쿠키(Cookie): 환대가 감시가 되기까지

테크-인문학 사전 2화

Feb 17. 2026

1994년 여름, 넷스케이프에서 일하는 스물셋의 프로그래머 루 몬툴리는 한 가지 문제를 붙들고 있었습니다. 웹은 건망증 환자였습니다. 사용자가 페이지를 넘길 때마다 서버는 그가 누구인지 잊어버렸고, 장바구니에 넣은 신발은 다음 페이지로 가는 순간 허공으로 사라졌습니다.

이 건망증을 고치기 위해 루는 일종의 번호표를 고안했습니다. 서버가 브라우저에게 작은 텍스트 파일을 하나 건네고, 브라우저는 그것을 사용자의 컴퓨터에 저장합니다. 다음에 같은 서버에 접속할 때 브라우저가 그 파일을 다시 보여주면, 서버는 "아, 아까 운동화를 장바구니에 넣었던 그 사람이구나"라고 알아볼 수 있는 거예요. 그는 이 기술에 '쿠키'라는 이름을 붙입니다.

작고 달콤한 환대

cookie의 어원을 거슬러 올라가면 네덜란드어 koekje에 닿습니다. koek, 즉 "케이크"에 지소사 -je를 붙인 말. "작은 케이크"라는 뜻이에요. 18세기 후반, 네덜란드 이민자들이 뉴암스테르담(지금의 뉴욕)에 이 단어를 들고 왔고, 미국 영어에서 cookie는 달콤하고 납작한 과자를 가리키는 말로 정착했습니다. 영국인들이 같은 것을 biscuit(라틴어 bis coctum, "두 번 구운")이라 부르는 것과 대조적이죠. 쿠키는 두 번 구울 필요도 없는, 소박하고 가벼운 것이었습니다.

흥미로운 것은 이 단어가 라틴어 coquere(요리하다)와는 관련이 없다는 점입니다. 그러니까 우리의 직관과는 달리 쿠키는 cook에서 온 말이 아닙니다. 굽는 행위가 아니라 구워진 결과물, 작고 달콤한 한 조각에 초점이 있는 단어예요.

그리고 이 단어에는 환대의 감각이 깃들어 있습니다. 쿠키는 손님에게 내미는 것, 아이에게 건네는 것, 할머니가 구워주는 것입니다. 14세기 유럽 전역에서 거리의 행상인부터 왕실 연회까지, 쿠키(또는 그에 해당하는 과자)는 가장 보편적인 환대의 매체였습니다. 엘리자베스 1세는 중요한 손님의 얼굴을 본뜬 진저브레드를 구워 선물했다고 하죠.

4킬로바이트의 마법

다시 1994년으로 돌아와서, 루 몬툴리가 테크 세계에서 쿠키라는 말을 처음 쓴 건 아니었습니다. 컴퓨팅 분야에는 이미 '매직 쿠키(magic cookie)'라는 개념이 있었어요. 이것은 프로그램들이 서로 주고받는 불투명한 데이터 조각을 뜻했습니다. 여기서 핵심은 불투명함입니다. 받는 쪽이 내용을 해석할 필요 없이, 그저 돌려보내기만 하면 되는 토큰. 앞에서 쿠키를 번호표와 비슷한 것이라고 했는데, 이것은 번호표의 내용이 별로 중요하지 않다는 점에서도 유효한 비유입니다.

그렇다면 '매직 쿠키'는 어디서 왔나. 일단 가장 널리 받아들여지는 설은 포춘 쿠키에서 왔다는 것입니다. 안을 열어보면 메시지가 들어 있는 과자. 프로그램이 받아서 열어보면 안에 데이터가 들어 있다는 점에서 직관적인 비유죠. 위키피디아도 이 설명을 채택하고 있고, 대부분의 기술 문서에서 어원을 설명할 때 이 이야기를 꺼냅니다.

하지만 확정된 정설이라고 하기엔 근거가 빈약해요. 이 용어가 문헌에 처음 등장하는 건 1979년 유닉스 V7의 매뉴얼 페이지(man page)인데, 거기엔 왜 하필 쿠키라는 단어를 골랐는지에 대한 설명이 없습니다. 유닉스를 만든 데니스 리치조차도 이 용어가 해당 매뉴얼에서 처음 쓰였다는 것 정도만 알고 있어요.

이런 모호한 기원 때문에 여러 설이 경합하는데, 그 중 흥미로운 건 매직 쿠키가 마약의 은어라는 겁니다. 1960년대에 댄 오닐이 《샌프란시스코 크로니클》에 연재한 〈Odd Bodkins〉라는 만화에선 등장인물들이 '매직 쿠키'를 먹고 '매직 쿠키 랜드'로 가는 내용이 나옵니다. 거기서 신과 자아에 대한 심오한 깨달음을 얻지만 오래 머물 수는 없는데, "거기서 살기엔 비용이 너무 높기 때문"이에요. LSD의 은유죠. 이 만화가 나온 곳은 1960년대 샌프란시스코, 히피 카운터컬처의 한복판이었고, 같은 시기 같은 도시에서 초기 컴퓨터 문화가 자라고 있었습니다. 두 문화는 생각보다 가까웠어요.

물론 이 만화가 유닉스의 '매직 쿠키'에 직접 영향을 줬다는 증거는 없습니다. 하지만 어원을 추적할수록 드러나는 건, 정확한 기원보다는 이 이름이 살아남은 환경이에요. 초기 유닉스 문화에는 기술적 개념에 장난스러운 이름을 붙이는 전통이 있었습니다. yacc(Yet Another Compiler Compiler)처럼 약어 자체를 말장난으로 만들거나, GNU(GNU's Not Unix)처럼 재귀적 농담을 집어넣거나. 그 기원이 마약 은어든 포춘 쿠키든 간에, 누군가가 불투명한 데이터 조각을 '쿠키'라고 부르기 시작했을 때 굳이 왜냐고 묻는 사람은 없었을 겁니다. 그게 이 문화의 작동 방식이었으니까요. 기원을 특정할 수 없을 만큼 자연스럽게 퍼졌다는 것 자체가, 당시의 해커 문화 속에서 이 명명 감각이 얼마나 깊이 뿌리내린 것이었는지를 보여주죠.

몬툴리도 그 문화의 아이였습니다. 그가 1994년에 작성한 쿠키 명세서의 예시 코드를 보면 분명해져요.

Set-Cookie: CUSTOMER=WILE_E_COYOTE; path=/; expires=Wednesday, 09-Nov-99 23:12:40 GMT
"고객의 이름은 이름은 WILE_E_COYOTE이고, 사이트 전체에서 이 정보를 기억하되, 1999년 11월 9일 수요일까지만 유지하라."

코요테와 로드러너 © Warner Bros.

WILE_E_COYOTE. 워너 브라더스 만화 《루니 툰》에 나오는 그 코요테, 로드러너를 끝없이 쫓아다니지만 번번이 실패하는 캐릭터입니다. 인터넷 추적 기술의 초석이 될 명세서에 만화 캐릭터 이름을 예시로 넣는 감각. 이것은 단순한 유머일 수도 있지만, 자신이 만드는 것의 무게를 아직 알지 못했던 시대의 서명으로 느껴지기도 합니다. 훗날 이 작은 코드 조각이 수십억 달러 규모의 광고 추적 인프라의 기반이 되고, 유럽연합이 별도의 법률을 만들어 규제해야 하는 기술이 될 줄 알았다면, 예시 데이터에 만화 캐릭터를 넣었을까요. 파일 크기 제한은 4킬로바이트. 이 시점에서 쿠키는 아직 과자만큼이나 가벼운 것이었습니다.

장바구니에서 감시탑으로

쿠키와 관련해 인터넷 사용자들에게는 익숙한 도시전설이 하나 있습니다. "항공권 싸게 사려면 쿠키를 삭제하라." 항공사나 호텔 예약 사이트가 쿠키를 통해 사용자의 검색 이력을 기억하고, 같은 항공편을 반복 검색하면 가격을 올린다는 이야기죠. 이 속설의 진위 여부는 논쟁적이지만, 중요한 것은 이 이야기가 드러내는 직관입니다. 웹사이트가 나를 "기억"한다는 것은, 나에게 유리한 것만은 아닐 수 있다는 감각. 쿠키라는 기술의 양면성을 대중이 체감하는 방식이 바로 이 항공권 속설이었던 셈이에요.

Image generated by ChatGPT

실제로 쿠키의 역사는 그 직관이 틀리지 않았음을 보여줍니다. 몬툴리의 쿠키는 처음부터 프라이버시를 염두에 두고 설계되었어요. 그가 나중에 회상한 바에 따르면, 쿠키는 "특정 웹사이트에 상태를 부여해서 장바구니 같은 애플리케이션을 만들 수 있게 하면서, 다른 웹사이트들에 대해서는 익명성을 보존하기 위한 것"이었습니다. 개발팀은 처음에는 모든 웹 탐색에 단일 ID를 부여해 사용자를 식별하려고 했지만 그것이 심각한 프라이버시 침해로 이어질 것임을 깨닫고 철회했습니다. 이 개발 원칙에 따르면 네이버가 준 쿠키는 네이버만 읽고, 구글이 준 쿠키는 구글만 읽을 수 있어야 했죠.

그런데 설계에 한 가지 틈이 있었습니다. 웹페이지는 동시에 여러 서버의 데이터를 불러올 수 있었어요. 지역 신문 사이트를 보고 있지만, 그 안의 광고 배너 이미지는 광고 회사의 서버에서 오는 식이죠. 이때 광고 서버도 자기만의 쿠키를 심을 수 있었습니다. 이것이 서드파티 쿠키입니다. 내가 방문한 사이트가 아니라, 그 사이트에 광고를 제공하는 제3자가 내 브라우저에 몰래 놓고 간 쿠키. 사용자가 어떤 사이트를 방문하든, 같은 광고 네트워크의 이미지가 삽입되어 있다면 그 네트워크는 사용자의 움직임을 사이트 너머로 추적할 수 있게 되었어요. 우리를 지겹게 따라다니는 타겟팅 광고의 기술적 근간이죠.

Image generated by ChatGPT

1995년 IETF[* 주1] 워킹그룹은 이미 서드파티 쿠키를 "상당한 프라이버시 위협"으로 식별했고, 1997년 발표된 RFC 2109[* 주2]는 서드파티 쿠키를 기본적으로 차단하도록 권고했습니다. 하지만 넷스케이프와 마이크로소프트의 인터넷 익스플로러 모두 이 권고를 따르지 않았어요. 몬툴리는 당연히 항의했지만, 이 시점에서 광고 회사들은 이미 서드파티 쿠키를 활용하고 있었고, 쿠키를 차단하면 웹 광고 생태계가 심각하게 위축될 것이 분명했습니다.

1996년, 파이낸셜 타임스가 쿠키의 존재를 일반 대중에게 알리는 기사를 실었을 때, 대부분의 사람들은 자신의 컴퓨터에 쿠키가 저장되어 있다는 사실조차 모르고 있었습니다. 스탠포드 로스쿨의 로런스 레식 교수는 이를 두고 이렇게 관찰합니다. 쿠키 이전에 웹은 본질적으로 사적인 공간이었지만, 쿠키 이후 웹은 대규모 모니터링이 가능한 공간이 되었다고.

동의라는 이름의 의식

유럽에서는 이 문제가 2018년 일반 데이터 보호 규정(GDPR) 시행 이후 "쿠키를 허용하시겠습니까?"라는 동의 배너로 가시화되었습니다. 해외 사이트를 자주 이용하는 분이라면 이 배너를 보신 적이 있을 거예요.

하지만 한국의 웹 환경에서는 이 배너가 흔하지 않습니다. 한국의 개인정보보호법이 쿠키를 다루는 방식이 유럽과 다르기도 하고, 네이버와 카카오 중심의 플랫폼 생태계가 쿠키 대신 로그인 기반의 추적 체계에 더 의존하기 때문이기도 해요. 한국 사용자들은 쿠키 동의 배너를 클릭하는 대신, 네이버 로그인 하나로 뉴스, 쇼핑, 블로그, 카페를 넘나들며 자발적으로 훨씬 정교한 행동 데이터를 제공하고 있는 셈입니다. 어떤 면에서는 쿠키보다 더 촘촘한 기억이, 동의 배너라는 형식적 절차 없이 작동하고 있는 거죠.

여기서 어원의 아이러니가 선명해집니다. 원래 쿠키는 건네는 것이었어요. 주인이 손님에게, 부모가 아이에게 내미는 작은 달콤한 선물. 그런데 디지털 쿠키는 거꾸로 가져가는 것이 되었습니다. 서버가 사용자의 컴퓨터에 심어놓고 돌려받는 것, 사용자의 행동을 기록해 가져가는 것. 환대의 제스처가 추적의 메커니즘으로 뒤집힌 셈이에요.

그리고 쿠키 동의 배너라는 형식 자체에도 묘한 역전이 있습니다. 환대의 상황에서 쿠키를 거절하는 것은 무례한 일이죠. 그런데 디지털 세계에서 쿠키를 수락하는 것은 자신의 프라이버시를 내주는 행위가 됩니다. 거절이 자기 보호이고, 수락이 양보인 세계. 한 연구에 따르면 추적 활동의 75% 이상이 사용자가 동의 배너에서 선택을 하기도 전에, 혹은 사용자가 쿠키를 거부한 후에도 이미 발생하고 있었다고 해요. 동의라는 형식은 존재하지만, 실질적인 선택권은 거의 없다고 봐도 무방합니다.

기억의 양면

몬툴리는 나중에 이렇게 말했습니다. "쿠키를 단순히 비활성화하는 것이 해결책이라면, 광고 네트워크는 당신이 통제할 수 없는 다른 무언가로 옮겨갈 것입니다. 아는 악마가 모르는 악마보다 낫다고 봅니다." 실제로 구글이 서드파티 쿠키의 단계적 폐지를 추진하는 동안, 브라우저 핑거프린팅[* 주3] 같은 더 은밀한 추적 기술이 이미 확산되고 있어요.

웹에 기억을 주겠다는 것은 좋은 의도였습니다. 페이지를 넘길 때마다 모든 것을 잊어버리는 매체는 불편하니까요. 하지만 기억에는 언제나 양면이 있습니다. 누군가를 기억한다는 것은 그를 알아본다는 것이고, 알아본다는 것은 지켜본다는 것이기도 해요. 네덜란드 이민자들이 신대륙에 가져온 "작은 케이크"라는 단어가 유닉스 프로그래머들의 "매직 토큰"을 거쳐 전 세계 웹 브라우저의 감시 인프라에 이르기까지, 쿠키는 환대와 감시 사이의 경계가 얼마나 얇은지를 증명하는 단어가 되었습니다.

엘리자베스 1세가 손님의 얼굴을 본뜬 진저브레드를 구워 내밀 때, 그것이 환대였는지 과시였는지, 혹은 "나는 당신의 얼굴을 알고 있다"는 메시지였는지는 알 수 없는 일입니다.

[* 주1] IETF(Internet Engineering Task Force): 국제 인터넷 표준화 기구. 인터넷의 운영, 관리, 개발에 필요한 기술 규격(프로토콜)을 표준화하는 국제적 자발적 개방 커뮤니티입니다. TCP/IP, HTTP 등 우리가 쓰는 핵심 인터넷 기술을 제정하며, 약 120여 개의 워킹 그룹이 1년에 세 번 회의를 통해 표준안을 작성하고 RFC 문서로 공표합니다.

[* 주2] RFC(Request for Comments): IETF에서 발행하는 인터넷 기술 표준 및 연구 문서입니다. 초기에는 의견을 묻는 메모였으나, 현재는 프로토콜, 파일 형식 등 기술 규격을 정의하는 문서로 사용되며, 고유 번호(예: RFC 2616)로 관리됩니다. RFC 2109는 1997년에 발표된 쿠키의 첫 번째 공식 표준 사양입니다.

[* 주3] 브라우저 핑거프린팅(Browser Fingerprinting): 쿠키 없이 브라우저 버전, 운영체제, 글꼴, 화면 해상도, 시간대, 설치된 플러그인 등 고유한 기기 설정을 조합하여 사용자를 식별하고 추적하는 기술입니다. 쿠키와 달리 삭제나 차단이 어렵고, 로그인 보안 및 봇 탐지에 활용되나, 광고 등에서 사용자 프로파일링에 악용되기도 합니다.