첨부파일 다운로드 기능 기획할 때 꼭 확인해야 할 질문 7가지
첨부파일 다운로드 기능 기획할 때 꼭 확인해야 할 질문 7가지
다운로드 기능은 겉으로 보면 단순합니다. 버튼을 누르면 파일이 내려오면 끝처럼 보이죠. 그런데 실무에서는 이 기능이 생각보다 많은 정책을 끌고 들어옵니다. 누가 받을 수 있는지, 링크를 공유해도 되는지, 파일 이름은 어떻게 보일지, 브라우저에서 바로 열릴지 아니면 강제로 저장될지, 링크는 언제 만료될지까지 미리 정해야 합니다.
특히 기획서에 “첨부파일 다운로드 가능” 한 줄만 적혀 있으면 개발 단계에서 질문이 다시 쏟아집니다. 공개 파일인지, 관리자 전용인지, presigned URL을 쓸지, 다운로드 로그가 필요한지 같은 항목이 빠져 있기 때문입니다.
이 글에서는 첨부파일 다운로드 기능 기획할 때 꼭 확인해야 할 질문 7가지를 기획자와 PM이 개발자와 회의할 때 바로 써먹을 수 있게 실무형으로 정리했습니다.
“이 다운로드는 누가, 어떤 방식으로, 얼마나 오래 접근할 수 있나요?”
목차
다운로드 기획 전 한눈에 보는 7가지 질문
| 질문 | 왜 중요한가 | 회의에서 확인할 포인트 |
|---|---|---|
| 1. 누가 다운로드할 수 있는가? | 권한 설계가 틀리면 보안 이슈로 바로 이어집니다. | 회원, 관리자, 소유자, 외부 공유 가능 여부 |
| 2. 열람 vs 다운로드? | 브라우저 동작과 사용자 경험이 달라집니다. | inline, attachment, 미리보기, 저장 강제 |
| 3. 파일명은 어떻게 보여줄 것인가? | 사용자 이해도와 다운로드 관리 편의성에 영향을 줍니다. | 표시 파일명, 버전명, 특수문자 처리 |
| 4. 링크는 어떻게 발급되고 언제 만료되는가? | 직접 다운로드 구조와 보안 구조가 달라집니다. | presigned URL, 유효 시간, 재발급 정책 |
| 5. 무단 접근은 어떻게 막는가? | URL 추측, 공유 링크 재사용, IDOR를 막아야 합니다. | 객체별 권한 확인, 직접 접근 차단 |
| 6. 파일 변경과 삭제는? | 예전 링크, 버전 충돌, 404 대응이 필요합니다. | 버전 관리, 대체 파일, 삭제 메시지 |
| 7. 로그와 운영 대응은? | 감사, 장애 대응, 민감 파일 추적에 중요합니다. | 다운로드 로그, 실패 로그, 운영자 조회 |
질문 1. 누가 파일을 다운로드할 수 있는가?
다운로드 기능에서 가장 먼저 정해야 할 것은 권한입니다. 누구나 받을 수 있는 공개 파일인지, 로그인한 사용자만 가능한지, 업로드한 본인만 받을 수 있는지, 관리자나 담당자만 가능한지에 따라 구현 방식이 크게 달라집니다.
기획 체크포인트
공개 파일인지, 사용자 소유 파일인지, 조직 내부 전용 파일인지, 외부 전달 허용 여부까지 함께 정의하세요.
질문 2. 브라우저에서 바로 열 것인가, 다운로드할 것인가?
어떤 파일은 브라우저에서 바로 열어보는 것이 자연스럽고, 어떤 파일은 저장되도록 강제하는 편이 낫습니다. PDF, 이미지처럼 미리보기가 유용한 경우가 있고, 계약서 원본이나 민감 문서는 다운로드를 유도하는 편이 나을 수 있습니다.
- 브라우저 내 미리보기가 필요한가?
- 반드시 저장되도록 해야 하는가?
- 모바일 브라우저에서도 같은 동작이 필요한가?
- 첨부파일 유형별로 동작을 나눌 것인가?
질문 3. 파일명은 어떻게 보여줄 것인가?
사용자가 받는 파일 이름은 생각보다 중요합니다. 저장소 내부 파일명과 사용자에게 보여줄 다운로드 파일명이 다를 수 있기 때문입니다. 사람이 이해하기 쉬운 이름을 줄지, 버전이나 날짜를 붙일지, 중복 이름은 어떻게 처리할지 정해야 합니다.
같이 정하면 좋은 항목
- 사용자 표시용 파일명
- 버전명 또는 날짜 포함 여부
- 특수문자와 공백 처리 정책
- 한글 파일명 대응 여부
파일명은 단순 라벨이 아니라 사용자 경험의 일부입니다. 다운로드 폴더에 “final_final_really_final.pdf”가 쌓이면 기획도 마음이 찌그러집니다.
질문 4. 다운로드 링크는 어떻게 발급하고 언제 만료되는가?
링크 구조는 보안과 운영을 동시에 바꿉니다. 서버를 거쳐 내려주는지, 객체 스토리지의 presigned URL을 발급하는지, 링크가 몇 분 또는 몇 시간 동안 유효한지에 따라 사용자 경험도 달라집니다.
실무에서 자주 나오는 선택지
서버 권한 확인 후 즉시 다운로드, 만료 시간이 있는 presigned URL 발급, 관리자 전용 단기 링크, 외부 공유용 별도 링크
- 링크 유효 시간은 몇 분 또는 몇 시간인가?
- 만료 후 재발급이 가능한가?
- 링크를 여러 번 써도 되는가?
- 외부 전달용 링크와 내부용 링크를 분리할 것인가?
질문 5. 직접 URL 공유나 무단 접근은 어떻게 막을 것인가?
다운로드 기능은 특히 “링크만 알면 열리는가?”를 반드시 확인해야 합니다. 사용자별 파일이나 민감 문서는 객체 단위로 권한 확인이 필요하고, 단순히 복잡한 ID를 쓴다고 해서 접근 통제가 끝나는 것은 아닙니다.
- 다운로드 요청마다 권한 확인을 하는가?
- 링크 공유 후 제3자가 접근할 수 있는가?
- 직접 스토리지 URL 노출을 막을 것인가?
- 객체별 접근 제어가 필요한가?
질문 6. 파일이 바뀌거나 삭제되면 어떻게 처리할 것인가?
다운로드 기능은 현재 파일만 잘 내려가면 끝이 아닙니다. 파일이 교체되었을 때 예전 링크는 어떻게 되는지, 삭제된 파일 요청에는 어떤 메시지를 보여줄지, 버전이 여러 개일 때 어떤 파일을 기본으로 주는지까지 정해야 합니다.
- 파일 교체 시 예전 링크는 무효화되는가?
- 삭제된 파일 요청에는 어떤 안내를 보여주는가?
- 최신 버전만 다운로드 가능한가?
- 이전 버전 다운로드가 필요한가?
질문 7. 다운로드 로그, 실패, 운영 대응은 어떻게 할 것인가?
운영 단계에서는 “누가 언제 무엇을 받았는가”가 중요해집니다. 특히 관리자 문서, 계약서, 개인정보 파일처럼 민감도가 높은 경우에는 다운로드 이력과 실패 로그가 꼭 필요할 수 있습니다.
- 다운로드 이력을 남겨야 하는가?
- 실패한 다운로드도 로그로 남겨야 하는가?
- 운영자가 특정 파일의 다운로드 기록을 조회할 수 있어야 하는가?
- 링크 만료나 권한 부족 시 사용자 안내 문구가 필요한가?
- 민감 파일에 대한 별도 감사 로그 정책이 필요한가?
실무 체크리스트 요약
다운로드 기능도 결국 정책의 묶음입니다.
- 다운로드 권한 정하기
- 열람과 저장 동작 정하기
- 다운로드 파일명 정하기
- 링크 발급과 만료 정책 정하기
- 무단 접근 방지 방식 정하기
- 파일 변경 및 삭제 대응 정하기
- 로그와 운영 대응 정하기
결론
첨부파일 다운로드 기능은 단순히 버튼을 누르면 파일이 내려오는 기능이 아닙니다. 권한, 링크, 파일명, 열람 방식, 로그, 보안이 엮인 작은 정책 시스템입니다.
기획 단계에서 질문 7가지를 먼저 정리하면, 다운로드 기능은 훨씬 안전하고 운영 가능한 구조가 됩니다.
다운로드 기능을 기획할 때는 “받을 수 있나?”만 보지 말고 “누가, 어떤 방식으로, 얼마나 안전하게 받을 수 있나?”까지 같이 보는 것이 실무 감각입니다.
FAQ
참조
- MDN Web Docs, Content-Disposition header
- MDN Web Docs, HTMLAnchorElement.download
- AWS Documentation, Download and upload objects with presigned URLs
- AWS Documentation, Sharing objects with presigned URLs
- OWASP Cheat Sheet Series, Insecure Direct Object Reference Prevention Cheat Sheet
- OWASP Cheat Sheet Series, Authorization Cheat Sheet