SQL Injection 공격과 대응

이전에 NodeJS Express와 MySql2를 연동하여 토이 프로젝트를 진행한 적이 있다. 

그때 사용자의 이메일을 가지고 해당 이메일을 갖는 계정이 존재하는지에 대한 여부를 확인하는 함수를 작성한 일이 있는데, 다음과 같이 구성했다.

당시 서로 코드 리뷰를 해주던 그룹이 있었는데, 한분께서 위 코드를 보시고는 "SQL Injection 공격에 취약해 보인다"라고 피드백을 해주신 기억이 있다. 

지금이야 저런 식으로 코드를 구성하는 것이 위험하다는 것을 알고있지만 당시에는 아는 것이 별로 없었기 때문에 SQL Injection을 따로 공부했던 기억이 있다.

 

 

SQL Injection 이란?

SQL Injection은 해커가 프로그래머의 의도에 벗어난 방법을 통해 SQL문을 재구성, DB에 질의하여 사용자의 비밀번호나 신용카드 정보 등 민감한 데이터를 뽑아내는 것을 의미한다. 

위의 코드를 보면 다음과 같이 SQL문이 작성되어 있다.

SELECT * FROM `account` WHERE email='${email}'

이 때 공격자가 이메일이 입력되어야 하는 란에 다음의 문자열을 입력하면 어떻게 될까?

email = "' OR 1=1 --"

결론적으로 다음의 SQL문이 완성된다.

SELECT * FROM `account` WHERE email = '' OR 1 = 1 -- '

공격자가 입력한 문자열 내 구문을 분석해 보면 다음과 같다.

1. 시작 부분의 ' : 이미 존재하는 email 조건에 빈문자열을 제공하여 email 조건절을 종료시킴.
2. OR : OR을 통해 이전에 작성된 조건문의 참, 거짓과 관계없이 이후 조건을 통해 쿼리를 제어할 수 있도록 만듦.
3. 1 = 1 : 항상 참이 되는 조건을 OR과 함께 추가하여 전체 WHERE 절이 참이 되도록 만듦.
4. -- : 이후 나오는 SQL 구문을 모두 주석처리함. 즉, 뒤에 어떤 절이 기술되어 있더라도 단순 주석으로 간주되어 작동하지 않도록 만듦.

즉, 이메일 란에 위 문자열을 입력하여 공격자는 데이터베이스의 account 테이블 내 모든 사용자의 정보를 질의할 수 있게 되는 것이다.

이는 명백히 프로그래머의 의도와는 다르며 서비스에 큰 위협이 될 수 있다.

 

 

SQL Injection 공격을 방지하는 방법

1. Prepared Statement 사용

Prepared Statement가 무엇인지 이해를 돕기 위해, DBMS의 쿼리 작동 과정과 파싱에 대해 알아둘 필요가 있다.

DBMS 쿼리 작동 과정과 파싱

DBMS에서 쿼리가 작동되는 과정은 다음과 같다.

1. 쿼리 입력 : 클라이언트가 작성한 SQL을 DBMS에 전송
2. 파싱 (Parsing) : DBMS는 입력받은 쿼리에 대한 구문 분석을 진행하고, 구문 트리를 생성
3. 최적화 (Optimization): DBMS가 쿼리를 실행시킬 최적 실행 계획을 결정
4. 실행 (Execution) : 최적 실행 계획을 통해 DB에서 데이터를 검색
5. 결과 반환 (Fetching) : 검색 결과를 클라이언트에 전달

이 중 파싱 과정은 또다시 다음으로 나뉜다.

1. 문법 검사 : 쿼리의 각 구문(ex. SELECT, WHERE, FROM 등)이 유효하게 작성되었는지 검사.
2. 구문 분석 : 쿼리에서 각 구문의 의미를 파악하고 구문 트리를 생성. 이때 구문 트리란 쿼리의 각 구문의 상호 관계를 나타내는 구조.
3. 분석 결과 저장 : 파싱된 구문 트리를 DBMS에 저장. 향후 이는 최적화와 실행에 이용됨.

파싱에는 하드 파싱과 소프트 파싱이 존재하는데,

하드 파싱은 위에서 설명한 모든 파싱 과정을 수행하는 것을 의미한다. 보통 SQL 쿼리를 처음 실행할 때 이용된다.  

반면 소프트 파싱은 이미 DBMS에 존재하는 구문 트리를 이용하는 방식으로, 새로 들어온 파라미터 정도만을 첨가하는 과정을 거친다.

Prepared Statement

Prepared Statement는 위에서 언급한 파싱들 중 소프트 파싱을 이용하는 방식이다.

물론 하드 파싱을 아예 사용하지 않는 것은 아니며, Prepared Statement의 의미대로 실제 쿼리가 입력되기 전에 이미 하드 파싱이 완료되어 구문 분석을 완료해 둔다. 그 후 사용자가 추가한 파라미터들을 해당 구문에 첨가하여 이를 바로 질의에 활용한다. 

이를 통하면 프로그래머가 의도대로 사전에 구문 분석을 완료해 둘 수 있으며, 위 예시처럼 SQL문이 입력으로 들어온다 해도 새롭게 구문 분석을 수행하지 않기 때문에 이는 단순 문자열로만 인식된다.

즉 SQL Injection 공격을 효과적으로 방지할 수 있다. 또한 해당 방식을 이용하면 시간이 오래 걸리는 하드 파싱을 줄여 성능 상의 이점도 존재한다.

NodeJS에서 Prepared Statement 활용

NodeJS에서는 MySql2 패키지를 통해 다음과 같이 Prepared Statement를 사용할 수 있다.

기존에 다음과 같이 작성되어 있던 코드를

const sql = `SELECT * FROM account WHERE email='${email}'`;
await dbConnection.query(sql);

아래와 같이 수정하면 된다.

const sql = 'SELECT * FROM account WHERE email = ?';
await dbConnection.execute(sql,[email]);

그러면 ? 가 들어간 자리를 비워둔 채 구문 분석을 수행한 뒤에, 이후 해당 자리에 들어갈 값만 바꾸는 식으로 작동하게 된다.

 

2. User Input에 대한 추가적인 검증 수행

사용자의 입력 값이 프로그래머의 의도와 부합하는지 쿼리 실행 전 검증하는 방법도 있다. 

가령 위 예시에서는 사용자의 입력으로 이메일 형식 (xxxxxxxxx@xxxxx.xxx)이 들어와야 한다.

이를 정규식을 통해 사전에 검증한다면 SQL Injection 공격을 대응하는데 도움이 된다.