시스매

당신이 웹 개발자라면 반드시 알아야 할 세션의 모든 것

25 min read

2025-09-22 23:55

당신이 웹 개발자라면 반드시 알아야 할 세션의 모든 것

  • 세션은 서버에 사용자 정보를 저장하여 HTTP의 비상태성을 보완하고 사용자 경험을 향상시키는 핵심 기술.

  • 쿠키와 달리 중요한 정보는 서버에 저장하고 클라이언트에는 고유 식별자만 전달하여 보안성을 높임.

  • 분산 환경에서는 세션 불일치 문제가 발생할 수 있으며, 이를 해결하기 위해 스티키 세션, 세션 클러스터링, 중앙 저장소 등의 전략이 사용됨.

웹 개발의 세계를 여행하다 보면 ‘세션(Session)‘이라는 단어를 끊임없이 마주하게 된다. 로그인 기능을 구현할 때, 장바구니를 만들 때, 혹은 사용자의 이전 활동을 기억해야 할 때마다 세션은 어김없이 등장한다. 이토록 중요한 세션이지만, 우리는 과연 얼마나 깊이 있게 이해하고 있을까? 단순히 ‘로그인 유지 기능’ 정도로만 알고 있다면, 당신은 세션이라는 거대한 빙산의 일각만을 보고 있는 것이다.

이 핸드북은 세션의 탄생 배경부터 내부 구조, 동작 원리, 그리고 실전 활용법과 보안 위협, 나아가 분산 환경에서의 확장 전략까지, 세션에 대한 모든 것을 총망라하여 다룬다. 이 글을 끝까지 읽고 나면, 당신은 더 이상 세션을 막연하게 느끼지 않고, 자신감 있게 다루며 더 견고하고 효율적인 웹 애플리케이션을 구축할 수 있는 개발자로 거듭날 것이다.

1. 세션은 왜 태어났을까 HTTP의 치명적 약점

세션의 존재 이유를 이해하려면, 웹의 근간을 이루는 **HTTP(HyperText Transfer Protocol)**의 가장 큰 특징부터 알아야 한다. 바로 **비상태성(Stateless)**이다.

비상태성이란, 서버가 클라이언트의 이전 요청을 전혀 기억하지 못하는 특성을 의미한다. 클라이언트가 서버에 요청을 보내면, 서버는 그에 맞는 응답을 하고 연결을 끊는다. 그리고 잠시 후 같은 클라이언트가 다시 요청을 보내도, 서버는 “어, 아까 그 친구구나!”라고 알아보지 못하고 완전히 새로운 상대로 인식한다.

이는 마치 금붕어와 대화하는 것과 같다. 매번 “안녕, 나는 띵커벨이야”라고 자기소개를 해야만 대화가 이어질 수 있다. 웹의 초기에는 정적인 페이지만 보여주는 것이 전부였기에 이 비상태성이 큰 문제가 되지 않았다. 오히려 서버의 자원을 아끼고 더 많은 요청을 처리할 수 있는 장점이었다.

하지만 웹이 발전하면서 사용자와 상호작용하는 동적인 기능이 중요해졌다. 온라인 쇼핑몰을 생각해보자.

  1. 사용자가 로그인한다.

  2. 마음에 드는 상품을 장바구니에 담는다.

  3. 결제 페이지로 이동한다.

만약 HTTP가 비상태성이란 특징만 고수한다면, 2번 단계에서 상품을 담는 순간 서버는 이미 1번 단계에서 로그인했다는 사실을 잊어버린다. 3번 결제 페이지로 이동하면 장바구니에 상품을 담았다는 사실조차 기억하지 못할 것이다. 이런 환경에서는 정상적인 서비스가 불가능하다.

이러한 HTTP의 치명적인 약점을 보완하고, “상태”를 기억하게 만들기 위해 탄생한 기술이 바로 세션이다. 세션은 서버 측에 사용자의 정보를 저장하고, 각 사용자를 고유하게 식별할 수 있는 열쇠(Session ID)를 클라이언트에게 부여하여 연속적인 상호작용을 가능하게 만든다.

2. 세션의 구조와 동작 원리 서버와 클라이언트의 은밀한 약속

세션은 어떻게 사용자의 상태를 기억하는 것일까? 그 비밀은 서버 측 저장소와 **세션 ID(Session IDentifier)**의 긴밀한 협력에 있다.

2.1 세션의 핵심 요소

요소역할저장 위치비유
세션 저장소사용자의 상태 정보(로그인 여부, 장바구니 내용 등)를 실질적으로 저장하는 공간서버 메모리, 파일 시스템, 데이터베이스은행의 개인 금고
세션 ID각 세션 저장소를 구분하는 유일무이한 식별자. 암호화된 복잡한 문자열 형태클라이언트 (주로 쿠키에 저장)개인 금고 열쇠

2.2 세션의 동작 시나리오 (최초 방문 시)

사용자가 웹사이트에 처음 접속하여 서버에 특정 행동(예: 로그인)을 요청하면 다음과 같은 과정이 일어난다.

  1. 서버, 세션 저장소 생성: 서버는 해당 사용자를 위한 고유한 세션 저장소를 메모리나 파일 시스템 어딘가에 마련한다. 이 공간에 사용자의 정보(예: 회원 ID, 닉네임)를 저장한다.

  2. 서버, 세션 ID 발급: 서버는 생성된 세션 저장소를 식별할 수 있는 매우 길고 복잡하며 예측 불가능한 문자열, 즉 세션 ID를 생성한다.

  3. 서버, 클라이언트에 세션 ID 전달: 서버는 HTTP 응답 헤더(Set-Cookie)에 이 세션 ID를 담아 클라이언트(웹 브라우저)에게 전달한다.

  4. 클라이언트, 세션 ID 저장: 웹 브라우저는 서버로부터 받은 세션 ID를 **쿠키(Cookie)**라는 특별한 저장 공간에 보관한다. 이 쿠키는 해당 도메인에 접속할 때마다 자동으로 요청 헤더에 포함되도록 설정된다.

이 과정을 거치면, 클라이언트는 ‘금고 열쇠(세션 ID)‘를, 서버는 ‘열쇠에 맞는 금고(세션 저장소)‘를 각각 가지게 되어 둘만의 은밀한 약속이 성립된다.

2.3 세션의 동작 시나리오 (재방문 시)

이제 사용자가 같은 웹사이트 내에서 다른 페이지로 이동하거나 새로운 요청을 보낸다고 가정해보자.

  1. 클라이언트, 세션 ID와 함께 요청: 웹 브라우저는 서버에 HTTP 요청을 보낼 때, 쿠키 저장소에 보관하고 있던 세션 ID를 자동으로 요청 헤더(Cookie)에 포함시켜 전송한다.

  2. 서버, 세션 ID 확인 및 정보 조회: 서버는 클라이언트가 보낸 요청 헤더에서 세션 ID를 확인한다.

  3. 서버, 상태 정보 활용: 서버는 해당 세션 ID와 매칭되는 자신의 세션 저장소를 찾아 그 안에 저장된 정보(예: 로그인 상태)를 읽어온다.

  4. 서버, 맞춤형 응답: 서버는 “아, 이 사용자는 이미 로그인한 상태구나!”라는 것을 인지하고, 그에 맞는 개인화된 페이지나 데이터를 응답으로 보내준다.

이처럼 세션 ID라는 열쇠 덕분에 서버는 매번 새로운 사용자로 취급하는 대신, 이전의 상태를 기억하고 연속적인 서비스를 제공할 수 있게 되는 것이다.

3. 세션 사용법 실전 예제 (feat. Node.js Express)

개념만으로는 와닿지 않을 수 있다. 가장 널리 쓰이는 웹 프레임워크 중 하나인 Node.js의 Express와 express-session 미들웨어를 사용하여 세션이 실제로 어떻게 사용되는지 살펴보자.

JavaScript

const express = require('express');
const session = require('express-session');
const app = express();

// 1. 세션 미들웨어 설정
app.use(session({
  secret: 'your-very-secret-key', // 세션 ID 쿠키를 서명하는데 사용되는 비밀키. 외부에 노출되면 안 됨
  resave: false,                 // 세션이 변경되지 않아도 항상 다시 저장할지 여부
  saveUninitialized: true,       // 초기화되지 않은 세션을 저장소에 저장할지 여부
  cookie: { 
    secure: false,               // true로 설정 시 https에서만 쿠키 전송
    maxAge: 1000 * 60 * 60       // 쿠키 유효 기간 (1시간)
  }
}));

// 2. 로그인 라우터 (세션 생성)
app.get('/login', (req, res) => {
  // 실제로는 DB에서 사용자 정보를 확인하는 로직이 필요
  const user = { id: 'testuser', name: '띵커벨' };

  if (user) {
    // req.session 객체에 사용자 정보를 저장
    req.session.user = user;
    console.log('세션이 생성되었습니다:', req.session);
    res.send(`${req.session.user.name}님, 환영합니다!`);
  } else {
    res.status(401).send('로그인 실패');
  }
});

// 3. 마이페이지 라우터 (세션 조회)
app.get('/mypage', (req, res) => {
  // req.session 객체에 user 정보가 있는지 확인
  if (req.session.user) {
    console.log('저장된 세션 정보:', req.session);
    res.send(`여기는 ${req.session.user.name}님의 마이페이지입니다.`);
  } else {
    res.status(403).send('로그인이 필요한 서비스입니다.');
  }
});

// 4. 로그아웃 라우터 (세션 파괴)
app.get('/logout', (req, res) => {
  req.session.destroy(err => {
    if (err) {
      return res.status(500).send('로그아웃 실패');
    }
    // 세션 삭제 후 쿠키도 만료시킴
    res.clearCookie('connect.sid'); // express-session의 기본 쿠키 이름
    res.send('로그아웃 되었습니다.');
  });
});

app.listen(3000, () => {
  console.log('서버가 3000번 포트에서 실행 중입니다.');
});

  • 1단계 (설정): express-session 미들웨어를 불러와 app.use()로 적용한다. secret 키는 세션 ID 쿠키의 변조를 막기 위한 필수 옵션이다.

  • 2단계 (생성): /login 경로로 요청이 오면, req.session 객체에 user라는 속성을 만들어 사용자 정보를 저장한다. 이 코드가 실행되는 순간 서버는 세션 저장소를 만들고, 클라이언트에게 세션 ID가 담긴 쿠키를 보낸다.

  • 3단계 (조회): /mypage 경로에서는 req.session.user가 존재하는지 확인하여 로그인 여부를 판단한다. 클라이언트가 요청 시 보낸 쿠키의 세션 ID를 통해 서버가 올바른 세션 정보를 찾아 req.session 객체에 되살려주기 때문에 가능한 일이다.

  • 4단계 (파괴): /logout 경로에서는 req.session.destroy() 메소드를 호출하여 서버의 세션 저장소에 있는 데이터를 완전히 삭제한다. 클라이언트의 쿠키도 함께 제거하여 연결을 완전히 끊는다.

4. 심화 내용 더 깊은 세션의 세계로

세션의 기본 원리를 이해했다면, 이제 실무에서 마주할 수 있는 더 깊은 주제들을 탐험할 차례다.

4.1 세션 vs 쿠키 vs JWT, 무엇이 다른가?

세션과 자주 비교되는 기술로 쿠키(Cookie)와 JWT(JSON Web Token)가 있다. 이들의 차이점을 명확히 이해하는 것은 중요하다.

구분세션 (Session)쿠키 (Cookie)JWT (JSON Web Token)
정보 저장 위치서버클라이언트 (브라우저)클라이언트 (로컬 스토리지, 쿠키 등)
보안비교적 높음 (중요 정보는 서버에 저장)낮음 (클라이언트에 저장되어 탈취/변조 위험)서명(Signature)을 통해 데이터 위변조 방지
상태 유지상태 유지 (Stateful), 서버에 부하상태 비유지 (Stateless), 서버 부담 적음상태 비유지 (Stateless), 서버 부담 적음
확장성분산 환경에서 세션 불일치 문제 발생 가능클라이언트 측에만 저장되므로 확장성 좋음토큰 기반으로 확장성이 매우 뛰어남
데이터 크기세션 ID만 전달하여 크기 작음4KB 용량 제한, 매 요청 시 전송되어 부담페이로드에 따라 크기가 커질 수 있음
주요 사용처로그인 정보 유지, 장바구니 등 서버에 상태 저장이 중요한 경우자동 로그인, 팝업 다시 보지 않기 등 보안에 덜 민감한 정보API 인증/인가, 마이크로서비스 간 통신

핵심 요약:

  • 세션: 중요한 정보는 서버 금고에, 클라이언트는 열쇠(세션 ID)만 가짐.

  • 쿠키: 모든 정보를 클라이언트가 직접 들고 다님. (보안 취약)

  • JWT: 서버의 서명이 담긴 위임장. 그 자체로 정보를 포함하고 있어 서버에 확인할 필요 없음. (Stateless)

4.2 세션 하이재킹과 보안 전략

세션은 편리하지만, 그만큼 보안에 신경 써야 한다. 가장 대표적인 공격 기법이 **세션 하이재킹(Session Hijacking)**이다. 이는 공격자가 다른 사용자의 세션 ID를 탈취하여 그 사용자인 척 위장하는 공격이다.

세션 ID가 탈취되는 경로

  • XSS(Cross-Site Scripting): 공격자가 웹사이트에 악성 스크립트를 삽입하여, 해당 스크립트가 실행될 때 사용자의 쿠키(세션 ID)를 훔쳐가는 방식.

  • 네트워크 스니핑(Sniffing): 암호화되지 않은(http) 네트워크 통신을 도청하여 세션 ID를 가로채는 방식.

  • 추측 가능한 세션 ID: 세션 ID가 충분히 무작위적이지 않고 예측 가능한 패턴을 가질 경우, 공격자가 이를 추측하여 접근하는 방식.

보안 강화 전략

  1. HTTPS 사용 필수: 모든 통신을 SSL/TLS로 암호화하여 네트워크 스니핑을 원천 차단한다.

  2. HttpOnly 쿠키 옵션 사용: document.cookie와 같은 자바스크립트 코드로 쿠키에 접근하는 것을 막아 XSS 공격으로 세션 ID가 탈취될 가능성을 줄인다. express-session에서는 cookie: { httpOnly: true } 옵션으로 설정할 수 있다.

  3. 세션 만료 시간 설정: 사용자가 활동하지 않을 때 일정 시간이 지나면 세션을 자동으로 만료시켜 탈취된 세션 ID의 유효 기간을 최소화한다.

  4. 로그인 시 세션 ID 재발급: 사용자가 로그인에 성공하는 순간, 기존 세션 ID를 파기하고 새로운 세션 ID를 발급(Session Regeneration)하여 ‘세션 고정(Session Fixation)’ 공격을 방어한다.

4.3 서버가 여러 대라면? 분산 환경에서의 세션 관리

웹 서비스의 규모가 커져 한 대의 서버로 트래픽을 감당할 수 없게 되면, 여러 대의 서버를 두는 로드 밸런싱(Load Balancing) 환경을 구축하게 된다. 이때 세션은 심각한 문제에 직면한다.

문제 상황:

  1. 사용자가 서버 A에 접속하여 로그인하고 세션을 생성했다.

  2. 이후 다른 페이지로 이동하는데, 로드 밸런서가 이번에는 사용자의 요청을 서버 B로 보냈다.

  3. 서버 B서버 A가 만든 세션 정보를 가지고 있지 않으므로, 이 사용자를 처음 보는 손님으로 취급한다. 결국 사용자는 로그인이 풀리는 현상을 겪게 된다.

이를 세션 불일치(Session Inconsistency) 문제라고 하며, 해결을 위한 대표적인 전략은 다음과 같다.

  1. 스티키 세션 (Sticky Session)

    • 원리: 로드 밸런서가 특정 사용자의 첫 요청을 처리한 서버를 기억했다가, 이후 해당 사용자의 모든 요청을 계속해서 그 서버로만 보내주는 방식. IP 주소나 쿠키를 기반으로 사용자를 식별한다.

    • 장점: 구현이 간단하고 직관적이다.

    • 단점: 특정 서버에 트래픽이 몰릴 수 있고, 그 서버에 장애가 발생하면 해당 서버에 세션이 있던 모든 사용자의 세션 정보가 유실된다.

  2. 세션 클러스터링 (Session Clustering)

    • 원리: 여러 서버가 서로 세션 정보를 실시간으로 복제하고 공유하는 방식. 서버 A에서 세션이 생성되면, 그 정보가 서버 B, 서버 C에도 즉시 복사된다.

    • 장점: 한 서버에 장애가 발생해도 다른 서버에 세션 정보가 남아있어 서비스 연속성이 보장된다.

    • 단점: 서버 간의 세션 복제 과정에서 네트워크 부하가 발생할 수 있으며, 서버 수가 많아질수록 복잡도가 증가한다.

  3. 세션 스토리지 분리 (Centralized Session Store)

    • 원리: 세션 정보를 웹 서버(WAS) 내부가 아닌, 모든 서버가 접근할 수 있는 외부의 중앙 저장소에 저장하는 방식. RedisMemcached와 같은 인메모리(In-Memory) 데이터베이스가 주로 사용된다.

    • 장점: 서버가 몇 대로 늘어나든 상태 관리가 용이하며(Stateless 서버 구현 가능), 특정 서버 장애에 영향을 받지 않는다. 확장성과 안정성이 가장 뛰어나다.

    • 단점: 별도의 세션 저장소(Redis 등)를 구축하고 관리해야 하는 비용과 복잡성이 추가된다. 저장소에 장애가 발생하면 전체 서비스에 영향을 미친다.

현대의 대규모 웹 서비스에서는 대부분 세션 스토리지 분리 방식을 채택하여 확장성과 안정성을 확보하고 있다.

5. 결론 세션을 넘어 더 나은 개발자로

지금까지 우리는 세션이라는 기술이 단순한 로그인 유지를 넘어, 웹의 근본적인 한계를 극복하기 위해 얼마나 정교하게 설계되었는지 살펴보았다. 비상태성이라는 HTTP의 태생적 제약을 ‘상태’라는 기억으로 채워 넣어, 오늘날 우리가 당연하게 누리는 풍부한 웹 경험을 가능하게 만든 핵심 열쇠가 바로 세션이다.

세션의 탄생 배경을 이해하는 것은 웹의 역사를 이해하는 것이고, 그 동작 원리를 파고드는 것은 서버와 클라이언트의 통신 방식을 꿰뚫는 것이다. 나아가 보안 위협을 학습하고 분산 환경에서의 관리 전략을 고민하는 것은, 단순히 코드를 작성하는 개발자를 넘어 안정적이고 확장 가능한 시스템을 설계하는 아키텍트로 성장하는 과정이다.

이제 당신은 세션을 마주했을 때, 그저 req.session이라는 코드 한 줄을 떠올리는 대신, 그 뒤에서 벌어지는 서버와 클라이언트의 약속, 세션 ID의 여정, 그리고 수많은 보안과 확장성 고민의 흔적들을 그려낼 수 있을 것이다. 이 깊이 있는 이해가 당신을 더 나은 개발자로 이끌어 줄 것이라 확신한다.

그래프 뷰