SQL injection이란 무엇이며 어떻게 예방하나요?

Question

Accepted Answer

**SQL injection**은 공격자가 사용자 입력을 통해 악의적인 SQL을 삽입하는 취약점으로, 데이터베이스 쿼리를 조작하여 데이터를 훔치거나 authentication을 우회하거나 데이터를 손상시킵니다. 가장 위험하고 고전적인 웹 취약점 중 하나이지만 적절한 기법으로 예방할 수 있습니다.

## SQL injection이 작동하는 방식

```text
사용자 입력이 SQL 쿼리에 직접 연결되면, 공격자는 SQL을 INJECT할 수 있다:
```

```js
// ❌ 취약 — 사용자 입력이 쿼리에 연결됨
const query = `SELECT * FROM users WHERE email = '${userInput}'`;
// 공격자가 입력:  ' OR '1'='1
// → SELECT * FROM users WHERE email = '' OR '1'='1'   → 모든 사용자 반환!
// 또는:  '; DROP TABLE users; --   → 테이블을 삭제할 수 있음
```

공격자의 입력이 데이터가 아니라 **SQL 코드**로 취급되어 쿼리를 다시 작성하게 합니다(로그인 우회, 모든 데이터 덤프, 테이블 삭제).

## 예방: parameterized query (주요 해결책)

```js
// ✅ PARAMETERIZED / PREPARED 문 — 입력은 코드가 아니라 DATA로 취급됨
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]);     // 값이 안전하게 바인딩됨, 연결되지 않음
// → 데이터베이스가 userInput을 리터럴 값으로 취급 → injection 불가능
```

**Parameterized query(prepared statement)**는 SQL 코드와 데이터를 분리합니다 — 입력은 절대 SQL로 해석될 수 없습니다. 이것이 주요하고 신뢰할 수 있는 방어책입니다.

## 추가 방어책

```text
✓ PARAMETERIZED query / prepared statement → #1 해결책(항상 사용)
✓ ORM/쿼리 빌더 → 내부적으로 parameterization 사용(단, 원시 문자열 연결로 우회하지 말 것)
✓ 입력 VALIDATION (심층 방어) — 검증/정화하되, parameterization의 대체가 아님
✓ 최소 권한 DB 계정(피해 제한); 상세한 DB 오류 노출 회피
→ 절대로 사용자 입력을 연결하여 쿼리를 만들지 마라.
```

## 왜 중요한가

SQL injection과 그 예방 방법을 이해하는 것이 필수적인 이유는 그것이 **가장 위험하고 고전적이며 흔한 웹 취약점 중 하나**(OWASP injection 카테고리의 일부)이면서도 완전히 예방 가능하기 때문이며, 따라서 데이터베이스를 다루는 모든 개발자에게 반드시 알아야 할 보안 지식입니다.

**작동 방식**을 이해하는 것 — 사용자 입력을 SQL 쿼리에 직접 연결하면 공격자가 **SQL 코드를 주입**(입력이 데이터가 아니라 코드로 취급됨)할 수 있어 authentication 우회(`' OR '1'='1`), 모든 데이터 덤프, 심지어 테이블 삭제(`'; DROP TABLE`)가 가능함 — 은 취약점을 인식하고 피하는 데 필요합니다.

SQL injection은 치명적일 수 있어(완전한 데이터 침해, 데이터 파괴, authentication 우회) 매우 중요합니다.

**예방**을 이해하는 것이 필수적입니다: **parameterized query(prepared statement)**가 주요하고 신뢰할 수 있는 해결책입니다 — 이는 **SQL 코드와 데이터를 분리**하여 사용자 입력을 절대 SQL로 해석될 수 없는 리터럴 값으로 취급하므로 injection을 불가능하게 만듭니다.

이것이 모든 개발자가 사용해야 하는 #1 방어책입니다.

**추가 방어책**을 이해하는 것 — ORM/쿼리 빌더 사용(parameterization을 하되 원시 연결로 우회하지 않음), 심층 방어로서의 입력 검증(단, parameterization의 대체가 아님), 최소 권한 데이터베이스 계정, 상세한 오류 노출 회피 — 과 **절대 사용자 입력을 쿼리에 연결하지 말라**는 핵심 규칙은 포괄적인 예방을 반영합니다.

SQL injection은 심각한 결과(데이터 침해, 데이터 손실, 인증 우회)를 동반하는 위험하고 흔하며 고전적인 취약점이지만 parameterized query로 완전히 예방 가능하고, 그 작동 방식과 예방 방법을 이해하는 것이 데이터베이스를 다루는 모든 개발자에게 필수적이므로, SQL injection과 그 예방을 이해하는 것은 필수적이고 반드시 알아야 할 보안 지식입니다. 이는 이해하고 방어해야 할 근본적인 취약점이며, 단순하고 신뢰할 수 있는 해결책(parameterized query)은 가장 피해가 큰 공격 부류 중 하나를 예방하는 핵심 지식입니다.