정직한 호랑이님의 면접 결과

HTTP는 하이퍼텍스트 전송 프로토콜로, 웹 브라우저와 서버간 통신을 위한 응용 계층 프로토콜입니다. 클라이언트-서버 모델을 기반으로 요청과 응답을 통해 데이터를 주고 받습니다. 특징으로는 우선 텍스트 기반 프로토콜이고, 무상태적이며, 클라이언트-서버 구조라는 점이 있습니다.

무상태라는 것은 요청/응답 상태를 서버에서 (기본적으로) 기억하지 않는 방식을 말합니다. 서버 구조가 단순해지고, 이전 상태를 기억하지 않기 때문에 분산 처리가 쉬워져 확장성이 좋다는 장점이 있습니다. 다만 상태 유지가 필요한 경우에는 별도의 구성을 준비해줘야 하고, 특히 인증이 필요한 경우 완전히 무상태한 경우에는 매 요청마다 사용자를 특정할 수 있는 정보를 함께 제공해줘야 하기 때문에 성능 및 보안 상 오버헤드가 있습니다

쿠키의 경우 서버가 클라이언트에게 특정 데이터를 발급하고 클라이언트의 브라우저에 저장시키는 방식입니다. 이후 클라이언트가 해당 도메인에 요청을 보낼 때 브라우저는 자동으로 쿠키를 헤더에 담아 전송하고, 서버는 그 쿠키의 값을 통해 사용자를 식별합니다. 세션의 경우 서버가 클라이언트 별로 세션 객체를 생성해 서버의 메모리 등에 저장하고 사용하는 방식입니다. 클라이언트에게는 세션 ID 식별자만을 쿠키로 전달하고, 이후 클라이언트가 요청을 보내면 그 세션 ID를 통해 서버에서 상태를 조회합니다. 쿠키는 데이터를 클라이언트 브라우저에 저장하고, 세션은 클라이언트에는 식별을 위한 ID만을, 이외 상태 유지를 위한 데이터는 서버에 저장합니다. 쿠키는 해당 도메인에 요청을 보낼 때 자동으로 보내지기 때문에, XSS, CSRF 공격 등에 취약하고, 클라이언트에 저장되기 때문에 변조 가능성도 있습니다. 쿠키에 HttpOnly, Secure, SameSite 설정을 통해 자바스크립트 접근을 막고, HTTPS를 통해 암호화된 경우에만 전송하도록 하고, 다른 도메인으로의 쿠키 전송을 막는 방식으로 문제를 막을 수 있고, 쿠키 값 자체를 암호화하거나 서명을 추가해 변조를 방지할 수도 있습니다. 세션의 경우 실제 데이터는 서버가 관리하기 때문에 쿠키보다는 보안상 안전하기는 하지만, 서버에 연결된 클라이언트가 많아지면 각 클라이언트의 상태 유지를 위한 비용이 많아지고, 서버도 다중화되면 여러 서버들 사이에서 일관된 서비스를 제공하기 위한 세션 동기화도 필요하다는 단점?도 있습니다. 또한 세션 ID가 탈취되면 해당 사용자로 위장할 수도 있고, 공격자가 미리 발급받은 세션 ID를 사용자가 사용하게 유도하는 방식으로도 공격이 이루어질 수 있습니다. 마찬가지로 HttpOnly, Secure 쿠키를 사용하는 것이 좋고, 세션 만료 시간을 정해 일정 시간 이상 활동이 일어나지 않으면 서버 측에서 로그아웃 처리하는 방식으로도 보안성을 높일 수도 있습니다