AI가 CORS 설정해줬는데 왜 와일드카드(*)로 설정하면 안 되나요

1. 왜 AI가 설정한 CORS가 항상 안전하다고 볼 수 없을까?

1) 개발 속도가 빨라질수록 놓치기 쉬운 부분

요즘은 바이브코딩처럼 빠르게 만들고 바로 확인하는 개발 방식이 익숙해졌습니다. 이 과정에서 AI가 코드를 작성해 주면 초기 세팅이 훨씬 쉬워지지만, 보안 설정까지 자동으로 안전하게 맞춰준다고 보기는 어렵습니다. 특히 CORS는 동작만 되면 넘어가기 쉬워서, 나중에 문제를 발견하는 경우가 많습니다.

2) 검색어로 많이 찾는 이유

CORS와일드카드가 왜 문제인지, API보안에서 어떤 영향을 주는지 궁금해하는 분들이 많습니다.
실제로 AI가 “일단 잘 되게” 만들어 준 설정을 그대로 적용했다가, 운영 환경에서 예기치 않은 접근 문제가 생기기도 합니다. 그래서 많은 분들이 AI코드리뷰나 보안 점검 도구를 통해 기본 설정을 다시 확인하려고 합니다.

3) 이 글에서 다룰 내용

이 글에서는 CORS가 무엇인지, 왜 * 설정이 위험할 수 있는지, 그리고 어떤 상황에서는 허용할 수 있는지까지 차근차근 설명해 보겠습니다. 또한 AI가 작성한 코드나 설정을 그대로 믿기보다 어떤 관점으로 살펴봐야 하는지도 함께 정리하겠습니다.

2. CORS는 왜 필요한가

1) 브라우저의 같은 출처 정책을 보완하는 장치

CORS는 브라우저에서 서로 다른 출처의 요청을 제어하기 위한 정책입니다. 예를 들어 프론트엔드와 API 서버가 다른 도메인에 있을 때, 브라우저는 기본적으로 임의의 요청을 허용하지 않습니다. 이때 서버가 허용 범위를 명시해 주는 것이 CORS입니다.

2) “동작하게 만드는 설정”과 “안전한 설정”은 다르다

개발할 때는 일단 API가 호출되게 만드는 것이 우선일 수 있습니다. 그래서 AI가 Access-Control-Allow-Origin: *처럼 단순한 설정을 추천하는 경우가 있습니다. 하지만 이것은 요청이 잘 되게 하는 방향이지, 보안적으로 가장 좋은 방향이라는 뜻은 아닙니다.

3) API보안 관점에서 CORS가 중요한 이유

CORS는 단순한 프론트엔드 이슈가 아니라 API보안의 일부로 보는 것이 맞습니다. 인증 정보, 쿠키, 민감한 응답 데이터가 오가는 API라면 CORS 설정이 넓을수록 예상치 못한 노출 가능성이 커집니다. 그래서 운영 환경에서는 더 세심하게 확인하는 편입니다.

3. CORS와일드카드(*)가 위험해질 수 있는 이유

1) 모든 출처를 허용한다는 뜻에 가깝기 때문

CORS와일드카드는 말 그대로 모든 출처에서의 접근을 허용하는 설정입니다. 공개 API나 정적 자원처럼 정말 제한이 적은 경우에는 일부 상황에서 쓰일 수 있지만, 로그인 정보나 사용자 데이터가 오가는 서비스에는 신중해야 합니다. 특히 인증 쿠키나 민감한 응답이 있는 경우 더 주의가 필요합니다.

2) 의도치 않은 사이트에서도 요청을 보낼 수 있다

브라우저는 CORS 정책에 따라 응답을 읽을 수 있는지를 판단합니다. *로 열어두면, 허용된 범위가 너무 넓어져서 원래 의도하지 않은 웹사이트에서도 접근 시도가 가능해집니다. 이 과정에서 공격 표면이 넓어질 수 있다는 점이 문제입니다.

3) 쿠키, 세션, 권한 정보와 함께 쓰일 때 더 조심해야 한다

특히 세션 기반 인증을 사용하는 경우에는 CORS 설정이 더 민감합니다. CORS와일드카드 자체가 항상 취약점을 만든다고 단정할 수는 없지만, 인증 정보가 같이 오가는 구조에서는 작은 설정 실수가 큰 문제로 이어질 수 있습니다. 그래서 실제 운영에서는 구체적인 허용 출처를 적는 방식이 더 자주 사용됩니다.

4. AI가 작성한 CORS 설정을 그대로 믿으면 생길 수 있는 문제

1) 개발 환경 기준으로만 최적화되는 경우

AI는 보통 질문에 주어진 조건만 보고 코드를 만듭니다. 개발 중에는 *로 열어두고 테스트가 잘 되면 넘어가기도 쉽습니다. 하지만 운영 환경에서는 도메인별 허용 목록, 인증 방식, 프록시 구조까지 함께 봐야 하므로 AI가 제안한 값이 그대로 맞지 않을 수 있습니다.

2) 브라우저에서는 보이지만 서버 관점에서는 놓치는 문제

CORS는 브라우저에서의 접근 제어에 가깝기 때문에, 서버 자체의 인증·권한 검증을 대신해 주지 않습니다. 그래서 AI코드리뷰로 CORS 코드만 점검하고 끝내면, 실제로는 API 보안의 핵심인 인증 검증이 빠져 있을 수 있습니다. CORS는 방어의 일부일 뿐이라는 점을 기억하는 것이 좋습니다.

3) 실제 취약점은 설정 외에 다른 곳에서 같이 발생하기도 한다

예를 들어 * 설정이 아니더라도, 잘못된 프리플라이트 처리나 과도한 헤더 허용, 민감 정보 노출이 함께 있으면 문제가 될 수 있습니다. 또한 .env, 소스코드, API 키가 외부에 노출되는 상황이라면 CORS보다 더 직접적인 위험이 됩니다. 그래서 설정 하나만 보는 것보다 전체 흐름을 함께 보는 방식이 필요합니다.

5. CORS와일드카드는 언제 조심해서 봐야 할까

1) 로그인, 결제, 개인정보가 있는 서비스

사용자 계정 정보, 주문 정보, 결제 정보처럼 민감한 데이터를 다루는 서비스는 CORS와일드카드를 기본값처럼 두면 안 됩니다. 이런 서비스는 허용 출처를 명확히 제한하고, 필요한 경우에만 예외를 두는 방식이 더 적합한 편입니다.

2) 쿠키 기반 인증을 사용하는 경우

쿠키를 이용한 인증은 브라우저 정책과 함께 고려해야 할 점이 많습니다. 이때 * 설정은 개발을 단순하게 만들 수 있지만, 운영 환경에서는 예기치 않은 동작을 부를 수 있습니다. 특히 크로스 사이트 요청과 인증 정보가 얽히면 더 세심한 확인이 필요합니다.

3) 외부 프론트엔드나 여러 도메인과 연동하는 경우

여러 도메인에서 같은 API를 쓰는 구조라면 CORS 설정이 더 복잡해집니다. 이럴 때는 무작정 열어두기보다, 필요한 도메인만 허용하고 테스트 환경과 운영 환경을 분리하는 것이 좋습니다. 바이브코딩으로 빠르게 만든 프로젝트일수록 이런 부분이 빠지기 쉬워서 다시 점검하는 과정이 필요합니다.

6. AI코드리뷰와 기본 보안 점검은 어떻게 활용하면 좋을까

1) AI코드리뷰는 “빠른 1차 확인”으로 쓰기

AI코드리뷰는 코드의 문법이나 흔한 설정 실수를 빠르게 찾는 데 도움이 됩니다. 하지만 보안 판단을 전적으로 맡기기보다는, 우선순위를 정해주는 용도로 보는 편이 좋습니다. 특히 CORS, 인증, 쿠키, 헤더 설정처럼 실서비스 영향이 큰 부분은 사람이 한 번 더 확인하는 것이 좋습니다.

2) URL 입력만으로 기본 상태를 점검하는 도구의 장점

웹사이트 주소를 입력하면 HTTPS, 인증서, 보안 헤더, CORS, 쿠키, API 접근 같은 기본 항목을 빠르게 살펴볼 수 있는 도구도 있습니다. 복잡한 보안 설정을 전부 다루지는 않더라도, 실제 사고로 이어질 수 있는 기본 문제를 먼저 찾는 데 유용합니다. 이런 방식은 “일단 돌아가게 만들기”에 익숙한 바이브코딩 환경에서 특히 도움이 됩니다.

3) 개발 후반보다 초기에 확인하는 것이 더 효율적

초기에는 수정이 쉽고 영향 범위도 작습니다. 반대로 운영 직전에 보안 이슈를 발견하면 설정, 배포, 프론트 연결까지 다시 손봐야 해서 비용이 커질 수 있습니다. 그래서 AI가 만든 코드와 설정을 초기에 점검하는 흐름이 점점 중요해지고 있습니다.

7. 정리: CORS와일드카드(*)는 왜 신중해야 할까

1) 핵심은 “모두 허용”이 아니라 “필요한 만큼만 허용”이다

CORS와일드카드는 편리하지만, 항상 안전한 선택은 아닙니다. 특히 사용자 정보나 인증이 포함된 API에서는 허용 출처를 구체적으로 제한하는 방식이 더 바람직합니다. AI가 설정해 준 값이라도 서비스 성격에 맞는지 반드시 확인해야 합니다.

2) AI가 만든 코드는 출발점일 뿐이다

AI코드리뷰나 자동 생성 코드는 빠른 개발에 큰 도움이 되지만, 최종 판단은 서비스 구조와 보안 요구사항을 함께 봐야 합니다. API보안은 CORS 한 가지로 끝나지 않고, 쿠키, 인증, 헤더, 정보 노출까지 함께 살펴야 합니다.

3) 어떤 상황에서 이 서비스를 고려하면 좋을까

바이브코딩으로 빠르게 만든 프로젝트가 늘고, 프론트와 백엔드가 분리된 구조가 많아질수록 기본 보안 점검의 필요성은 더 커집니다. 이럴 때는 URL만으로 보안 상태를 빠르게 확인하는 방식이 유용할 수 있습니다. 직접 전화나 수동 문의로 하나씩 확인하는 방식보다, 먼저 기본 항목을 빠르게 점검해 보고 필요한 부분만 추가로 살피는 편이 효율적입니다. 특히 CORS와일드카드처럼 “일단 되게 만드는 설정”이 들어간 경우, 실제로 운영해도 괜찮은지 가볍게 확인하는 출발점으로 활용하기 좋습니다.