JD Tech Now

MySQL

안녕하세요, 미래의 멋진 개발자님들! 🚀

혹시 이런 경험 없으신가요?

"데이터? 그거 그냥 엑셀에 넣으면 되는 거 아냐?"
"개발자들은 맨날 숫자랑 코드만 보는데, 대체 뭘 어떻게 관리하는 걸까?"

맞아요, 우리 주변의 모든 웹사이트, 앱, 심지어 게임까지! 이 모든 것의 뒤에는 엄청나게 많은 데이터가 숨어 있고, 이 데이터를 똑똑하게 관리해주는 친구가 바로 데이터베이스(Database)입니다.

데이터베이스의 세계는 생각보다 넓어서, 데이터를 관리하는 방식에 따라 정말 다양한 종류가 존재해요.

우리가 흔히 들어본 Oracle, SQL Server 같은 거대 기업용 데이터베이스부터, 유연함이 특징인 MongoDB 같은 친구들도 있죠.

오늘은 그중에서도 아주 유명하고 강력한 데이터베이스 친구, MySQL에 대해 알아보는 시간을 가질 거예요.

"나는 비전공자인데...", "너무 어려울 것 같은데..."

걱정 마세요! 요즘 개발 트렌드에 맞춰, 비전공자분들도 고개를 끄덕이며 '아하!' 할 수 있도록 쉽고 재미있게 알려드릴게요.

자, 그럼 데이터의 보물창고로 함께 떠나볼까요?

📦 데이터베이스(DB), 대체 넌 누구냐?

상상해보세요! 여러분이 좋아하는 온라인 쇼핑몰에 접속했어요.

예쁜 옷들도 많고, 가전제품도 있고, 심지어 신선식품까지! 이 모든 상품 정보, 고객 정보, 주문 내역 등이 어디에 저장되어 있을까요? 만약 이걸 그냥 메모장이나 엑셀 파일 수백 개에 저장한다면... 맙소사! 새로운 상품을 추가하거나, 고객 정보를 찾거나, 주문 내역을 확인하는 건 거의 불가능에 가까울 거예요.

데이터베이스(DB)는 바로 이런 혼돈 속에서 빛을 발하는 존재예요.

쉽게 말해, 데이터를 체계적으로 저장하고, 필요할 때 빠르게 찾아 쓰고, 안전하게 관리해주는 똑똑한 창고라고 생각하시면 됩니다.

마치 도서관에서 책을 주제별, 저자별, 출판년도별로 깔끔하게 정리해 놓는 것처럼 말이죠! 덕분에 우리는 원하는 정보를 '짜잔!'하고 찾아낼 수 있고, 수많은 사람들이 동시에 접속해도 문제없이 서비스를 이용할 수 있답니다.

🔗 관계형 데이터베이스(RDBMS): 엑셀 시트들이 연결된 세상

데이터베이스는 여러 종류가 있지만, 그중에서도 가장 널리 사용되고 오늘 우리가 배울 MySQL이 속한 종류가 바로 관계형 데이터베이스(RDBMS: Relational Database Management System)입니다.

이름에서 뭔가 '관계'가 느껴지시죠?

RDBMS는 데이터를 마치 엑셀 시트(테이블)처럼 정리해요.

각 시트에는 행(Row/Record)과 열(Column/Field)이 있어서 데이터를 깔끔하게 담을 수 있죠.

• 테이블(Table): 데이터를 저장하는 기본 단위. (예: 고객 정보, 상품 정보, 주문 내역 시트)
• 행(Row/Record): 테이블에서 하나의 개체에 대한 정보. (예: 한 고객의 이름, 주소, 전화번호 등)
• 열(Column/Field): 데이터의 특정 속성. (예: 이름, 주소, 상품명, 가격)

그리고 이 시트들(테이블)은 서로 관계를 맺을 수 있어요.

예를 들어, '주문 내역' 시트와 '상품 정보' 시트가 연결되어 있어서, 특정 주문 번호만 알아도 어떤 상품을 주문했는지 바로 알 수 있게 해주는 거죠. 이렇게 관계를 맺으면 데이터의 중복을 줄이고 훨씬 효율적으로 데이터를 관리할 수 있답니다!

이런 관계형 데이터베이스를 조작하기 위한 약속된 언어가 있는데, 이걸 바로 SQL(Structured Query Language)이라고 불러요.

다음 실습 글에서 이 SQL로 MySQL과 대화하는 법을 배울 거예요!

🐬 MySQL: 전 세계 웹 서비스를 움직이는 파워풀한 친구

드디어 오늘의 주인공, MySQL입니다!

MySQL은 오픈소스 관계형 데이터베이스 관리 시스템(RDBMS)이에요.

'오픈소스'라는 건 누구나 무료로 사용할 수 있고, 전 세계 개발자들이 함께 만들고 발전시켜 나간다는 뜻이죠.

그래서 많은 기업들이 비용 부담 없이 강력한 데이터베이스 시스템을 구축할 때 MySQL을 선택한답니다.

MySQL의 매력은 여기서 끝이 아니에요!

• 🚀 빠르고 안정적: 수많은 사용자가 동시에 접속하고 데이터를 요청해도 끄떡없이 빠르게 처리해줘요. 안정성도 뛰어나서 중요한 데이터를 안심하고 맡길 수 있죠.
• 📈 뛰어난 확장성: 작은 개인 프로젝트부터 페이스북, 유튜브, 네이버 같은 초대형 서비스까지, 어떤 규모의 데이터도 유연하게 다룰 수 있어요.
• 💻 다양한 운영체제 지원: 윈도우, 리눅스, 맥OS 등 어떤 컴퓨터 환경에서도 문제없이 잘 작동한답니다.
• 🌍 거대한 커뮤니티: 전 세계적으로 엄청나게 많은 사용자와 개발자들이 있어서, 궁금한 점이 생기거나 문제가 발생했을 때 쉽게 도움을 받을 수 있어요.

이렇게 매력적인 MySQL이기에 우리가 매일 사용하는 수많은 웹 서비스와 앱의 뒤에서 묵묵히 데이터를 관리하고 있는 것이랍니다.

🛡️ 왜 우리는 MySQL을 배워야 할까요? (특히, 보안을 생각한다면!)

"나는 개발자가 될 것도 아니고, 데이터 만질 일도 없는데 MySQL을 왜 배워야 하지?" 라고 생각할 수도 있어요.

하지만 절대 그렇지 않답니다!

1. 개발자의 필수 역량: 개발 분야에서 데이터베이스 지식은 이제 선택이 아닌 필수가 되었어요. 백엔드 개발은 물론이고, 프론트엔드 개발자도 데이터를 어떻게 다뤄야 하는지 알아야 협업이 가능하죠.
2. 데이터 분석의 시작: 데이터를 이해하고 분석하는 능력은 모든 직군에서 중요해지고 있어요. MySQL을 알면 직접 데이터를 추출하고 인사이트를 얻는 능력을 키울 수 있습니다.
3. 그리고 가장 중요하게, 보안!: 여러분, 웹 해킹의 상당수가 바로 데이터베이스를 노리는 공격이라는 사실을 아시나요? SQL 인젝션 같은 공격은 데이터베이스의 취약점을 파고들어 개인 정보를 유출하거나, 웹사이트를 마비시키기도 합니다.
   우리가 MySQL을 배우는 것은 단순히 데이터를 다루는 기술을 넘어, 데이터가 어떻게 저장되고 관리되는지 그 원리를 이해하는 것과 같아요. 이 원리를 알아야 어떤 부분이 위험한지 파악할 수 있고, 해커들이 어떤 방식으로 공격하는지 이해하며, 궁극적으로 안전한 서비스를 만드는 데 기여할 수 있습니다. 데이터를 모르면 보안도 어렵다는 말이 괜히 나오는 게 아니겠죠? 🧐

자, 어떠셨나요? MySQL이 생각보다 훨씬 흥미롭고 우리 주변에 가까이 있다는 것을 느끼셨기를 바랍니다!

다음 글에서는 오늘 배운 MySQL을 직접 설치하고, 콘솔에 접속해서 데이터베이스와 대화하는 첫걸음을 떼어볼 거예요.

"데이터? 그거 그냥 엑셀 아니었어?" 했던 분들도 곧 MySQL로 멋지게 데이터를 주무르는 자신의 모습을 발견하게 될 겁니다.

다음 시간에 만나요! 👋

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

오늘은 해킹 기법 중 하나인 SQL Injection에 대해 알아보겠습니다.

​

시작하기에 앞서 아직 SQL이 무엇인지,

Query (쿼리)가 무엇인지 모르신다면

아래 글을 먼저 읽고 와주시길 바랍니다.

(작성 중)

SQL은 DB에서 사용하는 프로그래밍 언어이며

Injection 이란 무언가를 주입/주사할 때사용하는 단어로써

SQL Injection은 프로그래밍 언어를 주입하는 해킹 기법입니다.

해커는 보안상의 취약점을 이용하여 대상에게 임의의 SQL 문을 주입하여 실행되게 하고

DB를 공격하는 기법으로 데이터 베이스가 비정상적으로 동작하게 합니다.

인젝션 공격은 OWASP Top10 중 첫 번째에 속해 있으며,

공격이 비교적 쉬운 편이고 공격에 성공할 경우

큰 피해를 입힐 수 있는 위험한 공격으로

보안 위협 1순위에 속하는 공격입니다.

​

SQL Injection 관련 취약점이 존재하면

웹서버의 정보가 모두 털릴 수 있을 정도로

아주 치명적입니다.

2017년 3월에 일어난 “여기어때” 의 대규모 개인정보 유출 사건도 SQL Injection으로피해가 발생하였었죠.

​

Owasp란?

OWASP는

‘Open Web Application Security Project’의 약자로 비영리 보안 프로젝트 재단을 통칭합니다.

이곳은 SW 보안 향상을 목적으로 운영되는 국제 웹 보안 표준 기구로서

애플리케이션에서 발생할 수 있는 취약점을 분석하고 연구하고 있는데요,

웹 애플리케이션 보안의 위협이 되는 취약점을 TOP 10으로 뽑아 만들고 대비할 수 있도록 알려줍니다.

SQL 인젝션 공격 기법

(대표적인 3가지)

에러 기반 SQL Injection입니다.입니다.

에러를 이용한 공격 기법으로, 고의로 SQL 문에 에러를 발생시키는 기법으로

에러 메시지를 통해 쿼리문의 구성을 추측하고 DB의 테이블명, 칼럼명, 데이터 내용까지도 알아낼 수 있습니다.

보통 Users 테이블에 있는 모든 정보를 조회하게 됨으로 써

가장 먼저 만들어진 계정으로 로그인에 성공하게 됩니다.

보통은 관리자 계정을 맨 처음 만들기 때문에

관리자 계정에 로그인하여 막대한 2차 피해가 생기는 공격입니다.

Union 쿼리를 사용한 공격 기법으로 2가지

쿼리를 결합해 정보를 알아낼 때 사용하는 기법으로

공격에 성공하기 위해선 쿼리 두 개의 칼럼 수와 데이터 형이 같아야 한다는 조건이 있습니다.

데이터를 입력하여 참 거짓 값을 알아내고

쿼리 분석기로 칼럼 수를 파악한 후 계정을 열람할 수 있도록 SQL Injection 구문을 작성하여 공격하고,

테이블 열람 구문을 입력하여 모든 사용자의 테이블을 열람할 수도 있습니다.

에러 메시지가 발생하지 않는 경우 주로 사용하는 기법으로

특정 쿼리문으로 인한 결과가 참/거짓인 것 만 알 수 있을 때 사용합니다.

예를 들어 어딘가에 로그인을 성공하면 참, 실패하면 거짓 같은 결과를 알 수 있을 때

임의의 SQL 구문을 삽입하여 인가되지 않은 데이터를 열람하고 공격합니다

이러한 특징 때문에 이용하여 주로 데이터 노출을 위해 사용되며,

우편번호 찾기나, 게시판과 같이 데이터를 쉽게 확인할 수 있는 곳에서도 주로 사용됩니다.

요즘은 에러 메시지를 출력하지 않게 웹서버를 구축하고 있어서 웬만한 SQL 공격은 Blind sql 공격으로 진행됩니다

자세한 해킹 방법은 가상 환경을 구축하여

모의 해킹을 통해 알려드리도록 하겠습니다.

https://jdcyber.tistory.com/7

Sql 인젝션을 대비하고 보안하는 방법은

아래 글을 참고해 주세요!

(작성 중)

오늘은 SQL 구문을 이용한 해킹 기법인

SQL Injection에 대해 알아봤습니다.

해당 방법은 보안을 위한 연습만 하시길 바라며

악의적인 해킹은 절대 삼가 주시기 바랍니다.

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

이웃 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!