Session-Based Auth vs. Cookie-Based Auth

Session-Based Auth vs. Cookie-Based Auth

웹 애플리케이션에서 사용자 인증은 보안의 핵심 요소이다. 인증 시스템은 사용자의 신원을 확인하고, 인증된 사용자에게 적절한 권한을 부여하는 중요한 역할을 한다. 세션 기반 인증과 쿠키 기반 인증은 가장 널리 사용되는 두 가지 인증 메커니즘으로, 많은 사람들이 이 두 용어를 혼동하는 경우가 있다. 이 두 방식은 밀접하게 연관되어 있지만, 구현 방식과 보안 특성에서 중요한 차이점이 있다.

기본 개념 이해

쿠키(Cookie)란?

쿠키는 웹 서버가 사용자의 브라우저에 저장하는 작은 텍스트 파일이다.

쿠키는 주로 다음과 같은 용도로 사용된다:

1. 상태 유지: HTTP는 기본적으로 무상태(stateless) 프로토콜이므로, 쿠키는 상태 정보를 유지하는 메커니즘을 제공한다.
2. 사용자 선호도 저장: 사용자 설정, 테마 선택 등을 저장한다.
3. 추적 및 분석: 사용자 행동을 추적하고 분석하는 데 사용된다.
4. 인증 정보 저장: 사용자의 로그인 상태를 유지하는 데 사용된다.

세션(Session)이란?

세션은 사용자와 웹 사이트 간의 상호작용 상태를 저장하는 서버 측 데이터 구조이다. 세션은 일반적으로 사용자가 웹 사이트에 로그인할 때 생성되고, 로그아웃하거나 일정 시간이 지나면 종료된다. 세션 데이터는 서버에 저장되며, 클라이언트는 세션을 식별하는 고유 ID만 보유한다.

쿠키 기반 인증(Cookie-Based Authentication)

쿠키 기반 인증은 HTTP 쿠키를 사용하여 사용자의 인증 상태를 유지하는 방식이다. 이 방식은 클라이언트 측에 인증 정보를 직접 저장한다.

작동 원리

1. 사용자 로그인: 사용자가 자격 증명(사용자 이름/비밀번호)을 제출한다.
2. 서버 검증: 서버는 자격 증명을 검증한다.
3. 쿠키 생성: 검증이 성공하면, 서버는 사용자 인증 정보가 포함된 쿠키를 생성한다.
4. 쿠키 전송: 서버는 Set-Cookie HTTP 헤더를 통해 클라이언트에 쿠키를 전송한다.
5. 쿠키 저장: 브라우저는 이 쿠키를 저장한다.
6. 후속 요청: 브라우저는 동일한 도메인에 대한 모든 후속 요청에 쿠키를 자동으로 포함시킨다.
7. 쿠키 검증: 서버는 각 요청에 포함된 쿠키를 검증하여 사용자의 인증 상태를 확인한다.

구현 예제 (Node.js/Express)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

const express = require('express');
const cookieParser = require('cookie-parser');
const app = express();

app.use(express.json());
app.use(cookieParser('your-secret-key')); // 서명된 쿠키를 위한 비밀 키

// 사용자 데이터베이스 (실제로는 DB에 저장)
const users = [
  { id: 1, username: 'user1', password: 'password1' }
];

app.post('/login', (req, res) => {
  const { username, password } = req.body;
  
  // 사용자 인증
  const user = users.find(u => u.username === username && u.password === password);
  if (!user) {
    return res.status(401).json({ message: '인증 실패' });
  }
  
  // 인증 쿠키 설정
  res.cookie('authUser', JSON.stringify({ id: user.id, username: user.username }), {
    httpOnly: true,
    secure: process.env.NODE_ENV === 'production',
    signed: true,
    maxAge: 3600000 // 1시간
  });
  
  res.json({ message: '로그인 성공' });
});

app.get('/profile', (req, res) => {
  // 쿠키에서 사용자 정보 읽기
  const userCookie = req.signedCookies.authUser;
  
  if (!userCookie) {
    return res.status(401).json({ message: '인증 필요' });
  }
  
  const user = JSON.parse(userCookie);
  res.json({ user });
});

app.post('/logout', (req, res) => {
  // 쿠키 삭제
  res.clearCookie('authUser');
  res.json({ message: '로그아웃 성공' });
});

app.listen(3000, () => {
  console.log('서버 시작: 포트 3000');
});

장점

1. 구현 단순성: 쿠키는 HTTP 프로토콜에 내장되어 있어 구현이 비교적 간단하다.
2. 브라우저 호환성: 모든 브라우저가 쿠키를 지원한다.
3. 저장 용이성: 쿠키는 브라우저에 자동으로 저장되고 요청 시 자동으로 전송된다.
4. 상태 유지: HTTP의 무상태 특성을 극복하여 상태를 유지할 수 있다.

단점

1. 보안 취약성: 쿠키는 XSS(Cross-Site Scripting) 공격에 취약할 수 있다.
2. 용량 제한: 쿠키는 일반적으로 4KB로 제한된다.
3. 대역폭 오버헤드: 쿠키는 모든 HTTP 요청에 포함되어 대역폭을 소비한다.
4. CSRF 취약성: 적절한 보호 없이는 CSRF(Cross-Site Request Forgery) 공격에 취약하다.
5. 클라이언트 측 조작: 사용자가 쿠키를 수정할 가능성이 있다(서명된 쿠키로 일부 완화 가능).

세션 기반 인증(Session-Based Authentication)

세션 기반 인증은 서버 측에 사용자 상태 정보를 저장하고, 클라이언트에는 세션을 식별하는 고유 ID만 제공하는 방식이다.

작동 원리

1. 사용자 로그인: 사용자가 자격 증명을 제출한다.
2. 서버 검증: 서버는 자격 증명을 검증한다.
3. 세션 생성: 검증이 성공하면, 서버는 새로운 세션을 생성하고 고유한 세션 ID를 할당한다.
4. 세션 저장: 서버는 세션 데이터(사용자 ID, 권한 등)를 메모리, 데이터베이스 또는 캐시 시스템에 저장한다.
5. 세션 ID 전송: 서버는 세션 ID를 쿠키로 클라이언트에 전송한다.
6. 후속 요청: 브라우저는 세션 ID가 포함된 쿠키를 자동으로 요청에 포함시킨다.
7. 세션 검증: 서버는 세션 ID를 사용하여 저장된 세션 데이터를 조회하고 사용자의 인증 상태를 확인한다.

구현 예제 (Node.js/Express)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63

const express = require('express');
const session = require('express-session');
const app = express();

app.use(express.json());

// 세션 미들웨어 설정
app.use(session({
  secret: 'your-secret-key',
  resave: false,
  saveUninitialized: false,
  cookie: {
    httpOnly: true,
    secure: process.env.NODE_ENV === 'production',
    maxAge: 3600000 // 1시간
  }
}));

// 사용자 데이터베이스 (실제로는 DB에 저장)
const users = [
  { id: 1, username: 'user1', password: 'password1' }
];

app.post('/login', (req, res) => {
  const { username, password } = req.body;
  
  // 사용자 인증
  const user = users.find(u => u.username === username && u.password === password);
  if (!user) {
    return res.status(401).json({ message: '인증 실패' });
  }
  
  // 세션에 사용자 정보 저장
  req.session.user = {
    id: user.id,
    username: user.username
  };
  
  res.json({ message: '로그인 성공' });
});

app.get('/profile', (req, res) => {
  // 세션에서 사용자 정보 확인
  if (!req.session.user) {
    return res.status(401).json({ message: '인증 필요' });
  }
  
  res.json({ user: req.session.user });
});

app.post('/logout', (req, res) => {
  // 세션 삭제
  req.session.destroy(err => {
    if (err) {
      return res.status(500).json({ message: '로그아웃 중 오류 발생' });
    }
    res.json({ message: '로그아웃 성공' });
  });
});

app.listen(3000, () => {
  console.log('서버 시작: 포트 3000');
});

세션 저장소 옵션

세션 기반 인증에서는 세션 데이터를 다양한 방식으로 저장할 수 있다:

1. 메모리 저장: 애플리케이션 서버의 메모리에 세션 데이터를 저장한다.
   • 장점: 빠른 접근 속도
   • 단점: 서버 재시작 시 모든 세션 손실, 다중 서버 환경에서는 세션 공유 문제
2. 데이터베이스 저장: 관계형 또는 NoSQL 데이터베이스에 세션 데이터를 저장한다.
   • 장점: 영구 저장, 다중 서버 환경에서 세션 공유 가능
   • 단점: 상대적으로 느린 접근 속도, 데이터베이스 부하 증가
3. 분산 캐시 시스템: Redis, Memcached와 같은 인메모리 캐시 시스템에 세션 데이터를 저장한다.
   • 장점: 빠른 접근 속도, 다중 서버 환경에서 세션 공유 가능, 확장성
   • 단점: 추가 인프라 필요, 관리 복잡성 증가

장점

1. 보안 강화: 인증 데이터가 서버에 안전하게 저장되므로 클라이언트 측 조작이 불가능하다.
2. 세션 제어: 서버에서 세션을 완전히 제어할 수 있으며, 필요한 경우 즉시 무효화할 수 있다.
3. 데이터 유연성: 세션에 다양한 사용자 관련 데이터를 저장할 수 있다.
4. 클라이언트 최소 노출: 클라이언트는 의미 없는 세션 ID만 저장하므로 중요 정보가 노출되지 않는다.

단점

1. 서버 부하: 모든 활성 세션을 서버에 저장해야 하므로 서버 리소스 사용량이 증가한다.
2. 확장성 문제: 다중 서버 환경에서는 세션 데이터를 공유하기 위한 추가 메커니즘이 필요하다.
3. 성능 오버헤드: 각 요청마다 세션 데이터를 조회해야 하므로 일정한 성능 오버헤드가 발생한다.
4. 상태 의존성: 서버가 상태를 유지해야 하므로 완전한 무상태 아키텍처를 구현하기 어렵다.

세션 기반 인증 vs. 쿠키 기반 인증: 상세 비교

두 인증 방식 간의 차이와 유사점을 더 깊이 살펴보겠습니다:

공통점

1. HTTP 쿠키 사용: 두 방식 모두 클라이언트와 서버 간의 상태 정보 전달을 위해 HTTP 쿠키 메커니즘을 사용한다.
2. 무상태 HTTP 프로토콜 보완: 두 방식 모두 기본적으로 무상태인 HTTP 프로토콜에 상태 유지 기능을 추가한다.
3. 보안 고려사항: 두 방식 모두 XSS, CSRF와 같은 웹 보안 위협에 대한 보호 메커니즘이 필요하다.

근본적인 차이점

가장 중요한 차이점은 인증 상태 정보의 저장 위치이다:

• 쿠키 기반 인증: 인증 정보가 쿠키에 직접 저장되어 클라이언트 측에 유지된다.
• 세션 기반 인증: 인증 정보가 서버 측에 저장되고, 클라이언트는 이 정보에 접근하기 위한 세션 ID만 가지고 있다.
  이 근본적인 차이로 인해 여러 파생적 차이점이 발생한다.

보안 측면의 비교

1. 데이터 노출:
   • 쿠키 기반: 인증 데이터가 클라이언트에 노출되므로 잠재적 위험이 더 크다.
   • 세션 기반: 중요 데이터는 서버에 안전하게 보관되므로 노출 위험이 낮다.
2. 조작 위험:
   • 쿠키 기반: 쿠키를 조작하여 인증 우회 시도가 가능하다(서명된 쿠키로 완화 가능).
   • 세션 기반: 세션 ID만으로는 서버의 세션 데이터를 조작할 수 없다.
3. 세션 하이재킹:
   • 쿠키 기반: 쿠키가 탈취되면 인증 정보가 직접 유출될 수 있다.
   • 세션 기반: 세션 ID가 탈취되면 세션을 하이재킹할 수 있지만, 서버에서 세션을 무효화할 수 있다.

성능 및 확장성 비교

1. 서버 부하:
   • 쿠키 기반: 서버가 상태를 유지할 필요가 없어 리소스 사용량이 적다.
   • 세션 기반: 모든 활성 세션을 관리해야 하므로 서버 리소스를 더 많이 사용한다.
2. 확장성:
   • 쿠키 기반: 서버 상태가 없으므로 수평적 확장이 용이하다.
   • 세션 기반: 여러 서버 간에 세션 데이터를 공유하기 위한 추가 메커니즘이 필요하다.
3. 대역폭 사용:
   • 쿠키 기반: 쿠키에 더 많은 데이터가 포함되어 요청 크기가 증가할 수 있다.
   • 세션 기반: 세션 ID만 전송되므로 요청 크기가 작다.

사용 사례별 적합성

1. 단일 서버 애플리케이션:

   • 쿠키 기반: 적합하지만 보안에 추가 주의 필요
   • 세션 기반: 매우 적합, 구현이 간단하고 안전함

2. 마이크로서비스 아키텍처:

   • 쿠키 기반: 상태를 유지하지 않아 적합할 수 있음
   • 세션 기반: 분산 세션 저장소가 없으면 적합하지 않음

3. 모바일 API:

   • 쿠키 기반: 모바일 환경에서 쿠키 지원이 제한적일 수 있음
   • 세션 기반: 세션 ID 전달을 위한 대체 메커니즘 필요

혼동되는 부분 명확화

쿠키 기반 인증과 세션 기반 인증에 대한 혼동이 발생하는 주된 이유는 세션 기반 인증도 일반적으로 쿠키를 사용하여 세션 ID를 전달하기 때문이다.
이 때문에 두 가지를 동일하게 생각하는 경우가 많다.

주요 차이점을 명확히 하면:

1. 쿠키 기반 인증:
   • 인증 데이터 자체가 쿠키에 저장된다.
   • 서버는 쿠키의 내용만으로 인증 결정을 내린다.
   • 서버는 클라이언트 상태에 대한 정보를 유지하지 않는다.
2. 세션 기반 인증:
   • 인증 데이터는 서버에 저장된다.
   • 쿠키는 단지 세션 ID를 전달하는 매개체로 사용된다.
   • 서버는 모든 활성 세션의 상태를 유지한다.

현대적인 대안 및 발전 방향

웹 애플리케이션이 발전함에 따라 인증 메커니즘도 진화하고 있다:

1. 토큰 기반 인증(JWT): 서명된 JSON 웹 토큰을 사용하여 클라이언트에 인증 정보를 저장하면서도 무결성을 보장한다.
2. OAuth 2.0 및 OpenID Connect: 제3자 인증 및 권한 부여를 위한 표준 프로토콜이다.
3. 무상태 JWT + 서버 측 블랙리스트: JWT의 장점과 서버 측 제어의 장점을 결합한 하이브리드 접근법이다.
4. WebAuthn/FIDO2: 생체 인식 및 하드웨어 보안 키를 사용한 비밀번호 없는 인증 방식이다.

Session-Based Auth vs. Cookie-Based Auth 비교

용어 정리

참고 및 출처