Table of Contents

API 오류 코드

Q: 4xx 오류와 5xx 오류의 가장 큰 차이점은 무엇인가요?

가장 큰 차이는 '누구의 잘못인가'에 있다는 점에 주목해야 합니다. 4xx 오류(예: 404 Not Found)는 요청을 보낸 클라이언트 쪽의 문제로 발생합니다. URL을 잘못 썼거나, 필요한 정보를 빼먹은 경우에 해당하지요. 반면, 5xx 오류(예: 500 Internal Server Error)는 요청은 제대로 도착했지만 서버 내부의 문제(코드 버그, DB 접속 실패 등) 때문에 처리를 못한 것으로 나타납니다. 이로 인해 4xx 오류는 내 코드를 고쳐야 할 것이고, 5xx 오류는 서버가 해결되길 기다리거나 서버 관리자에게 알려야 할 것입니다.

Q: 401 Unauthorized와 403 Forbidden 오류는 어떻게 다른가요?

둘 다 접근 거부라는 공통점은 있지만, 그 이유가 다르다는 점이 특징입니다. 401 Unauthorized는 '인증' 실패로, 시스템이 당신이 누구인지조차 모르는 상태로 볼 수 있습니다. 즉, 로그인을 안 했거나 틀린 API 키를 쓴 경우인 셈이죠. 반면, 403 Forbidden은 '인가' 실패를 뜻합니다. 시스템이 당신이 누구인지는 알지만(인증 성공), 해당 자료에 접근할 '권한'이 없는 상태로 분류됩니다. 예를 들어, 일반 사용자가 관리자 페이지에 접근하려 할 때 발생하곤 합니다.

Q: RFC 7807 같은 구조화된 오류 응답을 왜 사용하나요?

개발자의 삶의 질과 프로그램의 안정성을 높여주기 위함입니다. 단순히 `400`이라는 숫자만 주는 대신, `type`(오류 종류), `title`(제목), `detail`(상세 설명) 같은 표준화된 필드에 정보를 담아주면, 개발자는 이 정보를 바탕으로 오류 종류에 따라 재시도를 하거나, 사용자에게 더 친절한 안내 메시지를 보여주는 등 기계적으로 오류를 처리할 수 있게 되거든요.

Q: 오류 응답에 '상관 관계 ID(Correlation ID)'를 포함하는 것이 왜 중요한가요?

요즘 서비스들은 여러 개의 작은 서비스(마이크로서비스)들이 서로 대화하며 동작하는 경우가 많다는 점이 특징입니다. 이때 문제가 생기면 어떤 서비스에서 시작된 문제인지 추적하기가 매우 어렵다는 문제에 직면하곤 하지요. '상관 관계 ID'는 한 사용자의 요청에 고유한 꼬리표를 붙여주는 것과 같다고 볼 수 있습니다. 이 ID 하나만 있으면 여러 시스템에 흩어져 있는 관련 기록(로그)들을 한 번에 모아서 볼 수 있으므로, 문제의 원인을 훨씬 빠르고 쉽게 찾을 수 있답니다.

Q: API를 호출했을 때 '500 Internal Server Error'를 받았다면 가장 먼저 무엇을 해야 하나요?

'500 오류'는 서버 문제이므로 제가 직접 해결할 수는 없을 것입니다. 저도 500 오류를 받으면 일단 커피 한 잔 하면서 해당 API의 공식 상태 페이지(Status Page)나 트위터 공지 등을 확인하여 이미 알려진 장애가 있는지부터 보곤 합니다. 특별한 공지가 없을 경우, 잠시 후 다시 시도해보고 그래도 계속 문제가 발생하면 API 제공사의 기술 지원팀에 문의하는 것이 가장 좋은 방법일 것입니다. 문의할 때는 언제, 어떤 요청을 보냈는지, 그리고 오류 응답에 포함된 정보(특히 Correlation ID)를 함께 전달하면 문제 해결에 큰 도움이 될 것이 자명해요.

금요일 저녁 퇴근 직전, 갑자기 서비스가 멈췄다는 긴급 알림을 받았던 기억이 아직도 생생합니다. 사용자들은 로그인이 안 된다고 아우성이었고요. 제 콘솔에는 의미를 알 수 없는 빨간 에러 메시지만 잔뜩 떠 있어서, 그때는 진짜 암호 해독하는 기분이더라고요.

근데 이런 순간에 의외로 제일 큰 힌트가 되는 게 딱 하나 있습니다. 바로 API 오류 코드예요. 그때 제가 받은 게 503 Service Unavailable였는데, 이거 하나 보고 “아, 내 코드가 터진 게 아니라 외부 인프라 쪽이거나 서버가 잠깐 못 받는 상황일 수도 있겠구나” 방향이 잡혔습니다. 덕분에 삽질을 덜 하고 대응도 빨랐고요.

오류 코드는 “뭐가, 왜, 어디서” 꼬였는지 알려주는 시스템 간 소통 언어입니다. 잘만 읽으면 개발자 시간 아껴주는 꽤 든든한 친구가 되기도 해요.

API 오류 코드의 이해

API 통신은 눈에 안 보이는 약속으로 굴러갑니다. 요청이 잘못되거나 서버에 예상 못 한 문제가 생기는 건 언제든지 일어날 수 있고요. 그래서 개발자에게 명확한 피드백을 주고, 문제 상황을 분류하려고 오류 코드가 존재합니다. 이거 감으로 때려맞추기 시작하면 끝도 없이 삽질하게 되더라고요.

여기서는 오류 코드가 뭔지, 어떤 종류가 있는지부터 차근차근 잡아볼게요. 초보 때는 이거 한 번 정리해두면 진짜 오래 써먹습니다.

API 오류 코드란?

API 오류 코드는 클라이언트(앱, 웹 브라우저 등)와 서버가 API로 대화하는 과정에서 문제가 생겼을 때, 그 원인을 알려주려고 미리 약속해둔 숫자나 문자열 코드입니다. 우리가 매일 쓰는 HTTP 프로토콜의 3자리 상태 코드가 대표적이죠. 이런 상태 코드는 IETF의 RFC 7231 같은 문서에 정의돼 있고, 전 세계 개발자들이 같이 쓰는 공용어라고 보셔도 됩니다.

HTTP 상태 코드는 응답 성격을 한눈에 보라고 보통 다섯 그룹으로 나뉩니다.

1xx (Informational) 요청은 받았고 처리 중이라는 신호입니다.
2xx (Successful) 요청이 성공적으로 처리됐다는 신호예요. 제일 유명한 200 OK가 여기 들어갑니다.
3xx (Redirection) 다른 주소로 이동해야 한다는 안내입니다.
4xx (Client Error) 요청을 보낸 쪽, 즉 클라이언트 쪽 문제가 있다는 뜻입니다. 주소를 잘못 썼거나 필수 값을 빼먹은 경우가 많아요.
5xx (Server Error) 요청은 도착했는데 서버가 처리 못 했다는 뜻입니다.

> 로이 필딩(Roy Fielding) 교수는 오류 코드가 단순히 “문제 있음”을 알리는 걸 넘어서, 개발자가 해결할 수 있을 만큼의 정보를 줘야 한다고 강조했죠.

그래서 요즘 API는 404 같은 숫자만 툭 던지고 끝내는 경우가 점점 줄었습니다. 제가 실무에서 느낀 건, API가 잘 만들어질수록 HTTP 상태 코드에 더해서 “어디가 잘못됐는지”를 알려주는 메시지, 서비스 고유 오류 코드, 해결 힌트까지 같이 주는 경우가 많더라고요. 이런 걸 보통 ‘구조화된 오류 응답(Structured Error Response)’이라고 부르고, 개발자 경험(DX)에도 꽤 큰 영향을 줍니다.

API 오류 코드 종류

수많은 오류 코드 중에서 개발자가 제일 자주 마주치고, 직접 해결해야 하는 건 4xx와 5xx입니다. 책임이 내 코드에 있는지, 아니면 서버 쪽(혹은 외부 인프라)에 있는지를 빠르게 가를 수 있거든요. 이거 구분만 잘해도 디버깅 속도가 확 올라갑니다.

API 오류 코드 목록과 의미

요즘은 기본 HTTP 코드에 더해서, RFC 7807 표준처럼 오류 상세 정보를 구조화해서 내려주는 게 점점 기본값이 되는 분위기입니다. 클라이언트 쪽에서 오류를 처리하기도 편하고, 사용자에게 안내 문구 만들기도 수월해지거든요.

코드	분류	의미/설명
400	클라이언트 오류	문법이 틀렸거나 서버가 이해할 수 없는 요청 (예: 잘못된 JSON 형식)
401	클라이언트 오류	인증 실패 (예: 유효하지 않거나 없는 API 키/토큰)
403	클라이언트 오류	권한 없음 (예: 인증은 성공했으나 해당 리소스 접근 권한 부재)
404	클라이언트 오류	요청한 리소스(주소, 기능, 데이터)를 찾을 수 없음 (예: 오타가 있는 URL, 삭제된 게시글)
405	클라이언트 오류	허용되지 않은 방식으로 요청 (예: 조회만 가능한 주소에 POST 요청)
409	클라이언트 오류	현재 서버 상태와 요청 충돌 (예: 이미 사용 중인 아이디로 회원가입 시도)
429	클라이언트 오류	정해진 시간 동안 너무 많은 요청 (서버 보호를 위한 요청 제한 정책)
500	서버 오류	서버 코드 버그나 예상치 못한 문제 (가장 대표적인 서버 오류, 원인 다양)
502	서버 오류	중간 프록시/게이트웨이 서버가 진짜 서버로부터 잘못된 응답 수신
503	서버 오류	서버 과부하 또는 점검 중으로 요청 처리 불가
504	서버 오류	중간 프록시/게이트웨이 서버가 진짜 서버의 응답을 너무 오래 기다림 (타임아웃)

API 오류 코드 처리 및 관리

오류 코드를 이해했다면 이제 실전입니다. 문제 생겼을 때 빨리 원인을 좁혀가는 디버깅 능력도 중요하고, 애초에 “다른 개발자가 덜 삽질하게” 오류를 설계하는 능력도 꽤 값지게 쳐줍니다. 실무에서는 이게 팀 전체 생산성에 직결되거든요.

API 오류 코드를 어떻게 처리해야 할까요?

API 쓰다가 오류 만나면 누구나 당황합니다. 근데 결국은 차분하게 단서를 모아서 범위를 좁혀야 해요. 디버깅은 코드를 멍하니 보는 게 아니라, 오류 코드를 단서로 논리적으로 원인을 줄여나가는 과정이더라고요. 로그를 꼼꼼히 보고, 도구를 적절히 쓰는 습관이 여기서 차이를 만듭니다.

API 오류 코드 해결 및 디버깅 팁

4xx 클라이언트 오류 해결 전략
400 (Bad Request)
요청 형식 검증 문서에 나온 형식이랑 내가 보낸 데이터가 진짜 같은지 비교해보셔야 합니다. JSON은 쉼표 하나, 괄호 하나로도 바로 터져요.
필수 값 확인 꼭 보내야 하는 파라미터를 빠뜨렸는지, 이름에 오타가 없는지부터 보시면 됩니다.
데이터 타입 확인 숫자 자리인데 문자열 보내는 식으로 타입이 안 맞는 경우도 흔합니다.

401 (Unauthorized) & 403 (Forbidden)
인증 토큰 확인 (401) 키/토큰 복붙할 때 앞뒤 공백 들어가는 경우 진짜 많습니다. 만료도 같이 확인해보세요.
권한 설정 점검 (403) 제공사 관리자 페이지에서 내 계정이나 키가 해당 기능 권한을 갖고 있는지 확인해야 합니다.

404 (Not Found)
주소(URL) 확인 오타가 없는지 여러 번 보셔야 합니다. 특히 리소스 ID 같은 부분에서 실수 많이 나요.
리소스 존재 여부 확인 테스트에는 있는데 운영에는 없는 데이터일 수도 있습니다. 반대로 운영에서만 막아둔 경우도 있고요.

제가 작년 3월에 ‘알파 프로젝트’라는 외부 쇼핑몰 연동을 하던 때가 있었는데요. 테스트 서버에서는 잘 되던 이미지 업로드 API가 운영에 배포만 하면 계속 403 Forbidden을 뱉더군요. 인증 로직을 수십 번 뜯어봤는데도 답이 안 나와서 꽤 오래 삽질했습니다.

결국 원인은 제 서버 IP가 그쪽 방화벽에 등록이 안 돼서 차단된 거였어요. 반나절 날리고 나서야 “아, 이건 코드만 볼 게 아니구나”를 뼈저리게 느꼈습니다. API 디버깅은 네트워크랑 인프라까지 시야를 넓혀야 할 때가 꽤 있습니다.

5xx 서버 오류 해결 전략
서버 로그 분석 우리가 관리하는 서버라면 에러 로그부터 보시면 됩니다. 단서의 8할은 로그에 있어요.
시스템 상태 모니터링 CPU, 메모리, 디스크 같은 자원 상태도 같이 봐야 합니다. 자원 부족이면 증상이 되게 애매하게 나옵니다.
외부 서비스 점검 DB나 다른 외부 API가 정상인지도 확인해야 하고요.
자동화된 모니터링 시스템 New Relic, Datadog 같은 걸로 5xx 튀면 바로 알림 오게 해두는 걸 추천드립니다. 초기에 잡는 게 진짜 중요해요.

API 오류 코드 설계 가이드라인

성공만큼이나 실패를 잘 처리하는 게 좋은 API의 조건입니다. 개발자들이 오류를 일관되게 처리할 수 있도록 설계하는 원칙들을 보통 ‘오류 코드 설계 가이드라인’이라고 부르는데, 결국은 “다른 개발자 덜 고생하게 해주자”에서 시작합니다.

핵심 원칙은 이런 것들입니다.

원칙	설명
정확한 HTTP 상태 코드 사용	상황에 맞는 코드를 써야 합니다. 인증이 틀리면 401, 권한이 없으면 403, 데이터가 없으면 404가 기본이에요. 모든 오류를 400이나 500으로 뭉뚱그리면, 쓰는 사람 입장에서는 거의 재난입니다.
일관된 오류 응답 구조	오류 응답 JSON 구조를 통일해두면, 클라이언트가 어떤 오류든 같은 방식으로 처리할 수 있습니다.
구체적이고 실행 가능한 메시지	“요청 실패” 같은 말 대신 “필수 파라미터 ’email’이 누락되었습니다.”처럼 바로 고칠 수 있게 써주는 게 좋습니다. 관련 문서 링크까지 있으면 디버깅 시간이 확 줄어요.
적절한 정보 노출	개발 환경에서는 디버깅을 위해 상세 정보를 주되, 운영에서는 내부 정보를 과하게 노출하면 보안 사고로 이어질 수 있습니다.
다국어 지원	글로벌 서비스라면 요청 헤더의 `Accept-Language`를 보고 사용자 언어에 맞춰 메시지를 내려주는 게 좋습니다.

여기서 한 발 더 나가면, 오류 응답에 상관 관계 ID(Correlation ID)를 넣는 걸 저는 꽤 강하게 추천드립니다. 예전에 마이크로서비스 여러 개로 결제 시스템 디버깅할 때, 이 ID 덕분에 여기저기 흩어진 로그를 한 번에 엮어서 10분 만에 원인 찾은 적이 있었습니다. 없었으면 반나절 갔을 거예요.

API 오류 코드는 실패의 상징이 아니라, 시스템과 개발자 사이의 대화 수단입니다. 신호를 제대로 읽고, 문제를 체계적으로 풀고, 다른 개발자까지 배려하는 오류 응답을 만들면 서비스도 안정적으로 가고요. 처음엔 낯설어도, 몇 번만 겪어보면 금방 감이 옵니다. 막히는 코드 있으면 그건 그거대로 같이 뜯어보면 됩니다.

FAQ

Q1: 4xx 오류와 5xx 오류의 가장 큰 차이점은 무엇인가요?

A1: 핵심은 “누구 쪽 문제냐”입니다. 4xx(예: 404)는 요청을 보낸 클라이언트 쪽 문제인 경우가 많습니다. URL을 잘못 썼거나 필요한 값을 빼먹은 케이스죠. 5xx(예: 500)는 요청은 도착했는데 서버 내부 문제(코드 버그, DB 접속 실패 등)로 처리를 못한 상황입니다. 그래서 4xx는 보통 내 요청/내 코드를 먼저 고치고, 5xx는 서버 상태를 보거나 제공사/서버 담당자에게 알려야 하는 경우가 많습니다.

Q2: 401 Unauthorized와 403 Forbidden 오류는 어떻게 다른가요?

A2: 둘 다 접근 거부인데 이유가 다릅니다. 401은 ‘인증’ 실패라서, 시스템이 “누군지 모르겠다”에 가깝습니다. 로그인 안 했거나 API 키가 틀린 경우죠. 403은 ‘인가’ 실패입니다. “누군지는 알겠는데, 너한테 권한은 없다”에 가까워요. 일반 사용자가 관리자 페이지 들어가려 할 때 같은 케이스가 대표적입니다.

Q3: RFC 7807 같은 구조화된 오류 응답을 왜 사용하나요?

A3: 오류 처리를 자동화하기 쉬워져서요. 400 숫자만 주는 대신 type, title, detail 같은 표준 필드로 정보를 내려주면, 클라이언트는 오류 종류에 따라 재시도/안내 문구/분기 처리를 좀 더 안정적으로 할 수 있습니다.

Q4: 오류 응답에 ‘상관 관계 ID(Correlation ID)’를 포함하는 것이 왜 중요한가요?

A4: 요즘은 마이크로서비스처럼 서비스가 여러 조각으로 나뉘어 있는 경우가 많아서, 장애가 나면 “어디서 시작됐는지” 추적이 어렵습니다. Correlation ID는 한 요청에 붙는 꼬리표 같은 거라서, 이거 하나로 여러 시스템 로그를 묶어서 볼 수 있습니다. 운영에서 체감이 꽤 큽니다.

Q5: API를 호출했을 때 ‘500 Internal Server Error’를 받았다면 가장 먼저 무엇을 해야 하나요?

A5: 500은 서버 쪽 문제인 경우가 많아서, 내가 당장 고칠 수 있는 게 없을 때도 많습니다. 저도 500 받으면 일단 해당 API 상태 페이지(Status Page)나 공지부터 확인해요. 공지가 없으면 잠깐 뒤에 재시도해보고, 계속이면 제공사 기술 지원에 문의하는 게 좋습니다. 문의할 때는 언제 어떤 요청을 보냈는지, 응답 본문에 있는 정보(특히 Correlation ID)가 있으면 같이 전달해주시면 해결이 훨씬 빨라집니다.

민동혁

안녕하세요, 코드 치는 게 일상인 12년 차 백엔드 개발자입니다. 😉

복잡해 보이는 API 공식 문서, 제가 초보자 눈높이에서 아주 쉽게 풀어드릴게요.

막히는 게 있다면 언제든 물어보세요. 같이 삽질하며 성장해 봅시다! 💪

API 오류 코드 종류 및 처리 방법, 설계 가이드 2026 리뷰

API 오류 코드