별합니다. 이를 통해 로그인 상태를 유지하거나, 장바구니에 담아둔 상품을 보여주거나, 사용자가 설정한 언어 환경을 제공하는 등 개인화된 서비스를 제공할 수 있습니다.

4. 쿠키의 두 얼굴: 퍼스트파티 vs 서드파티

쿠키는 누가 설정했느냐에 따라 크게 두 종류로 나뉩니다. 이 차이점을 이해하는 것이 현대 웹의 광고와 개인정보 보호 논란을 이해하는 핵심입니다.

퍼스트파티 쿠키 (First-Party Cookies)

  • 정의: 사용자가 직접 방문한 웹사이트(주소창에 표시되는 도메인)에 의해 직접 설정되는 쿠키입니다.

  • 역할: 로그인 정보 유지, 장바구니 기능, 언어 설정 등 웹사이트의 핵심 기능을 원활하게 만드는 긍정적인 역할을 주로 수행합니다.

  • 예시: example.com에 방문했을 때 example.com이 직접 발행한 쿠키.

서드파티 쿠키 (Third-Party Cookies, 제3자 쿠키)

  • 정의: 사용자가 방문한 웹사이트가 아닌, 외부의 다른 도메인에 의해 설정되는 쿠키입니다. 주로 광고나 분석 스크립트가 페이지에 포함될 때 생성됩니다.

  • 역할: 여러 웹사이트에 걸쳐 사용자의 방문 기록, 검색 기록, 관심사 등을 추적(Tracking)하여 맞춤형 광고를 제공하거나, 웹사이트 트래픽을 분석하는 데 사용됩니다.

  • 예시: 사용자가 뉴스 사이트 news.com을 방문했는데, 이 사이트에 ad-network.com의 광고 배너가 삽입되어 있습니다. 이때 ad-network.com이 사용자의 브라우저에 심는 쿠키가 바로 서드파티 쿠키입니다. 이 광고 네트워크는 사용자가 다른 사이트(예: 쇼핑몰 shop.com)에 방문했을 때도 동일한 쿠키를 통해 “아, 아까 뉴스 사이트에서 IT 기사를 보던 그 사람이구나!”라고 식별하고 관련 상품 광고를 보여줄 수 있습니다.

이러한 서드파티 쿠키의 ‘집요한 추적’ 능력 때문에 개인정보 보호에 대한 우려가 커졌고, 이는 결국 ‘쿠키리스(Cookieless)’ 시대를 여는 계기가 되었습니다.

5. 쿠키의 위기와 미래: ‘쿠키리스(Cookieless)’ 시대의 도래

서드파티 쿠키를 이용한 무분별한 사용자 추적은 심각한 개인정보 침해 문제로 이어졌습니다. 이에 따라 유럽의 GDPR, 캘리포니아의 CCPA 등 강력한 개인정보 보호 규제가 등장했고, 웹 브라우저들도 칼을 빼 들었습니다.

  • 애플(Safari), 모질라(Firefox): 일찍부터 ITP(Intelligent Tracking Prevention)와 같은 기능을 도입하여 서드파티 쿠키를 적극적으로 차단해왔습니다.

  • 구글(Chrome): 전 세계 브라우저 점유율 1위인 크롬 역시 2024년을 목표로 서드파티 쿠키 지원을 단계적으로 중단하겠다고 선언했습니다. 이는 온라인 광고 시장에 엄청난 지각 변동을 예고하는 사건입니다.

그렇다면 쿠키가 사라지면 어떻게 될까요?

정확히는 ‘모든’ 쿠키가 아니라, ‘서드파티 쿠키’가 사라지는 것입니다. 로그인 유지 등에 필요한 퍼스트파티 쿠키는 계속 사용됩니다.

웹 생태계는 서드파티 쿠키를 대체하기 위한 다양한 기술을 모색하고 있습니다.

  • 구글 프라이버시 샌드박스 (Google Privacy Sandbox): 사용자 개개인을 특정하는 대신, 비슷한 관심사를 가진 그룹(Topics API)으로 묶어 광고를 타겟팅하는 등 개인정보를 보호하면서 광고 효율을 유지하려는 시도입니다.

  • 컨텍스츄얼 광고 (Contextual Advertising): 사용자를 추적하는 대신, 현재 보고 있는 페이지의 콘텐츠(문맥)와 관련된 광고를 보여주는 방식입니다.

  • 통합 ID 솔루션 (Unified ID Solutions): 사용자의 동의를 기반으로 이메일이나 전화번호 등을 암호화하여 만든 식별자를 활용하는 방식입니다.

6. 사용자를 위한 쿠키 관리 가이드

우리는 브라우저 설정을 통해 쿠키를 직접 제어할 수 있습니다.

  • 쿠키 확인 및 삭제: 대부분의 브라우저 설정(보통 ‘개인정보 및 보안’ 또는 ‘인터넷 사용 기록 삭제’ 메뉴)에서 저장된 쿠키를 확인하고 개별적 또는 전체적으로 삭제할 수 있습니다.

  • 쿠키 설정 변경:

    • 모든 쿠키 허용

    • 모든 쿠키 차단 (※ 사이트 기능이 제대로 작동하지 않을 수 있음)

    • 서드파티 쿠키만 차단 (가장 권장되는 설정)

    • 브라우저 종료 시 모든 쿠키 삭제

쿠키를 주기적으로 삭제하면 개인정보 추적의 고리를 끊는 데 도움이 되지만, 저장된 로그인 정보나 사이트 설정이 모두 초기화되는 불편함이 따를 수 있으므로 신중하게 결정해야 합니다.

결론: 고마웠지만, 이제는 안녕을 고할 시간

쿠키는 지난 20여 년간 웹을 더욱 편리하고 개인화된 공간으로 만드는 데 혁혁한 공을 세웠습니다. 하지만 그 이면에서는 우리의 온라인 활동을 속속들이 들여다보는 감시자의 역할을 하기도 했습니다.

이제 웹은 서드파티 쿠키와의 작별을 준비하며, 개인정보 보호와 유용한 서비스 제공 사이의 새로운 균형점을 찾아가고 있습니다. 사용자로서 우리는 쿠키의 원리를 이해하고 스스로를 보호할 수 있는 지식을 갖추는 것이 중요합니다. 앞으로 펼쳐질 ‘쿠키리스’ 시대의 웹이 어떤 모습일지, 그리고 우리의 디지털 프라이버시는 어떻게 보호될지 주목해 볼 필요가 있습니다.

그래프 뷰

백링크