서드파티 쿠키와 소셜 로그인의 관계
"Sign in with Google", "Continue with Apple" 같은 소셜 로그인 버튼은 10년 이상 웹 인증의 핵심 편의 기능으로 자리잡아 왔다. 사용자 입장에서는 별도의 회원가입 없이 기존 계정으로 서비스에 접근할 수 있어 편리하지만, 이 흐름은 내부적으로 서드파티 쿠키(third-party cookie) 에 강하게 의존하는 구조로 동작해왔다.
페더레이티드 로그인(Federated Login)은 IdP(Identity Provider, 예: Google, Apple)가 사용자의 인증 상태를 RP(Relying Party, 즉 우리가 운영하는 서비스)에 전달하는 방식이다. 이 과정에서 브라우저가 IdP 도메인의 쿠키를 읽고 인증 상태를 확인하는데, 이것이 바로 서드파티 쿠키다. Chrome이 서드파티 쿠키 차단 정책을 강화하면서, 이 구조는 언제든 무너질 수 있는 기반 위에 서 있었던 셈이다.
FedCM이란 무엇인가
FedCM(Federated Credential Management) 은 서드파티 쿠키 없이도 페더레이티드 로그인을 구현할 수 있도록 W3C에서 표준화하고 있는 브라우저 레벨의 API다. 기존 방식이 쿠키를 통해 IdP의 인증 상태를 우회적으로 확인했다면, FedCM은 브라우저가 직접 IdP와 통신하여 사용자 인증 정보를 중개하는 구조로 동작한다.
핵심적인 차이는 브라우저가 신뢰의 중심에 선다는 점이다. 사용자가 소셜 로그인을 시도하면, 브라우저가 IdP의 FedCM 엔드포인트에 요청을 보내고, 사용자 동의를 브라우저 UI(native dialog) 수준에서 받아 처리한다. JavaScript나 리다이렉트 플로우에 의존하는 기존 방식과 달리, 브라우저가 직접 개입하기 때문에 쿠키 없이도 안전하게 인증 상태를 확인할 수 있다.
// FedCM API 호출 예시 (프론트엔드)
const credential = await navigator.credentials.get({
identity: {
providers: [{
configURL: "https://accounts.google.com/gsi/fedcm.json",
clientId: "YOUR_CLIENT_ID"
}]
}
});
백엔드 입장에서는 IdP로부터 전달받는 토큰(ID Token) 형식 자체는 크게 달라지지 않는다. 다만 인증 흐름의 진입점이 기존 OAuth redirect 방식에서 FedCM API 호출로 바뀌므로, 토큰 검증 로직은 동일하게 유지하면서 프론트엔드 연동 방식 변경에 대응해야 한다.
백엔드 개발자가 지금 알아야 할 것
직접적인 코드 변경은 주로 프론트엔드에서 발생하지만, 소셜 로그인 연동을 운영하는 백엔드 개발자라면 다음 관점에서 FedCM을 인지해둘 필요가 있다.
- OAuth 플로우 의존 구조 점검: 현재 소셜 로그인이 서드파티 쿠키에 암묵적으로 의존하는 부분이 있는지 확인한다. 특히 iframe 기반 Silent Sign-in, 자동 로그인 처리 등이 영향권에 들 수 있다.
- IdP 정책 변화 모니터링: Google, Apple 등 주요 IdP가 FedCM 지원을 어느 시점에 강제하거나 기존 방식 지원을 종료할 수 있다. SDK 버전 업데이트와 변경 로그를 주기적으로 추적해야 한다.
- 토큰 검증 로직은 재사용 가능: 백엔드에서 ID Token을 검증하는 로직(서명 검증, iss/aud 클레임 확인 등)은 FedCM 전환 이후에도 그대로 사용할 수 있다. 인프라 전체를 바꾸는 작업이 아님을 이해하면 불필요한 부담을 줄일 수 있다.
브라우저 생태계의 변화는 백엔드 코드에도 간접적으로 영향을 준다. FedCM은 아직 전면 도입 초기 단계이지만, 서드파티 쿠키 종말이라는 흐름 안에서 소셜 로그인의 미래 표준이 될 가능성이 높다.
정리
- 소셜 로그인("Sign in with Google" 등)은 내부적으로 서드파티 쿠키에 의존하며, 브라우저의 쿠키 차단 정책 강화로 이 구조는 위협받고 있다.
- FedCM은 브라우저가 직접 인증을 중개하는 W3C 표준 방식으로, 서드파티 쿠키 없이 페더레이티드 로그인을 구현한다.
- 백엔드 토큰 검증 로직은 재사용 가능하나, IdP의 FedCM 전환 일정과 기존 플로우의 쿠키 의존 여부를 지금부터 점검해두어야 한다.