인터넷 쿠키 그게 뭐예요 개인정보 유출이나 해킹되나요?

인터넷에서 쓰이는 쿠키 Cookie 무엇일까요? 인터넷에 검색하면 수 없이 나오지만, 저의 블로그에 한번씩 쿠키에 대해서 다양한 질문들이 올라와 ‘한 페이지로 초보들이 호기심과 궁금증을 최대한 해결할 수 있는 페이지‘를 만들어 보는 것이 좋겠다 싶어 글을 따로 쓰게 되었습니다.

저 또한 초보 레벨을 크게 벗어나지 못한 사람이라 그래서 저와 같은 분들에게 적합한 수준의 글을 작성할 수 있을거라 생각합니다. 마음편하게 부담없이 읽어주시고, 전문가분들이 보셨을 때 보완할 점이 있다면 댓글로 친절하게 알려주시길 바랍니다.

인터넷 쿠키 이름의 유래는?

가볍게 먹을 수 있는 쿠키를 먼저 떠올리시는 것은 당연합니다. 저는 처음 쿠키라는 이름을 들었을 때 이것이 무엇인가 보다는 ‘왜 쿠키라는 이름을 붙였을까?’라는 호기심이 먼저 들었습니다.

쿠키를 만든 사람과 이름의 출처

쿠키의 유래를 찾아보면 무려 1994년 네트워크 엔지니어인 Lou Montulli라는 사람이 처음 만들었고 당시 그는 23살이었다고 합니다. 넷스케이프 창립 엔지니어로 쿠키 이외에도 Blink element(깜빡이 효과로 지금은 쓰이지 않음), 서버 Push, 클라이언트 Pull, HTTP Proxy, GIF 등 다양한 부분을 담당했다고 합니다.

중국 포춘 쿠키에서 유래됐다는 말도 있었지만 그건 사실이 아니라고 합니다.

Cookie의 출처 (archive.org)

루 몬툴리는 Unix 프로그래머가 사용하는 “Magic Cookie“라는 용어의 이름에서 따왔다고 하네요.

쿠키를 만든 이유

인터넷이 지금처럼 발달하지 않았던 시절 웹사이트 방문자를 기억할 수 있는 방법이 없어서 많은 불편함이 있었습니다. 많은 논의 끝에 사용자를 추적하지 않으면서 방문자를 식별하고 방문자가 웹 사이트를 좀 더 편리하게 사용할 수 있도록 그리고 사이트 입장에서는 고객의 행동을 분석해 그들의 서비스를 개선할 수 있는 데이터를 얻을 수 있도록 ‘쿠키’를 만들게 되었다고 합니다.

쿠키로 인해 쇼핑몰 장바구니, 접속 유지 등이 가능하게 된 것 입니다.

가장 처음에 논의 되었단 영구적인 ID 번호를 부여하는 것에 대해서는 제3자(해커 및 기업 등의 조직)의 웹 브라우징 활동 추적을 염려해 거부했지만 결국 빈틈은 발견되고, 쿠키는 관심기반 광고 타겟팅 시스템의 재료가 되었습니다.

여러분들이 뭘 검색하고나서 SNS, 유튜브 앱을 켰을 때 관심을 가졌던 제품의 광고가 나오는 것이 이 쿠키를 사용하는 것 입니다.

쿠키에 대해 알아두면 좋은 몇가지

쿠키는 어떻게 생기나요?

단순화하면 아래처럼 됩니다.

  1. 우리가 사이트에 접속해서 페이지를 요청
  2. 서버가 쿠키를 생성해서 HTTP 헤더에 담아서 전달해주면 내가 저장
  3. 탭이나 브라우저를 닫아도 ‘쿠키 만료 기간’내에 접속하면 요청 시 쿠키를 전달

쿠키와 함께 가장 많이 거론되는 것이 세션(Session)인데, 이 페이지는 쿠키의 정보 전달을 위한 페이지이므로 세션에 대해서 간단하게만 말씀드리면 ‘서버 측에 저장되는 쿠키’ 정도로 이해하고 넘어가시면 되겠습니다.

쿠키가 가지고 있는 정보

쿠키는 4KB 이하의 매우 작은 텍스트로 이루어진 파일로 로컬저장소 혹은 웹 브라우저에 저장됩니다.

여러분이 방문한 페이지, 장바구니에 담은 품목, 로그인 정보, 검색 기록, 쿠키 만료 날짜 같은 정보들이 있습니다.

서드 파티 쿠키란

‘퍼스트 파티 쿠키’, ‘서드 파티 쿠키’ 두 가지를 알면 됩니다. 최대한 쉽게 설명하자면 자물쇠와 열쇠가 각각 2세트가 있다고 칩시다. 서로 매칭되는 것끼리가 First, 다른 것이 Third 입니다. 자물쇠 A 입장에서는 열쇠 A가 1st파티 쿠키 나머지는 3rd파티 쿠키 입니다. B는 B가 퍼스트 A가 써드입니다.

한마디로 웹사이트 소유자 입장에서는 자기 사이트에서 만든 쿠키가 퍼스트고 그 외는 모두 서드 파티 쿠키 입니다. 좀 더 심도 있게 알고싶으시면 First-Party vs. Third-Party Cookies: The Differences Explained 이런 글을 읽어보시는 것도 좋은데 대충 넘어가도 되는 부분입니다. 왜냐하면 벌써 고립되고 있고 앞으로는 흔적만 남을 가능성이 크기 때문입니다.

제3자 쿠키는 서로 다른 웹사이트에서 사용자의 활동을 함께 교차 체크 및 연결을 통해 전환율을 높이는데 큰 도움을 줍니다. 반대로 보면 이게 차단되면 광고 매출이 주력인 기업 입장에서는 힘들어집니다.

크롬, 파이어폭스 등 주요 웹 브라우저들이 서드 파티 쿠키 차단 기능을 넣기 시작했는데, 앞서 말했듯 마케팅 데이터로 사용되기고 돈이 되는 정보이기 때문입니다. 지금과 같은 구체적인 규제가 생기기 전까진 나름 꿀 빨았다고 볼 수 있겠네요. 가장 문제가 많았던 기업들은 우리가 잘 아는 Google, Facebook(Instagram), Amazon 같은 최상위 IT 기업들입니다.

특히 리타게팅 마케팅은 고객 취향을 저격하는데 정확도를 많이 높여주기 때문에 그들 입장에서는 노다지였을 것 입니다.

쿠키는 어디에 쓰이나요?

네이버, 구글같은 포털사이트 그리고 디시인사이드, 뽐뿌, 더쿠, 클리앙, 웃긴대학, 엠엘비파크, 보배드림, FM코리아 등 커뮤니티 사이트 등 여러분이 접속하는 웹 사이트에서 모두 쓰입니다.

접속한 뒤 창을 끄고 다시 들어가도 로그인이 유지되어있는 것을 볼 수 있는데요. 이것이 쿠키 덕분입니다.

그리고 ‘오늘 하루동안 이 창을 열지 않음’ 혹은 ‘0일 동안 이 창을 열지 않기’같은 것도 쿠키로 인해 기억할 수 있는 것 입니다.

아까 말씀드린 장바구니 또한 쿠키를 사용한 예 중 하나 입니다.

구글 검색을 많이 사용하시는 분의 경우에는 세이프서치 필터 사용 여부, 언어, 검색결과 개수 등의 설정이 쿠키를 통해 유지됩니다. Google Cookie 사용법을 읽어보면 더 자세히 나옵니다.

MDN (mozilla.org)에도 정리가 잘 되어있습니다. 옮겨오면 아래와 같습니다.

  • 세션 관리(Session management) : 서버에 저장해야 할 로그인, 장바구니, 게임 스코어 등의 정보 관리
  • 개인화(Personalization) : 사용자 선호, 테마 등의 세팅
  • 트래킹(Tracking) : 사용자 행동을 기록하고 분석하는 용도

쿠키는 해킹 등으로 내 개인정보를 뺏어갈 수 있나요?

세션, 쿠키 뿐 아니라 모든 기술들은 보안 취약점이 존재합니다. 세상에 그 무엇도 완벽한 것은 없습니다. 모든 인터넷 기술들은 계속해서 취약점이 생기고 보완되는 것을 반복하기 때문에 우리는 우리가 조심할 수 있는 부분만 하면 됩니다.

해커가 쿠키 데이터를 탈취하거나 복사하여 사용자를 사칭해 로그인을 하는 경우도 있지만 흔한 것은 아닙니다.

쿠키는 ‘웹 브라우저’로 인터넷 할 때 생성되는 것이기 때문에 공용 PC를 사용할 때는 Private Mode를 사용하고 브라우저 종료 시 쿠키 및 데이터 삭제를 해주는 습관을 들이시는 것도 좋습니다.(마지막에 다시 정리할게요)

사이트에서 ‘자동 로그인’ 혹은 ‘로그인 유지’ 옵션을 선택하면 경고 표시가 뜨는 것도 이런 이유 입니다.

누구나 한번쯤 궁금했을 질문 “쿠키를 통해서 내 비밀번호를 알아내거나 훔쳐갈 수 있나요?” 일텐데요. 심플하게 생각해보면 이게 일반적으로 가능하면 인터넷 세계는 아마 혼돈 그 자체일 것 입니다.

쿠키는 위 처럼 저장됩니다.(인터넷 url이 나온것은 000으로 바꾼 것) 운영체제와 웹 브라우저마다 쿠키가 저장된 폴더가 다른데요. 검색 후 한번 들여다보시는 것도 좋습니다.

쿠키의 시대는 언제까지 이어질까

이제 기업 입장에서는 사람들이 쿠키에 대한 경각심이 많이 생겼고, GDPR 등의 이유로 쿠키 활용에 하나하나 동의를 받아야하는 상황이 생기다 보니 활용도가 매우 떨어져 대체 수단을 만들게 되는데 그 중 하나가 Google의 FloC 입니다.

Lou Montulli는 구글의 Floc에 대해서도 이야기 했습니다. 저 또한 과거에 플록에 대해 글을 썼는데(FloC이란?), 제가 대수롭지 않게 생각하는 것에 대에 대해 당황스러우셨다는 분이(글의 댓글) 계셨는데 그분의 반응도 이해하지만 저는 지금도 그렇게 예민하게 생각할 필요는 없다고 봅니다.

On FLoC: This is an alternate form of expressing preferences for advertising without the traditional means of tracking you all over the web. And I think those forms are really interesting. But I also think that the public is likely to find them a little creepy at first because they won’t really understand it.

FLoC에 대해서: 이는 웹에서 사용자를 추적하는 기존의 방식 없이도 광고에 대한 선호도를 표현할 수 있는 대안적인 형태입니다. 저는 이러한 형태가 정말 흥미롭다고 생각합니다. 하지만 대중은 처음에는 이러한 방식을 잘 이해하지 못하기 때문에 약간 소름 끼칠 수도 있다고 생각합니다.

https://qz.com/2000350/the-inventor-of-the-digital-cookie-has-some-regrets

쿠키를 없애버리면 안되나요?

HTTP 특성 자체가 비연결지향(Stateless, Connectionless)입니다. 주고, 받기는 하지만 그 상태를 저장하거나 유지하지 못한다는 뜻 입니다.

쿠키, 세션 얘들이 없으면 엄청나게 불편해집니다. 아주 간단한 예를 들자면 쇼핑몰 사이트에 접속해서 로그인하고 상품 구매하려고 결제 버튼 눌렀는데 “어? 당신 누구야? 로그인 해”라고 요구하거나, 뒤로가기나 다른 상품페이지를 눌렀는데 “어 니가 장바구니에 뭐 넣었었지?” 이런 상황이 생길 수 있습니다.

안전한 쿠키 보안을 위해 우리가 해야할 일은?

웹 브라우저 제작사들도 느리지만 꾸준히 노력하고 있습니다.

서드파티 쿠키 차단 기능만 보더라도 한 회사가 치고나가니 금방 다른 브라우저들도 시작하게 되는 것을 볼 수 있죠.

우리가 좀 더 적극적으로 우리의 개인정보를 보호할 수 있는 방법은 아래와 같습니다.

  • 공용 컴퓨터를 사용할 땐 항상 조심하세요.
  • 브라우저가 임시 파일 및 쿠키, 검색 기록 등을 남기지 않게 하려면 ‘개인 정보 보호 모드(웹 브라우저마다 이름이 다르지만 보통 시크릿 모드, inPrivate Mode로 알려져 있음)’
  • 다른 사람도 컴퓨터를 사용할 수 있다면 사이트 사용 후 로그아웃하는 것도 좋습니다.
  • 비밀번호 관리 앱을 사용하시는 것도 좋습니다. 비밀번호는 사이트마다 모두 다르게 만들어야 안전하며 패스워드 길이가 길수록 안전합니다. 하지만 이렇게 만들면 머리로 기억하는 것은 불가능해집니다. 패스워드 앱을 사용하면 자동로그인이나 로그인유지 기능을 덜 사용할 수 있고, 패스워드를 기억하지 않아도되고 더 안전하고 효율적인 관리가 가능합니다.
  • Privacy Badger 확장 프로그램 설치도 도움이 되지만 요즘은 크게 도움이 되지 않아 보입니다.
  • 사이트별로 쿠키를 관리하시려면 Cookie Quick Manager도 괜찮아 보입니다.
  • 카페, 도서관, 음식점 등 다른 사람들이 함께 사용하는 공유기에 접속해서 Wi-Fi를 사용할 때 VPN을 이용하면 큰 도움이 됩니다. VPN은 보안 터널을 생성해 모든 통신을 통째로 암호화 하기 때문에 좋습니다. 굳이 돈을 쓸 필요없이 집에 있는 공유기에 VPN 설정을 한 뒤 외부에서 집으로 접속해도 충분합니다. 모든게 귀찮다면 안전한 유료 VPN을 사용하면 됩니다.

함께 읽으면 좋은 글

2 Comments

  1. 너무 감사합니다. 쿠키가 뭔지 몰랐는데 이번 기회에 확실히 알게 되었네요

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다