blevels

Home / AI / AI 용어사전 / 쿠키(Cookie) — 브라우저가 나를 기억하는 방식의 정체

TERM

쿠키(Cookie) — 브라우저가 나를 기억하는 방식의 정체

게시일 2026-04-30수정일 2026-04-30
공식 링크
On this page

로그인 상태가 브라우저를 껐다 켜도 유지된다. AI 서비스가 내 설정과 최근 대화를 기억한다. 이 모든 기억의 실체가 쿠키다.

정의

쿠키(Cookie)는 서버가 브라우저에 저장을 지시하는 작은 데이터 조각이다. HTTP 응답 헤더의 Set-Cookie로 전달되고, 이후 요청마다 브라우저가 자동으로 Cookie 헤더에 포함시켜 서버로 돌려보낸다.

최대 크기는 4KB다. 이 크기 제한 때문에 실제 데이터를 저장하기보다 식별자(ID)를 저장하는 용도로 주로 쓰인다. 사용자 식별은 쿠키가 맡고, 실제 데이터는 서버의 database에 저장하는 패턴이 표준이다.

HTTP는 기본적으로 무상태(Stateless) 프로토콜이다. 요청과 요청 사이에 서버는 아무것도 기억하지 않는다. 쿠키는 이 무상태 프로토콜 위에 "기억"을 얹는 도구다.

쿠키의 주요 속성

Set-Cookie: sessionId=abc123;
  Expires=Thu, 01 Jan 2027 00:00:00 GMT;
  HttpOnly;
  Secure;
  SameSite=Strict;
  Domain=example.com;
  Path=/

| 속성 | 의미 | |---|---| | Expires / Max-Age | 만료 시점. 없으면 브라우저 종료 시 삭제 (세션 쿠키) | | HttpOnly | JavaScript 접근 차단 (XSS 공격 방어) | | Secure | HTTPS 연결에서만 전송 | | SameSite=Strict | 외부 사이트 요청 시 쿠키 전송 안 함 (CSRF 방어) | | Domain | 쿠키가 유효한 도메인 범위 | | Path | 쿠키가 유효한 URL 경로 범위 |

HttpOnly 속성이 없으면 document.cookie로 JavaScript에서 쿠키를 읽을 수 있다. 세션 쿠키에는 반드시 HttpOnly를 설정해야 XSS 공격으로 인한 세션 탈취를 막을 수 있다.

AD

쿠키 vs 세션 — 차이와 관계

"쿠키와 세션"은 자주 함께 언급되지만 다른 개념이다.

쿠키는 데이터를 클라이언트(브라우저)에 저장한다. 브라우저를 껐다 켜도 Expires 시점까지 유지된다. 클라이언트에 저장되므로 사용자가 직접 수정하거나 삭제할 수 있다.

세션(session)은 데이터를 서버에 저장한다. 세션 ID만 쿠키에 저장하고, 나머지 데이터(로그인 정보, 장바구니 등)는 서버 메모리나 redis, DB에 둔다.

현대 AI 서비스의 인증 흐름: 1. 사용자 로그인 → 서버에서 세션 생성 (고유 ID 부여) 2. 세션 ID를 HttpOnly; Secure 쿠키로 브라우저에 전달 3. 이후 요청마다 쿠키의 세션 ID로 사용자 식별 4. 로그아웃 → 서버에서 세션 삭제 (쿠키 자체는 남아있어도 무효)

이 패턴에서 쿠키가 탈취당해도, 세션이 서버에서 삭제되면 즉시 무효화된다.

AD

AI 서비스에서의 쿠키 활용

대화 지속성: ChatGPT, Claude.ai 등은 쿠키로 세션을 유지한다. 새 탭을 열어도 로그인 상태가 유지되는 이유다. 세션 만료 전까지는 재로그인 없이 서비스를 사용할 수 있다.

개인화 설정: AI 서비스의 다크 모드, 언어 설정, 모델 선택 등의 사용자 환경설정이 쿠키 또는 localStorage에 저장된다. 쿠키는 서버에도 전달되어 서버사이드 렌더링 시 설정을 반영할 수 있다.

브라우저 자동화 도구: Playwright, Puppeteer 등은 쿠키를 파일로 추출해 세션을 재사용한다. 단, 이는 해당 서비스의 이용 약관 위반이 될 수 있으므로 사전 확인이 필요하다.

제3자 쿠키와 프라이버시

제3자 쿠키(Third-party Cookie)는 현재 방문 중인 사이트가 아닌 외부 도메인이 설정하는 쿠키다. 광고 네트워크가 여러 사이트에 걸쳐 사용자를 추적하는 데 활용됐다.

Google Chrome은 2024년부터 제3자 쿠키 단계적 폐기를 진행 중이다. AI 서비스의 광고 개인화와 행동 분석 방식에 변화가 생기고 있으며, 퍼스트파티 데이터 활용과 privacy-sandbox 기술이 대안으로 부상하고 있다.

관련 용어

  • session — 서버사이드 상태 저장, 쿠키와 함께 인증에 사용
  • http-headers — Set-Cookie, Cookie 헤더로 쿠키 전달
  • cors — 크로스 도메인 요청 시 쿠키 전송에 credentials 설정 필요
  • localStorage — 쿠키 대신 사용 가능한 클라이언트 스토리지 (서버에 전송되지 않음)
  • jwt — 쿠키 기반 세션의 대안, 토큰 자체에 인증 정보를 담는 방식
AD