쿠키(Cookie)와 세션(Session)

쿠키와 세션이라는 말을 컴퓨터 관련 전공자가 아니어도 많이 들어봤을 것이다. 이 쿠키와 세션은 무엇이고 왜 쓰는 것일까?

 

우리는 웹 브라우저를 사용하면 HTTP 프로토콜을 사용하여 웹 서버와 통신하는 것을 안다. 그런데 HTTP는 다음과 같은 특성이 있다.

HTTP의 Stateless

• HTTP는 무상태(Stateless) 프로토콜이다.
• 즉, HTTP는 상태를 유지하지 않는다는 것이다.
• 쉽게 말하면 클라이언트(웹 브라우저)와 서버는 요청과 응답을 주고받으면 연결이 끊어지고, 이 요청이 끊어지면 더 이상 전의 요청을 기억하지 못한다는 것이다.

HTTP는 이런 특성이 있는데, 어떻게 우리는 웹 브라우저의 어떤 사이트에 로그인을 하면 장기간 지속될 수 있는 것일까? 분명히 컴퓨터를 껏다가 키면 로그인을 다시해야 하는데 로그인이 되어있는 것을 자주 보았을 것이다.(물론 아닌 웹 사이트도 존재한다). 이 비밀은 모두 쿠키와 세션에 숨어있다.

 

물론 쿠키와 세션을 사용하지 않아도 클라이언트가 어떤 리소스를 웹 서버로 부터 불러올 때마다 로그인 정보를 항상 웹 서버로 넘겨주면 지속적으로 로그인이 되어있을 수 있다. 하지만 이렇게 지속적으로 URL이나 Message Body로 로그인 정보를 넘겨준다면 보안적인 문제가 발생할 수 있어서 쿠키와 세션을 사용하는 것이다. 그렇다면 쿠키와 세션은 무엇일까?

 

쿠키(Cookie)

쿠키는 위의 상황 그대로 어떤 저장소에 내 로그인 정보를 일정시간 저장해 두는 것이다. 즉, 다시말해서 우리는 로그인을 처음 시도할 때, 로그인 정보를 웹 브라우저에 보낼 것이다. 이 떄, 로그인 정보를 쿠키 저장소에 일정 시간동안 보관해두어 나중에 다시 로그인이 되어있나 안되어있나 확인할 때, 쿠키 저장소에 있는 것을 확인하여 로그인을 유지시킬 수 있는 것이다.

 

쿠키에 로그인 정보가 들어가 있을 때, 항상 이것을 저장해 놓는다면 보안적인 측면에서 위험이 생길 수 있으니 만료일이 존재한다. 쿠키는 만료 날짜를 입력, 생략을 기준으로 두 가지 쿠키 종류가 존재하는데 다음과 같다.

• 세션 쿠키: 만료 날짜를 생략하면 웹 브라우저 종료시까지 유지된다.
• 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지된다.

쿠키 동작원리

1. 클라이언트가 정보를 담아서 페이지를 요청한다.
2. 웹 서버는 쿠키를 생성해서 클라이언트가 보낸 정보를 담아서 반환한다.
3. 넘겨받은 쿠키는 사용자의 로컬 쿠키 저장소에 저장되고 다음에 동일한 쿠키를 요청할 때 해당 쿠키와 함께 서버에 요청하게 된다.

쿠키 사용예시

1. 방문했던 사이트에 다시 방문했을 때 아이디와 비밀번호 자동입력
2. 팝업창을 통해서 "오늘 이 창을 다시보지 않기" 체크

세션(Session)과 쿠키(Cookie)

세션도 쿠키와 비슷한 느낌으로 사용하는 것으로 HTTP의 무상태를 극복하기 위해서 사용한다. 세션과 쿠키의 차이점은 크게 상태정보의 저장 위치라고 볼 수 있다. 쿠키는 클라이언트(로컬PC)에 저장하고, 세션은 서버에 저장한다.

 

그렇다면 언제 세션을 사용하고 언제 쿠키를 사용해야 할까?

 

세션은 보안적인 측면이 쿠키보다 우수하지만 서버 자원을 사용하기 때문에 사용자가 많을 경우 소모되는 자원이 상당히 많다. 이와는 반대로 상대적으로 쿠키는 보안적인 측면이 약하고 로컬 자원을 사용하기 때문에 소모되는 자원의 값이 싼편이다. 따라서 세션은 강한 보안이 필요한 데이터에 사용하고, 보안적인 측면을 고려하지 않아도 될 때 쿠키를 사용하는 것이 좋겠다.

세션(Session)

세션은 일정 시간동안 같은 사용자(브라우저)로부터 들어오는 일련의 요구를 하나의 상태로 보고, 그 상태를 일정하게 유지시키는 기술이다. 여기서 일정시간은 방문자가 웹 브라우저를 통해 웹 서버에 접속한 시점으로부터 웹 브라우저를 종료하며 연결을 끝내는 시점을 말한다. 이 세션의 정의를 따르면 쿠키와 다르게 세션 만료시간을 정할 수는 없고 무조건 웹 브라우저의 종료와 동시에 세션이 사라진다는 것을 알 수 있다. 

 

즉, 세션의 정의를 정리하자면 방문자가 웹 서버에 접속해 있는 상태를 하나의 단위로 보고 그것을 세션이라고 한다.

 

그리고 세션은 아까 쿠키와 비교해서 설명했을 때 말했듯이 보안적인 측면이 쿠키보다 우수하다. 왜냐하면 세션은 브라우저를 닫거나, 서버에서 세션을 삭제하였을 때 만료되기 때문이다. 또한 세션은 서버의 자원을 사용하기 때문에 서버의 용량이 제한이 없는 한 쿠키보다 용량적인 부분에 있어서 넉넉하다.

 

세션 동작원리

1. 클라이언트가 정보를 담아서 페이지를 요청한다.
2. 서버는 Request-Header 필드의 Cookie를 확인하여 현재 페이지의 session-id를 보냈는지 확인한다.
3. session-id가 없으면 서버는 session-id를 생성하여 클라이언트에게 돌려준다.
4. 서버에서는 클라이언트에게 전달한 session-id를 쿠키를 사용하여 서버에 저장하는데, 이름을 JSESSIONID로 저장한다.
5. 클라이언트는 재접속 시, 이 쿠키(JSESSIONID)를 사용하여 session-id 값을 서버에 전달한다.

세션 사용예시

1. 화면을 이동해서 로그인이 풀리지 않고 로그아웃 전까지 유지된다.