API Gateway CORS 에러, 당황하지 않고 해결하는 디버깅 전략
CORS 에러, 왜 발생할까요? 기본 개념부터 짚어보기
API Gateway 사용 중 CORS(Cross-Origin Resource Sharing) 에러를 자주 접하게 됩니다. 이는 브라우저의 보안 정책과 서버 설정이 서로 충돌할 때 발생하는 문제입니다. 따라서 API Gateway CORS 에러 발생 시 디버깅 및 해결 전략을 효과적으로 세우기 위해서는 CORS의 기본적인 작동 방식과 근본적인 원인을 명확히 이해하는 것이 중요합니다.
CORS 작동 방식과 에러 발생 원인
CORS는 웹 브라우저가 보안을 위해 기본적으로 적용하는 동일 출처 정책(Same-Origin Policy)을 완화하는 메커니즘입니다. '출처'란 프로토콜, 호스트명, 포트가 모두 동일한 경우를 의미합니다. CORS는 서로 다른 출처 간에도 리소스 공유를 허용합니다. CORS 에러는 클라이언트와 서버(API Gateway)의 출처가 다를 때 발생하며, 이 과정에서 브라우저는 서버에게 해당 요청을 허용할지 확인하는 절차를 거칩니다.
만약 서버가 적절한 CORS 헤더(예: Access-Control-Allow-Origin)를 응답하지 않거나, 클라이언트의 출처가 서버의 허용 목록에 없다면, 브라우저는 보안상의 이유로 요청을 차단하고 CORS 에러를 발생시킵니다. 주요 원인은 다음과 같습니다:
- API Gateway 또는 백엔드 서버의 CORS 헤더 설정 누락 또는 오류
- 클라이언트 출처가 서버의 허용 목록에서 빠져 있음
- PUT, DELETE 등 복잡한 HTTP 메서드 요청 시 preflight 요청(OPTIONS)을 제대로 처리하지 못함
- API Gateway 앞단의 프록시 서버나 로드 밸런서 등이 CORS 헤더를 변경하거나 제거함
이러한 CORS 에러는 단순한 네트워크 문제가 아니라, 브라우저 보안 정책과 서버 설정 간의 정교한 연동이 필요함을 보여줍니다. 이러한 기본 이해를 바탕으로, 다음 섹션에서는 API Gateway CORS 에러 발생 시 디버깅 및 해결 전략에 대해 구체적으로 살펴보겠습니다.
API Gateway 레벨의 CORS 설정 점검 방법
API Gateway에서 CORS(Cross-Origin Resource Sharing) 관련 에러가 발생하면, 가장 먼저 API Gateway 자체의 CORS 설정을 면밀히 살펴보는 것이 중요합니다. 브라우저 보안 정책에 따라 다른 출처(Origin)에서의 API 요청이 차단될 수 있는데, 이를 올바르게 허용하도록 API Gateway 설정이 구성되었는지 확인하는 것이 필수적입니다. 이러한 API Gateway CORS 에러 발생 시 디버깅 및 해결 전략의 첫걸음은 바로 이 설정 점검에서 시작됩니다.
1. API Gateway 콘솔을 통한 CORS 설정 확인
AWS API Gateway 콘솔은 CORS 설정을 직관적으로 확인하고 필요에 따라 수정할 수 있는 환경을 제공합니다. 특정 API 리소스에 대해 CORS를 활성화하고, 클라이언트 요청에 필요한 헤더 및 HTTP 메서드를 정확히 구성하는 것이 핵심입니다.
- CORS 활성화 및 허용 출처 설정: API Gateway 콘솔에서 해당 API의 '리소스(Resources)' 탭으로 이동하여 CORS 설정을 적용할 리소스를 선택합니다. '작업(Actions)' 메뉴에서 'CORS 구성(Enable CORS)'을 선택한 후, '허용 출처(Access-Control-Allow-Origin)' 필드에 클라이언트 애플리케이션의 도메인을 정확하게 명시해야 합니다. 보안 강화를 위해 모든 출처를 허용하는 와일드카드(`*`) 대신, 특정 도메인(예: 'https://your-frontend-domain.com')을 지정하는 것이 강력히 권장됩니다.
- 허용 메서드 및 헤더 정의: 클라이언트가 호출할 수 있도록 허용할 HTTP 메서드(GET, POST 등)와 요청 시 포함될 수 있는 사용자 정의 헤더(Content-Type, Authorization 등)를 명확하게 지정해야 합니다.
- OPTIONS 메서드 구성 검토: 브라우저의 CORS 사전 요청(preflight request)에 사용되는 OPTIONS 메서드가 API Gateway에서 올바르게 구성되어 '200 OK' 또는 '204 No Content' 응답을 반환하는지 반드시 확인해야 합니다.
2. IaC 설정 파일을 통한 CORS 설정 점검
Terraform, AWS CloudFormation과 같은 IaC(Infrastructure as Code) 도구를 사용하고 있다면, 설정 파일을 통해 CORS 구성을 체계적으로 관리하고 점검하는 것이 효율적입니다. 예를 들어, CloudFormation에서는 `AWS::ApiGateway::Method` 리소스의 `MethodResponses` 섹션에서 `Access-Control-Allow-Origin`, `Access-Control-Allow-Methods`, `Access-Control-Allow-Headers`와 같은 응답 헤더를 정의합니다. 설정 파일을 검토할 때는 이러한 CORS 관련 헤더 값이 의도한 대로 설정되었는지 확인하고, 특히 와일드카드(`*`) 사용 시에는 보안 정책 준수 여부를 재차 확인하는 것이 중요합니다. 실제로 한 개발팀은 IaC 설정 파일의 CORS 헤더 오타로 인해 CORS 에러가 지속되어, 코드 검토 후 오타를 수정하여 문제를 해결한 경험이 있습니다.
프론트엔드에서 CORS 문제 진단하기
API Gateway에서 CORS 오류가 발생했을 때, 문제 해결의 첫걸음은 브라우저 개발자 도구를 활용하여 프론트엔드 측면을 면밀히 살펴보는 것입니다. 네트워크 탭에서 실제 API 요청을 확인하고, 해당 요청의 요청 및 응답 헤더를 분석하는 것이 중요합니다. 이 과정은 API Gateway CORS 에러 발생 시 디버깅 및 해결 전략 수립에 있어 필수적입니다.
1. 요청 헤더(Request Headers) 확인
- Origin: 브라우저가 요청을 보낸 출처(프로토콜, 도메인, 포트)를 나타냅니다. API Gateway 설정에서 허용된 Origin과 일치하는지 확인해야 합니다.
- Access-Control-Request-Method: 클라이언트가 사용하려는 HTTP 메서드(GET, POST 등)를 서버에 미리 알립니다.
- Access-Control-Request-Headers: 클라이언트가 함께 보내려는 사용자 정의 헤더 목록을 서버에 알립니다.
2. 응답 헤더(Response Headers) 분석
서버로부터 받은 응답 헤더를 통해 CORS 정책 위반 여부를 파악할 수 있습니다. 특히 다음 헤더들을 주의 깊게 살펴봐야 합니다.
- Access-Control-Allow-Origin: 서버가 허용하는 Origin을 명시합니다. 클라이언트의 Origin과 일치하거나 '*'로 설정되어야 합니다.
- Access-Control-Allow-Methods: 서버가 허용하는 HTTP 메서드 목록입니다. 요청한 메서드가 여기에 포함되어야 합니다.
- Access-Control-Allow-Headers: 서버가 허용하는 헤더 목록입니다. 요청 헤더가 여기에 포함되어야 합니다.
- Access-Control-Allow-Credentials: 인증 정보(쿠키 등)를 포함한 요청을 허용하는지 여부를 나타냅니다. 이 값이 'true'일 경우, 'Access-Control-Allow-Origin'은 '*'를 사용할 수 없습니다.
3. 브라우저 콘솔 에러 메시지 해석
브라우저 개발자 도구의 콘솔에 표시되는 CORS 관련 에러 메시지는 문제의 원인을 정확히 파악하는 데 결정적인 단서를 제공합니다. 예를 들어, "No 'Access-Control-Allow-Origin' header is present on the requested resource."와 같은 메시지는 서버 응답에 해당 헤더가 누락되었음을 의미합니다. 이러한 메시지를 통해 어떤 헤더 설정이 잘못되었는지 파악하고, 프론트엔드 코드 및 API Gateway 설정을 교차 검증하여 문제점을 해결해야 합니다. 예를 들어, 특정 API 경로에 대해서만 CORS 헤더를 추가해야 한다면, API Gateway의 라우팅 규칙을 세밀하게 조정하는 것을 고려해볼 수 있습니다. 이러한 체계적인 접근 방식은 API Gateway CORS 에러 발생 시 디버깅 및 해결 전략의 효율성을 높입니다.
백엔드 서비스에서의 CORS 설정 확인 및 조치
API Gateway에서 CORS 에러가 발생했다면, 가장 먼저 백엔드 서비스 자체의 CORS 설정을 점검해야 합니다. API Gateway는 요청을 백엔드 서비스로 전달하는 프록시 역할을 수행합니다. 따라서 백엔드 서비스에서 CORS 관련 헤더를 올바르게 반환하지 않으면 API Gateway 설정만으로는 문제를 해결하기 어렵습니다. API Gateway CORS 에러 발생 시 디버깅 및 해결 전략에서 백엔드 서비스 설정 점검은 매우 중요합니다.
백엔드 애플리케이션은 자신이 제공하는 API에 대해 어떤 출처(Origin)의 요청을 허용할지, 어떤 HTTP 메서드를 허용할지, 그리고 어떤 헤더를 허용할지를 명확히 정의해야 합니다. 이러한 설정이 누락되거나 잘못 구성되면, 클라이언트 요청이 백엔드 서비스에 도달하더라도 브라우저에서 CORS 에러로 차단될 수 있습니다. 예를 들어, Node.js 환경에서 Express 프레임워크를 사용한다면 cors 미들웨어를 활용하여 설정을 관리할 수 있습니다. app.use(cors({ origin: 'http://your-frontend-domain.com' }));와 같이 특정 출처를 명시하는 것이 일반적인 방법입니다.
가장 중요한 점은 백엔드 애플리케이션의 응답 헤더에 클라이언트가 요청한 출처에 해당하는 Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers와 같은 CORS 헤더가 올바르게 포함되도록 구성하는 것입니다. API Gateway의 CORS 설정은 백엔드 서비스 설정을 보완하거나, API Gateway 차원에서 추가적인 정책을 적용하는 용도로 활용되어야 합니다. 백엔드 서비스에서 CORS 헤더를 제대로 반환하지 않는다면, API Gateway 설정을 아무리 최적화해도 에러는 해결되지 않습니다. 이는 API Gateway CORS 에러 발생 시 디버깅 및 해결 전략을 수립할 때 흔히 간과하기 쉬운 부분입니다. 실제로 한 프로젝트에서는 백엔드 애플리케이션의 특정 API에서만 CORS 헤더를 누락시켜 해당 API 호출 시에만 CORS 에러가 발생하는 사례가 있었습니다. 해당 문제를 해결하기 위해 백엔드 코드 수정을 통해 CORS 헤더를 명시적으로 추가하는 조치를 취했습니다.
네트워크 환경 및 프록시 서버의 영향 분석
API Gateway에서 CORS 에러가 발생할 때, 클라이언트와 API Gateway 간의 네트워크 환경 및 프록시 서버 설정이 예상치 못한 문제를 일으키는지 면밀히 살펴보는 것이 중요합니다. 때로는 이러한 외부 요인들이 CORS 정책을 우회하거나, 의도치 않게 CORS 관련 헤더를 변조하여 에러를 유발할 수 있습니다.
네트워크 환경 점검 포인트:
- 프록시 서버 설정 확인: 사용 중인 브라우저나 운영체제 레벨의 프록시 설정이 API 요청을 가로채고 있는지 확인하십시오. 프록시 서버가
Access-Control-Allow-Origin,Access-Control-Allow-Methods와 같은 CORS 관련 헤더를 제거하거나 수정하면, 브라우저는 유효한 CORS 응답을 받지 못했다고 판단하여 에러를 발생시킬 수 있습니다. - VPN 및 방화벽: VPN이나 기업 네트워크의 방화벽이 특정 포트나 프로토콜을 차단하거나, 요청/응답을 수정하는 경우 CORS 에러와 유사한 증상을 보일 수 있습니다. 일시적으로 VPN이나 방화벽 설정을 변경하여 테스트해보는 것이 문제의 원인을 파악하는 데 도움이 될 수 있습니다.
- DNS 설정: 클라이언트가 API Gateway의 도메인을 올바르게 해석하고 있는지 DNS 설정을 점검해야 합니다. 잘못된 DNS 정보는 요청이 예상치 못한 경로로 향하게 만들어 CORS 문제를 야기할 수 있습니다.
API Gateway 앞에 Nginx나 HAProxy와 같은 별도의 프록시 서버를 사용하고 있다면, 해당 프록시 서버의 설정이 CORS 응답에 영향을 미치는지 면밀히 검토해야 합니다. 프록시 서버 설정 파일에서 CORS 헤더를 추가하거나 수정하는 부분이 있는지 확인하고, 필요하다면 Nginx의 add_header 지시어처럼 명시적으로 CORS 헤더를 추가하는 방안을 고려해 볼 수 있습니다.
또한, 프록시 서버의 접근 로그 및 에러 로그를 분석하여 API Gateway로 전달되는 요청과 Gateway로부터 받은 응답에 CORS 관련 헤더가 제대로 포함되어 있는지 확인하는 것도 중요합니다. 이처럼 API Gateway CORS 에러 발생 시 디버깅 및 해결 전략을 수립할 때, API Gateway 자체 설정뿐만 아니라 이러한 외부 요인들을 체계적으로 점검하는 것이 필수적입니다.
실제 사례로 알아보는 API Gateway CORS 에러 디버깅 및 해결 전략
API Gateway에서 마주치는 CORS(Cross-Origin Resource Sharing) 에러는 개발 과정에서 흔히 겪는 어려움 중 하나입니다. 이 문제를 효과적으로 해결하기 위해서는 체계적인 접근 방식이 필수적입니다. 지금부터 실제 발생 사례를 바탕으로 API Gateway CORS 에러 발생 시 디버깅 및 해결 전략을 자세히 살펴보겠습니다.
시나리오 1: 특정 Origin에서만 CORS 에러가 발생하는 경우
이러한 문제는 주로 API Gateway의 CORS 설정, 특히 허용된 Origin 목록과 밀접한 관련이 있습니다. 프론트엔드 애플리케이션의 호출 Origin이 API Gateway에서 제대로 인식되지 않을 때 발생하곤 합니다.
- 디버깅 단계:
- 먼저 브라우저 개발자 도구를 열어 정확한 CORS 에러 메시지를 면밀히 확인합니다.
- API Gateway의 CORS 설정을 주의 깊게 검토하여, `Access-Control-Allow-Origin` 헤더에 허용하려는 Origin이 정확히 포함되어 있는지 확인합니다.
(예: `Access-Control-Allow-Origin: "https://your-frontend.com"`) - Authorizer(Lambda, Cognito 등)를 사용하고 있다면, Authorizer의 응답에 CORS 관련 헤더가 올바르게 포함되어 전달되는지 점검합니다.
- Preflight 요청(`OPTIONS` 메서드)이 API Gateway에서 정상적으로 처리되는지 확인하는 것도 중요합니다.
- 해결 팁:
- 개발, 스테이징, 프로덕션 등 각 환경별 Origin을 명확하게 구분하여 설정하는 것이 좋습니다.
- `Access-Control-Allow-Credentials: true` 설정을 사용할 경우, `Access-Control-Allow-Origin` 헤더에는 와일드카드(`*`) 대신 반드시 특정 Origin을 명시해야 합니다.
시나리오 2: 모든 Origin에서 CORS 에러가 발생하거나 와일드카드 사용 시에도 문제 발생
이러한 상황이라면 API Gateway 설정 자체보다는 백엔드 서비스나 인프라단의 문제일 가능성이 높습니다. API Gateway CORS 에러 발생 시 디버깅 및 해결 전략의 다음 단계로 넘어가 보겠습니다.
- 디버깅 단계:
- Postman이나 curl과 같은 도구를 사용하여 API Gateway를 거치지 않고 백엔드 서비스에 직접 요청을 보내 응답을 확인합니다.
- 백엔드 서비스 자체에서 CORS 헤더를 설정하고 있는지 확인하고, API Gateway 설정과의 충돌 가능성은 없는지 점검합니다.
- API Gateway와 백엔드 서비스 간의 통합 방식(Proxy vs Non-Proxy)을 정확히 파악합니다.
- 네트워크 방화벽이나 보안 그룹 등에서 API 요청을 차단하고 있지는 않은지 확인합니다.
- 해결 팁:
- 만약 백엔드 서비스에서 CORS 헤더를 직접 설정하고 있다면, API Gateway의 CORS 설정을 비활성화하거나 백엔드 설정과 일치하도록 조정하는 것이 바람직합니다.
- Proxy Integration을 사용 중이라면, 백엔드 코드에서 `Access-Control-Allow-Origin`, `Access-Control-Allow-Methods` 등의 CORS 헤더를 올바르게 반환하도록 수정해야 합니다.
- CDN을 사용하고 있다면, CDN 설정에서도 CORS 헤더가 올바르게 처리되고 있는지 함께 확인해 볼 필요가 있습니다.
이처럼 실제 발생 사례를 기반으로 한 디버깅 시나리오는 API Gateway CORS 에러 발생 시 디버깅 및 해결 전략을 수립하는 데 실질적인 도움을 줍니다. 에러 메시지를 면밀히 분석하는 것은 물론, API Gateway 설정뿐 아니라 백엔드 서비스 및 관련 네트워크 환경까지 포괄적으로 검토하는 것이 문제 해결의 핵심입니다.
💡 실무 팁: CORS 에러 발생 시 체크리스트
- [ ] 브라우저 개발자 도구에서 에러 메시지 상세 확인
- [ ] API Gateway CORS 설정 (허용 Origin, 헤더, 자격 증명 등) 검토
- [ ] Authorizer 응답 헤더 확인 (Authorizer 사용 시)
- [ ] 백엔드 서비스 직접 호출 테스트 (API Gateway 우회)
- [ ] 백엔드 CORS 헤더 설정 및 API Gateway 설정 간 충돌 여부 확인
- [ ] 네트워크 방화벽/보안 그룹 설정 확인
- [ ] CDN 설정 확인 (CDN 사용 시)
경험에서 배운 점
API Gateway에서 CORS 에러를 마주하는 것은 드문 일이 아니지만, 침착하게 체계적으로 접근하는 것이 중요합니다. 제 경험상 가장 먼저 점검해야 할 사항은 API Gateway 자체의 CORS 설정입니다. 많은 경우, API Gateway 콘솔이나 IaC(Infrastructure as Code) 설정에서 허용된 Origin, Method, Header가 올바르게 지정되지 않아 문제가 발생합니다. 특히, 개발 환경과 프로덕션 환경의 Origin이 다르거나, Authorization과 같은 특정 헤더가 누락된 경우 CORS 에러가 발생하기 쉽습니다. 따라서, API Gateway 설정에서 허용된 Origin, Method, Header를 꼼꼼히 검증하는 것이 첫 번째이자 가장 중요한 단계입니다.
두 번째로 중요한 점은 브라우저의 개발자 도구를 활용한 심층 디버깅입니다. 브라우저의 Network 탭에서 요청과 응답 헤더를 자세히 살펴보면 CORS 에러의 근본 원인을 파악하는 데 큰 도움이 됩니다. 응답 헤더에 포함된 Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers와 같은 CORS 관련 헤더들이 의도한 대로 설정되었는지, 혹은 예상치 못한 값이 반환되는지를 확인해야 합니다. 더불어, Preflight 요청(OPTIONS 메서드)이 성공적으로 처리되는지도 반드시 점검해야 합니다. Preflight 요청이 실패하면 실제 요청이 서버에 도달하기도 전에 CORS 에러가 발생하기 때문입니다.
마지막으로, 백엔드 애플리케이션의 CORS 설정 역시 간과해서는 안 됩니다. API Gateway가 CORS 요청을 올바르게 처리하더라도, 백엔드 애플리케이션 자체에서 CORS를 허용하지 않으면 최종적으로 CORS 에러가 발생할 수 있습니다. API Gateway 설정이 완벽하다고 판단될 경우, 백엔드 애플리케이션의 CORS 미들웨어나 설정 파일을 점검해야 합니다. 예를 들어, Node.js 환경에서는 Express.js의 cors 미들웨어 설정을, Spring Boot에서는 WebMvcConfigurer 인터페이스를 활용한 CORS 설정을 확인해볼 수 있습니다. 여러 마이크로서비스로 구성된 환경에서는 각 서비스별 CORS 설정이 일관성 있게 관리되는 것이 특히 중요합니다. 이러한 다각적인 점검 과정을 통해 API Gateway CORS 에러를 빠르고 정확하게 해결하고, 재발 방지를 위한 체계적인 관리 방안을 수립할 수 있습니다.
댓글
댓글 쓰기