디지털 마케팅 일을 하고 있어요. 하루에도 몇 번씩 웹사이트 관리자 페이지에 로그인하다 보니까, 워드프레스, 쇼피파이, 고도몰, 그누보드까지 정말 안 써본 CMS가 없을 정도예요.

그런데 가끔 좀 신기한(?) 경험을 하게 돼요. 분명히 '로그아웃' 버튼을 눌렀는데, 30분쯤 뒤에 다시 관리자 주소를 입력하면, 로그인 화면 없이 바로 대시보드가 열리는 거예요. 특히 크롬 브라우저에서 그런 경우가 많았어요.

보안상 살짝 걱정되긴 하지만, 알고 보면 이게 꼭 이상한 현상은 아니더라고요.

일단 웹사이트 로그인은 우리가 생각하는 것처럼 '로그인 했어요~ 끝!'이 아니라, 뒷단에서 여러 가지 정보가 움직이고 있어요.

보통은 '세션 쿠키'라는 걸 이용해서 로그인 상태를 유지하게 되는데요, 이 쿠키는 내 브라우저 안에 저장돼요.

그리고 세션 쿠키는 원래 브라우저를 닫으면 사라지게 되어 있거든요?

그런데 요즘 브라우저들은 좀 달라요. 크롬이나 엣지 같은 브라우저는 탭을 닫거나 심지어 브라우저 자체를 껐다 켜도 세션 쿠키를 메모리에 잠시 기억하고 있어요. 그래서 로그인 상태가 바로 없어지지 않는 거예요.

여기서 또 하나 재미있는 건, 우리가 '로그아웃'을 했다고 생각해도, 사실 서버에서는 아직 세션을 유지하고 있을 수도 있다는 점이에요.

워드프레스처럼 플러그인이 많은 시스템에서는, 로그아웃 버튼을 눌러도 서버에 남아있는 세션 정보가 몇 분~몇십 분 정도 살아 있기도 해요. 특히 '자동 로그인 기억하기(Remember Me)' 같은 기능이 켜져 있었다면 더 오래 유지되겠죠.

서버에서 세션 타임아웃을 1시간 정도로 설정해놓은 경우도 흔해서, 딱히 이상한 건 아니에요.

그러니까 로그인 상태는 세션 쿠키로 유지돼요. 브라우저가 이 세션 쿠키를 일정 시간 기억하고 있어요. 결국 로그아웃했더라도, 서버에서 세션을 완전히 끊지 않으면 다시 로그인 없이 들어가질 수 있어요.

그래서 보통 1시간 이내에는 그냥 다시 접속되는 경우가 꽤 많은 거예요. 물론 보안이 중요한 사이트라면 세션 유지 시간을 짧게 설정하거나, 브라우저 종료 시 쿠키를 삭제하도록 해야 더 안전하겠죠?

이 문제가 걱정된다면 귀찮긴 하지만, 중요한 관리자 페이지는 '크롬 시크릿 모드'로 들어가면 된답니다.

시크릿 모드는 브라우저를 닫으면 쿠키랑 캐시가 자동으로 지워지기 때문에, 다시 접속하려면 무조건 다시 로그인해야 하거든요. 확실히 보안에는 이게 더 나은 것 같아요.

혹시 여러분도 저처럼 "어? 나 분명 로그아웃했는데 왜 또 들어가지지?" 싶었던 적 있으셨다면, 브라우저랑 서버의 세션 설정을 한번 확인해보세요.

진짜 로그아웃은 평소 습관이 만들어가는 거니까요 :)