SQL 인젝션 법정 방문기

요약

• 일리노이주의 정보공개법(FOIA)에 따르면, 공공기관이 보유한 대부분의 정보는 공개 대상이지만, 시카고시는 데이터베이스 스키마(schema)가 보안 위험을 초래할 수 있다는 이유로 FOIA 요청을 거부함. 이에 데이터 저널리스트 맷 채프먼이 소송을 제기했고, 전문가 증언을 통해 스키마가 보안 위협이 아니라는 점을 입증하며 1심과 항소심에서 승리했으나, 최종적으로 일리노이 주 대법원에서 패소함.
• 대법원은 데이터베이스 스키마가 "파일 레이아웃"에 해당하므로 공개 대상이 아니라는 해석을 내렸으며, 이로 인해 공공기관이 데이터베이스 구조를 근거로 정보공개를 거부할 수 있는 길이 열림. 하지만, 이 문제를 해결하기 위한 법안(SB0226)이 발의되었으며, 이는 공공기관이 데이터베이스 구조를 설명하여 정보 요청자가 특정한 데이터 쿼리를 요청할 수 있도록 하는 내용을 포함하고 있음.
• 해당 법안은 정보 투명성을 강화하는 중요한 조치이며, 이를 지지하기 위해 지역 의원들에게 연락하여 법안 통과를 촉구할 필요가 있음.

배경

• 일리노이 주의 정보공개법(FOIA)은 강력하며, 대부분의 경우 공공기관이 수집한 정보는 공공재산으로 간주됨.
• 정보 요청은 이메일로 간단히 할 수 있으며, 요청에 대한 응답은 법적으로 5일 이내에 이루어져야 함.
• FOIA의 주요 제한점은 새로운 기록을 생성하도록 강제할 수 없다는 것임.
• 데이터베이스 스키마는 데이터베이스의 구조를 설명하는 것으로, 공공기관의 정보가 점점 더 데이터베이스에 저장됨에 따라 중요성이 커지고 있음.

Matt Chapman vs. 시카고 시

• Matt Chapman은 대규모 FOIA 요청을 통해 데이터 저널리즘을 수행하는 전문가임.
• 시카고의 CANVAS 시스템은 주차 티켓 데이터를 중앙에서 관리하는 대형 데이터베이스로, Matt는 이 데이터베이스의 스키마를 요청했으나 거부당함.
• 시카고는 정보 공개가 시스템 보안을 위협할 수 있다는 이유로 거부했으며, Matt는 이에 대해 소송을 제기함.

내가 증언대에 서다

• 데이터베이스 스키마 공개가 보안을 위협하는지에 대한 논쟁이 있었음.
• SQL 인젝션은 데이터베이스 공격의 주요 방법으로, 데이터베이스 스키마가 공격에 사용될 수 있는지에 대한 논의가 이루어짐.
• 나는 SQL 인젝션 공격이 데이터베이스 스키마를 통해 이루어지지 않는다는 점을 강조하며 증언함.

법의 피비린내 나는 발자국

• 1심에서 승소했으나 시카고는 즉시 항소함.
• 항소심에서는 정보 공개가 보안을 위협할 가능성이 매우 높아야 한다는 점을 강조함.
• 최종적으로 일리노이 대법원은 데이터베이스 스키마가 파일 레이아웃으로 간주될 수 있다고 판결함.

현재 상황

• 일리노이 주의 공공기관은 데이터베이스 스키마 공개를 거부할 수 있는 권한을 가짐.
• 데이터베이스는 정보 은폐의 수단이 되어서는 안 되며, 새로운 법안 SB0226이 이를 해결할 수 있음.
• 이 법안은 데이터베이스 구조를 충분히 설명하여 요청자가 특정 쿼리를 요청할 수 있도록 해야 한다고 명시함.