Quality Assurance on jyukki's Blog

Go로 PostgreSQL 프록시 만들기 (53) - QA 4차: 라우팅 우회와 운영 안전성

Tue, 17 Mar 2026 00:00:00 +0000

들어가며

QA 4차에서 5건의 소견이 나왔다. 이번엔 라우팅 안전성이 핵심 주제다. Prepared statement 재사용이 read-only 모드를 우회하는 보안 버그, SELECT ... FOR UPDATE가 reader로 가는 라우팅 오류, timeout이 빠진 실행 경로 — 모두 “정상 경로에서는 잘 되지만 특정 조합에서 깨지는” 패턴이다.

#	심각도	요약
1	High	Read-only 모드가 prepared statement 재사용으로 우회됨
2	High	Side-effectful SELECT가 read로 분류됨
3	Medium	Extended/multiplex 경로에서 query timeout 미적용
4	Medium	Data API의 기본 DB가 hot-reload를 따라가지 않음
5	Medium	Per-database config validation 누락으로 panic 가능

1. Prepared Statement 재사용으로 Read-Only 우회

문제

Read-only 모드는 write 쿼리를 차단하는 운영 기능이다. Simple Query에서는 잘 동작한다:

-- Simple Query: 정상 차단
INSERT INTO orders VALUES (1, 'test');
→ "cannot execute write query: pgmux is in read-only mode"

그런데 Extended Query Protocol에서는 다른 이야기다. PostgreSQL 클라이언트 라이브러리(JDBC, libpq 등)는 prepared statement를 적극적으로 재사용한다. 한 번 Parse한 INSERT 문을 이후에는 Bind/Execute/Sync만 보낸다.

-- 1단계: Parse (read-only 전환 전)
Parse("INSERT INTO orders VALUES ($1, $2)")
Bind(params...)
Execute
Sync
→ 성공

-- 2단계: admin에서 read-only 모드 활성화

-- 3단계: 같은 prepared statement 재사용 (Parse 없이)
Bind(params...)     ← Parse가 없으므로 extIsWrite 미설정
Execute
Sync
→ 성공!? ← read-only 우회

원인은 extIsWrite 플래그의 생명주기에 있다:

// query.go — Parse 때만 설정
case protocol.MsgParse:
    if s.classifyQuery(query) == router.QueryWrite {
        extIsWrite = true   // ← Parse가 있을 때만 실행
    }

// Sync 때 체크
case protocol.MsgSync:
    if s.InReadOnly() && extIsWrite {  // extIsWrite가 false → 통과
        // reject...
    }
    // 배치 끝에서 리셋
    extIsWrite = false

Parse가 없는 Bind-only 배치에서는 extIsWrite가 이전 배치 리셋으로 false 상태다. Read-only 체크가 통과된다.

수정

Session에 statement별 write 분류를 추적하는 맵을 추가했다:

// router.go
type Session struct {
    stmtRoutes map[string]Route
    stmtWrite  map[string]bool  // 추가: statement별 write 분류
}

func (s *Session) RegisterStatement(name, query string) Route {
    route := s.routeLocked(query)
    s.stmtRoutes[name] = route
    // write 분류도 함께 저장
    if s.astParser {
        s.stmtWrite[name] = ClassifyAST(query) == QueryWrite
    } else {
        s.stmtWrite[name] = Classify(query) == QueryWrite
    }
    return route
}

func (s *Session) StatementIsWrite(name string) bool {
    if isWrite, ok := s.stmtWrite[name]; ok {
        return isWrite
    }
    return true  // 모르면 write로 간주 (safe default)
}

MsgBind에서 statement의 write 여부를 확인한다:

case protocol.MsgBind:
    route := session.StatementRoute(stmtName)
    if route == router.RouteWriter {
        extRoute = router.RouteWriter
    }
    // 추가: write 분류 복원
    if session.StatementIsWrite(stmtName) {
        extIsWrite = true
    }

핵심은 분류 시점과 검사 시점의 분리다. Parse 때 분류 결과를 저장하고, Bind 때 복원한다. 미등록 statement는 true(write)로 간주해서 안전한 방향으로 동작한다.

2. Side-Effectful SELECT가 Read로 분류

문제

pgmux의 쿼리 분류기는 첫 번째 키워드로 read/write를 판단한다. SELECT로 시작하면 read, INSERT/UPDATE/DELETE로 시작하면 write. 대부분의 경우 맞지만, PostgreSQL에는 부작용이 있는 SELECT가 있다:

-- 행 잠금 획득 (reader에서 실행 불가)
SELECT * FROM orders WHERE id = 1 FOR UPDATE;

-- 시퀀스 값 증가 (writer에서만 실행해야 함)
SELECT nextval('order_id_seq');

-- 세션 파라미터 변경
SELECT set_config('statement_timeout', '5000', false);

-- Advisory lock 획득
SELECT pg_advisory_lock(12345);

이 쿼리들이 reader(replica)로 가면:

FOR UPDATE: replica에서 lock 획득 불가 → 에러
nextval(): replica에서 실행 불가 → 에러
set_config(): replica에서 실행 가능하지만, 커넥션이 풀로 돌아가면 설정 누수
pg_advisory_lock(): replica에서 잠금이 걸리면 writer와 별개 → 동기화 불가

수정

문자열 파서와 AST 파서 양쪽에 감지를 추가했다.

문자열 파서 — SELECT 문에서 locking clause와 부작용 함수를 감지:

// parser.go
var lockingClauses = []string{
    "FOR UPDATE", "FOR NO KEY UPDATE",
    "FOR SHARE", "FOR KEY SHARE",
}

var sideEffectFuncs = []string{
    "NEXTVAL(", "SETVAL(", "CURRVAL(",
    "SET_CONFIG(", "PG_ADVISORY_LOCK(",
    "PG_ADVISORY_XACT_LOCK(", "PG_ADVISORY_UNLOCK(",
    "PG_TRY_ADVISORY_LOCK(", "PG_NOTIFY(",
    "LO_CREATE(", "LO_UNLINK(",
}

func isSideEffectfulSelect(query string) bool {
    stripped := stripStringLiterals(query)
    upper := strings.ToUpper(stripped)
    for _, lc := range lockingClauses {
        if strings.Contains(upper, lc) { return true }
    }
    return hasSideEffectFunc(upper)
}

classifyFast에서도 SELECT일 때 빠른 탈출을 막는다:

if kw == "SELECT" {
    upper := strings.ToUpper(query)
    if strings.Contains(upper, "FOR UPDATE") || ... || hasSideEffectFunc(upper) {
        return 0, false  // full parser로 위임
    }
    return QueryRead, true
}

AST 파서 — pg_query의 구조화된 정보를 활용:

// parser_ast.go
case *pg_query.Node_SelectStmt:
    s := n.SelectStmt
    // CTE 체크 (기존)
    // ...
    // Locking clause: FOR UPDATE, FOR SHARE 등
    if len(s.GetLockingClause()) > 0 {
        return true
    }
    // 부작용 함수 호출
    return hasSideEffectFuncCalls(node)

AST 파서에서는 FuncCall 노드를 워킹하며 함수명을 체크한다. 문자열 파서보다 정확하다 — 문자열 리터럴 안의 nextval(에 속지 않는다.

3. Extended/Multiplex 경로의 Timeout 사각지대

문제

pgmux는 per-query timeout hint를 지원한다:

/* timeout:5s */ SELECT * FROM large_table;

Simple Query에서는 잘 동작한다. 그런데 Extended Query에서는 global timeout만 적용된다:

// query.go — Sync 핸들러
extQueryTimeout := s.getConfig().Pool.QueryTimeout  // global만!

더 심각한 건 multiplex 경로(synthesized query)다. 여기는 아예 timer가 없다:

// executeSynthesizedQuery — timer 없이 relay
if err := protocol.WriteMessage(wConn, protocol.MsgQuery, queryPayload); err != nil { ... }
if err := s.relayUntilReady(clientConn, wConn); err != nil { ... }
// ← timeout 없이 무한 대기 가능

수정

Parse에서 query 텍스트를 저장해 Sync에서 hint를 추출한다:

var extQueryText string  // 최신 Parse의 query 텍스트

case protocol.MsgParse:
    extQueryText = query  // 저장

case protocol.MsgSync:
    extQueryTimeout := s.resolveQueryTimeout(extQueryText, s.getConfig())

executeSynthesizedQuery에 queryTimeout 파라미터를 추가하고 timer를 건다:

func (s *Server) executeSynthesizedQuery(ctx context.Context, ..., queryTimeout time.Duration, ...) error {
    ct.setFromConn(dbg.writerAddr, wConn)
    stopTimer := s.startQueryTimer(queryTimeout, ct, "writer")
    // ... relay ...
    if stopTimer != nil { stopTimer() }
    ct.clear()
}

handleSynthesizedRead에도 동일하게 적용해서 reader/writer/fallback 세 경로 모두 커버한다.

4. Data API의 기본 DB가 Hot-Reload를 무시

문제

Data API의 /v1/query에 database 파라미터를 생략하면 기본 DB로 라우팅된다. 이 기본 DB는 생성 시점에 한 번 설정된다:

// main.go
apiSrv := dataapi.New(..., srv.DefaultDBName(), ...)
//                         ^^^^^^^^^^^^^^^^^ 문자열 한 번 평가

// handler.go
type Server struct {
    defaultDB string  // 정적 필드
}

Config reload로 기본 DB를 바꾸거나 기존 기본 DB를 제거해도, Data API는 예전 값을 그대로 쓴다.

수정

정적 문자열 대신 함수 참조를 저장한다:

// handler.go
type Server struct {
    defaultDBFn func() string  // 동적 조회
}

func (s *Server) handleQuery(...) {
    dbName := r.URL.Query().Get("database")
    if dbName == "" {
        dbName = s.defaultDBFn()  // 매 요청마다 최신값
    }
}

// main.go
dataapi.New(..., srv.DefaultDBName, ...)  // 메서드 참조 (호출이 아님)

srv.DefaultDBName은 이미 func() string 시그니처를 가진 메서드다. 호출 결과(string) 대신 메서드 자체를 전달하면 된다.

5. Per-Database Config Validation 누락

문제

top-level pool 설정은 검증된다:

if c.Pool.MaxConnections < 1 {
    return fmt.Errorf("pool.max_connections must be >= 1")
}

하지만 per-database 설정은 검증이 없다:

databases:
  mydb:
    pool:
      max_connections: -5   # ← 검증 없이 통과
      idle_timeout: -1s     # ← 검증 없이 통과

max_connections: -5는 make([]*Conn, 0, -5)까지 흘러 panic을 일으킨다. idle_timeout: -1s는 time.NewTicker(-500ms)에서 panic이다. 설정 오류가 런타임 crash로 이어진다.

수정

validate()의 per-database 루프에 pool 설정 검증을 추가했다:

for name, db := range c.Databases {
    // 기존: host/port 검증
    // 추가: pool 설정 검증
    if db.Pool.MaxConnections < 1 {
        return fmt.Errorf("databases.%s.pool.max_connections must be >= 1, got %d",
            name, db.Pool.MaxConnections)
    }
    if db.Pool.MinConnections < 0 { ... }
    if db.Pool.MinConnections > db.Pool.MaxConnections { ... }
    if db.Pool.IdleTimeout < 0 { ... }
    if db.Pool.MaxLifetime < 0 { ... }
    if db.Pool.ConnectionTimeout < 0 { ... }
    if db.Pool.QueryTimeout < 0 { ... }
}

Top-level timeout도 음수 검증을 추가했다. applyDefaults()가 0을 기본값으로 채우지만, 명시적 음수는 건드리지 않기 때문이다.

마무리

이번 QA 라운드의 패턴을 정리하면:

1. 프로토콜 레벨 우회 — Finding 1은 PG Extended Query Protocol의 “Parse 재사용” 특성을 이용한 우회다. 프록시는 클라이언트가 메시지를 어떤 조합으로 보낼지 통제할 수 없다. 보안 체크는 모든 경로에서 동일하게 동작해야 한다.

2. 암묵적 부작용 — Finding 2는 SQL의 의미론적 분석 한계다. SELECT라고 다 읽기가 아니다. FOR UPDATE, nextval(), pg_advisory_lock() — PostgreSQL은 SELECT 안에서도 상태를 변경한다. 프록시가 이를 인지하지 못하면 데이터 정합성이 깨진다.

3. 경로별 일관성 — Finding 3, 4는 “메인 경로에서는 되는데 대체 경로에서 빠진” 패턴이다. Simple Query vs Extended Query, proxy vs multiplex, 생성 시점 vs reload 시점 — 모든 경로에서 동일한 동작을 보장해야 한다.

4. 방어적 검증 — Finding 5는 “잘못된 입력이 crash로 이어지면 안 된다"는 기본 원칙이다. Go의 panic은 전체 프로세스를 죽인다. 사용자 설정은 반드시 검증하고, 불가능한 값은 시작 시점에 거부해야 한다.

다음 글에서는 성능 벤치마크나 새 기능을 다룰 예정이다.

Go로 PostgreSQL 프록시 만들기 (54) - QA 5차: 릴리즈 위생과 CI 안정성

Tue, 17 Mar 2026 00:00:00 +0000

들어가며

QA 4차에서 5건의 버그를 수정했다. 그중 4번 Finding — “Data API defaultDB가 hot-reload 미반영” — 의 수정이 dataapi.New의 시그니처를 바꿨다. string → func() string. 런타임 코드는 잘 동작하지만, 테스트 호출부가 이전 시그니처를 그대로 쓰고 있었다. go test ./...가 internal/dataapi에서 바로 깨진다.

별도로, Phase 17~18에서 추가한 FileWatcher의 Ready() 채널이 테스트에 반영되지 않았다. 4개 테스트 모두 time.Sleep(100ms)로 watcher 초기화를 기다리는데, -race 모드에서 타이밍에 따라 실패한다.

새 기능은 없다. 릴리즈를 막는 테스트 블로커 2건만 수정한다.

#	심각도	요약
1	Blocker	`dataapi.New` 시그니처 변경 후 테스트 호출부 미반영 (컴파일 실패)
2	Blocker	Watcher 테스트 `time.Sleep` 초기화로 `-race` 플래키

1. dataapi.New 시그니처 불일치

문제

QA 4차 Finding 4의 수정은 dataapi.Server의 defaultDB 필드를 정적 문자열에서 함수 참조로 바꿨다:

// 변경 전
type Server struct {
    defaultDB string
}

// 변경 후
type Server struct {
    defaultDBFn func() string
}

New() 시그니처도 함께 바뀌었다:

func New(..., defaultDBFn func() string, ...) *Server

런타임 호출부(main.go)는 srv.DefaultDBName (메서드 참조, func() string 타입)을 넘기도록 수정했다. 그런데 테스트 호출부 7곳이 이전 시그니처를 그대로 쓰고 있었다:

// handler_test.go — proxySrv.DefaultDBName()는 string을 반환
srv := New(..., proxySrv.DefaultDBName(), ...)
//                ^^^^^^^^^^^^^^^^^^^^^^ string, not func() string

// cancel_leak_test.go — 빈 문자열 리터럴
srv := New(..., "", ...)
//              ^^ string, not func() string

Go는 string과 func() string을 타입 불일치로 거부한다. go build는 되지만 go test ./internal/dataapi/는 컴파일 단계에서 실패한다.

이걸 놓친 이유

go build ./...는 _test.go를 컴파일하지 않는다. CI에서 go test ./...를 돌리면 잡히지만, 로컬에서 “빌드 통과” 확인만 하고 넘어갔다. 코드 리뷰에서 시그니처 변경의 영향 범위를 체크했어야 한다.

수정

호출 결과(string)가 아니라 함수로 감싸서 전달한다:

// handler_test.go — 4곳 수정
srv := New(
    func() *config.Config { return cfg },
    proxySrv.DBGroups,
    func() string { return proxySrv.DefaultDBName() }, // 함수 래퍼
    nilCache,
    nil,
    nilRateLimiter,
    nil,
)

// cancel_leak_test.go — 3곳 수정
srv := New(
    func() *config.Config { return cfg },
    nil,
    func() string { return "" }, // 빈 문자열 반환 함수
    nil, nil, nil, nil,
)

단순히 타입을 맞추는 것이지만, func() string인 이유가 중요하다. 매 요청마다 최신 설정을 반환해야 하니까 함수를 쓴 것이다. 테스트에서는 설정이 변하지 않으므로 고정값 반환 함수면 충분하다.

2. Watcher 테스트의 time.Sleep 플래키

문제

FileWatcher에는 Ready() 채널이 있다. Start()가 디렉토리 감시를 등록한 직후 이 채널을 닫는다:

func (fw *FileWatcher) Start(ctx context.Context) error {
    dir := filepath.Dir(fw.path)
    if err := fw.watcher.Add(dir); err != nil {
        return fmt.Errorf("watch directory %s: %w", dir, err)
    }
    close(fw.readyCh)  // ← 감시 등록 완료 신호
    // event loop 진입...
}

func (fw *FileWatcher) Ready() <-chan struct{} {
    return fw.readyCh
}

그런데 테스트 4개가 모두 이 채널을 무시하고 time.Sleep(100ms)를 쓰고 있었다:

go func() {
    fw.Start(ctx)
}()

time.Sleep(100 * time.Millisecond)  // watcher 초기화 "기다림"

os.WriteFile(cfgFile, []byte("modified"), 0644)

대부분의 환경에서 100ms면 충분하다. 하지만 -race 모드는 goroutine 스케줄링에 오버헤드를 준다. 100ms 안에 Start()가 watcher.Add(dir)까지 도달하지 못할 수 있다. 이 경우:

time.Sleep 종료
파일 수정 발생
그 후에 watcher.Add(dir) 실행 — 이벤트를 놓침
콜백 미호출 → 테스트 실패

go test -race ./internal/config -run TestFileWatcher_SymlinkSwap -count=5로 재현했을 때 5회 중 2회 실패했다. CI에서도 같은 환경이라면 비결정적 실패가 반복된다.

수정

time.Sleep을 <-fw.Ready()로 교체한다:

go func() {
    fw.Start(ctx)
}()

<-fw.Ready()  // 디렉토리 감시 등록이 완료될 때까지 대기

os.WriteFile(cfgFile, []byte("modified"), 0644)

4개 테스트 모두 동일하게 수정했다:

TestFileWatcher_Modification
TestFileWatcher_Debounce
TestFileWatcher_SymlinkSwap
TestFileWatcher_Stop

Ready()는 이벤트 기반 동기화다. “얼마나 기다려야 하는지"를 추측하지 않고, “준비됐을 때” 진행한다. race detector가 스케줄링을 아무리 지연시켜도, 채널이 닫히기 전까지는 진행하지 않는다.

검증

$ go test -race ./internal/config/ -run TestFileWatcher -count=5
--- PASS: TestFileWatcher_Modification (1.50s)
--- PASS: TestFileWatcher_Debounce (2.01s)
--- PASS: TestFileWatcher_SymlinkSwap (1.51s)
--- PASS: TestFileWatcher_Stop (1.50s)
(x5, 20/20 PASS)

time.Sleep vs 채널 동기화

이번 수정은 코드 한 줄이지만, 테스트에서 반복되는 실수 패턴이다. 정리하면:

방식	장점	단점
`time.Sleep(N)`	간단	N이 충분한지 보장 불가, race 모드에서 플래키, 불필요하게 느림
`<-readyCh`	결정적, 최소 대기	생산 코드에 동기화 포인트 필요
polling + deadline	외부 상태 체크 가능	복잡, busy wait

time.Sleep이 테스트에서 필요한 경우도 있다 — debounce interval 이후 결과를 확인할 때처럼, 일정 시간이 실제로 흘러야 하는 경우. 하지만 초기화 동기화에는 절대 쓰면 안 된다. 초기화는 시간이 아니라 상태에 의존하기 때문이다.

이 프로젝트에서는 Ready() 채널을 Phase 17~18에서 이미 구현해놨다. 구현한 사람이 테스트에 적용하는 걸 깜빡한 것이다. API를 만들었으면 테스트가 첫 번째 소비자여야 한다.

마무리

이번 QA 라운드는 짧다. 새 기능도 없고, 런타임 버그도 아니다. 하지만 릴리즈 파이프라인을 막는 블로커였다:

테스트 컴파일 실패 → go test ./... 불가 → CI 레드
race 플래키 → CI 비결정적 실패 → 머지 신뢰도 하락

둘 다 “코드는 맞는데 테스트가 틀린” 케이스다. 시그니처 변경 시 호출부 전수 검사, 동기화 프리미티브가 있으면 테스트에서 먼저 사용 — 이 두 가지가 교훈이다.

다음 글에서는 새 기능이나 성능 주제를 다룰 예정이다.

Go로 PostgreSQL 프록시 만들기 (55) - QA 6차: 파서 우회와 분류 사각지대

Tue, 17 Mar 2026 00:00:00 +0000

들어가며

QA 5차까지는 런타임 안전성(풀 오염, race, timeout)에 집중했다. 이번 라운드는 쿼리 파서와 라우터의 정확성을 집중 검토한다. “이 쿼리가 올바른 백엔드에 도달하는가?“가 핵심 질문이다.

발견된 5건 중 3건이 High — 트랜잭션 상태 우회, 세션 오염, write 오분류 — 로, 실제 운영에서 데이터 불일치나 세션 혼선을 유발할 수 있다.

#	심각도	요약
1	High	앞쪽 주석이 트랜잭션 상태기 우회 (`/x/ BEGIN` → reader 라우팅)
2	High	앞쪽 주석이 세션 의존 감지·리셋 동시 우회 (`/x/ SET` → reader 오염)
3	High	MERGE, COPY FROM, CALL이 read로 분류 → reader 오라우팅
4	Medium	advisory lock 검출이 리터럴/주석에서 false positive
5	Low-Medium	`isSideEffectfulSelect`가 주석 안 텍스트를 write 신호로 오인

1. 앞쪽 주석이 트랜잭션 상태기를 우회한다

문제

hasTxPrefix는 쿼리의 첫 번째 키워드를 보고 트랜잭션 진입/이탈을 판단한다. 그런데 공백만 건너뛰고 주석은 건너뛰지 않는다:

func hasTxPrefix(query string) int {
    i := 0
    for i < len(query) && (query[i] == ' ' || query[i] == '\t' || ...) {
        i++  // 공백만 skip
    }
    rest := query[i:]
    ch := rest[0] | 0x20
    switch ch {
    case 'b': // BEGIN
    // ...

/*x*/ BEGIN을 넣으면:

공백 skip → i=0 (첫 글자가 /)
rest[0] = / → ch = / → 어떤 case에도 매칭 안 됨
hasTxPrefix 반환값 0 → 트랜잭션 상태 미변경

같은 문제가 updateTransactionState, containsTransactionKeyword, routeLocked에도 있다. TrimSpace + HasPrefix 패턴은 주석을 제거하지 않기 때문이다:

upper := strings.ToUpper(strings.TrimSpace(stmt))
if strings.HasPrefix(upper, "BEGIN") {  // "/*X*/ BEGIN"은 매칭 실패

Extended Query 경로의 tx 체크도 동일한 패턴이다.

영향

/*x*/ BEGIN이 트랜잭션으로 인식되지 않으면:

이후 쿼리가 writer에 묶이지 않고 reader로 분산됨
reader에서 write 시도 → ERROR: cannot execute INSERT in a read-only transaction
또는 각 쿼리가 다른 커넥션으로 가서 트랜잭션 격리 깨짐

수정

SkipLeadingNoise 함수를 추가한다. 공백 + 블록 주석(/* ... */, 중첩 포함) + 라인 주석(-- ...\n)을 모두 건너뛴다:

func SkipLeadingNoise(query string) int {
    i := 0
    for i < len(query) {
        ch := query[i]
        if ch == ' ' || ch == '\t' || ch == '\n' || ch == '\r' {
            i++
            continue
        }
        if i+1 < len(query) && ch == '/' && query[i+1] == '*' {
            depth := 1
            i += 2
            for i < len(query) && depth > 0 {
                if i+1 < len(query) && query[i] == '/' && query[i+1] == '*' {
                    depth++; i += 2
                } else if i+1 < len(query) && query[i] == '*' && query[i+1] == '/' {
                    depth--; i += 2
                } else {
                    i++
                }
            }
            continue
        }
        if i+1 < len(query) && ch == '-' && query[i+1] == '-' {
            i += 2
            for i < len(query) && query[i] != '\n' { i++ }
            if i < len(query) { i++ }
            continue
        }
        break
    }
    return i
}

적용 범위:

hasTxPrefix: 공백 skip 루프를 SkipLeadingNoise로 교체
updateTransactionState, containsTransactionKeyword: stripComments(stmt) 후 TrimSpace+HasPrefix
routeLocked: 동일하게 stripComments 적용
Extended Query path (proxy/query.go): IsTxControl(query) export 함수로 교체

// 변경 전 (proxy/query.go, 2곳)
upper := strings.ToUpper(strings.TrimSpace(query))
if strings.HasPrefix(upper, "BEGIN") { extTxStart = true }
if strings.HasPrefix(upper, "COMMIT") { extTxEnd = true }

// 변경 후
if txStart, txEnd := router.IsTxControl(query); txStart {
    extTxStart = true
} else if txEnd {
    extTxEnd = true
}

IsTxControl은 내부적으로 이미 수정된 hasTxPrefix를 호출하므로 주석을 올바르게 처리한다.

2. 앞쪽 주석이 세션 감지·리셋을 동시에 우회한다

문제

Finding 1과 같은 근본 원인이 세션 관련 함수에도 있다.

detectSingleStmtDependency (session_compat.go):

func detectSingleStmtDependency(query string) SessionDependencyResult {
    i := 0
    for i < len(query) && (query[i] == ' ' || ...) { i++ } // 공백만
    rest := query[i:]
    ch := rest[0] | 0x20
    switch ch {
    case 's': // SET
    case 'l': // LISTEN

isSessionModifying (backend.go) — 동일 구조:

func isSessionModifying(query string) bool {
    i := 0
    for i < len(query) && (query[i] == ' ' || ...) { i++ } // 공백만

/*x*/ SET search_path = 'evil'을 보내면:

DetectSessionDependency → 미감지 → pin/block 안 걸림
Classify → firstKeyword = “SET” (stripComments 적용됨) → 하지만 SET은 writeKeywords에 없다 → QueryRead
reader로 라우팅 → reader 커넥션의 search_path가 변경됨
isSessionModifying → 미감지 → connDirty 안 켜짐 → DISCARD ALL 없이 풀에 반환
다음 사용자가 오염된 커넥션을 받음

수정

두 함수 모두 공백 skip을 SkipLeadingNoise로 교체:

// session_compat.go
func detectSingleStmtDependency(query string) SessionDependencyResult {
    i := SkipLeadingNoise(query) // 주석도 skip
    // ...
}

// backend.go
func isSessionModifying(query string) bool {
    i := router.SkipLeadingNoise(query) // 주석도 skip
    // ...
}

3. MERGE, COPY, CALL이 read로 분류된다

문제

string parser의 writeKeywords 맵:

var writeKeywords = map[string]bool{
    "INSERT": true, "UPDATE": true, "DELETE": true,
    "CREATE": true, "ALTER": true, "DROP": true,
    "TRUNCATE": true, "GRANT": true, "REVOKE": true,
}

MERGE (PostgreSQL 15+), COPY, CALL이 없다. AST parser의 isWriteNode에도 해당 노드 타입이 없다.

결과:

MERGE INTO target USING source ... → reader로 라우팅 → ERROR: read-only transaction
COPY users FROM STDIN → reader로 라우팅 → ERROR: read-only transaction (relay 코드는 있지만 라우팅이 잘못됨)
CALL my_procedure(1) → reader로 라우팅 → 프로시저가 write하면 실패

추가로, EXPLAIN ANALYZE INSERT INTO ...는 실제로 INSERT를 실행하지만 string/AST 양쪽에서 read로 분류된다.

수정

String parser — writeKeywords에 추가:

var writeKeywords = map[string]bool{
    // ... 기존 9개 ...
    "MERGE": true,
    "COPY":  true,  // COPY TO도 write로 분류 (안전한 기본값)
    "CALL":  true,
}

String parser에서 COPY TO를 read로 정밀 분류하려면 FROM/TO 파싱이 필요해서 복잡도 대비 효용이 낮다. 안전하게 모두 writer로 보낸다.

AST parser — isWriteNode에 노드 추가:

case *pg_query.Node_MergeStmt:
    return true
case *pg_query.Node_CopyStmt:
    return n.CopyStmt.GetIsFrom()  // COPY FROM만 write, COPY TO는 read
case *pg_query.Node_CallStmt:
    return true
case *pg_query.Node_ExplainStmt:
    // EXPLAIN ANALYZE + write subquery만 write
    for _, opt := range n.ExplainStmt.GetOptions() {
        if de := opt.GetDefElem(); de != nil &&
           strings.ToLower(de.GetDefname()) == "analyze" {
            if n.ExplainStmt.GetQuery() != nil {
                return isWriteNode(n.ExplainStmt.GetQuery())
            }
        }
    }
    return false

AST parser는 CopyStmt의 IsFrom 필드로 방향을 정확히 구분할 수 있다. EXPLAIN ANALYZE는 options에서 analyze DefElem을 찾고, 내부 쿼리가 write인 경우에만 write로 분류한다. EXPLAIN만 쓰면 실제 실행하지 않으므로 read다.

4. Advisory lock 검출의 false positive

문제

containsSessionAdvisoryLock은 원본 쿼리에 바로 strings.Contains를 건다:

func containsSessionAdvisoryLock(query string) bool {
    lower := strings.ToLower(query)
    return strings.Contains(lower, "advisory_lock") ||
           strings.Contains(lower, "advisory_unlock")
}

SELECT 'pg_advisory_lock' → 문자열 리터럴 안의 텍스트에 반응 → false positive
/* advisory_unlock */ SELECT 1 → 주석 안의 텍스트에 반응 → false positive

DetectSessionDependencyAST도 AST를 먼저 체크하지만, advisory lock만은 string 검사로 폴백한다 (“function calls require walking the full expression tree"라는 주석과 함께). 그래서 AST 경로에서도 같은 false positive가 발생한다.

수정

func containsSessionAdvisoryLock(query string) bool {
    lower := strings.ToLower(query)
    // Fast path: raw 쿼리에 "advisory"가 없으면 skip
    if !strings.Contains(lower, "advisory") {
        return false
    }
    // Slow path: 리터럴과 주석 제거 후 검사
    cleaned := strings.ToLower(stripComments(stripStringLiterals(query)))
    return strings.Contains(cleaned, "advisory_lock") ||
           strings.Contains(cleaned, "advisory_unlock")
}

99.9%의 쿼리는 “advisory"를 포함하지 않으므로 fast path에서 즉시 반환한다. 실제 advisory lock 호출이 있을 때만 stripComments(stripStringLiterals())의 비용을 지불한다.

순서가 중요하다: stripStringLiterals를 먼저 호출해야 한다. 문자열 안의 /*가 주석 시작으로 오인되는 것을 방지하기 위해서다. stripStringLiterals는 문자열 내용을 비우고 따옴표는 남기므로, 이후 stripComments가 안전하게 동작한다.

5. String parser가 주석 안 텍스트를 write 신호로 오인한다

문제

isSideEffectfulSelect와 containsWriteKeyword가 stripStringLiterals만 호출하고 stripComments는 호출하지 않는다:

func isSideEffectfulSelect(query string) bool {
    upper := strings.ToUpper(stripStringLiterals(query))
    // "FOR UPDATE", "nextval(" 등을 검색
}

func containsWriteKeyword(query string) bool {
    upper := strings.ToUpper(stripStringLiterals(query))
    // INSERT, UPDATE 등을 검색
}

/* FOR UPDATE */ SELECT 1:

stripStringLiterals → 변화 없음 (문자열 리터럴이 없으므로)
FOR UPDATE가 주석 안에 있지만 그대로 매칭됨
isSideEffectfulSelect = true → QueryWrite → writer로 오라우팅

WITH x AS (SELECT 1) /* UPDATE */ SELECT * FROM x도 같은 문제다.

classifyFast는 /*를 발견하면 slow path로 넘기므로 이 쿼리들은 반드시 이 경로를 탄다. 그리고 firstKeyword는 내부적으로 stripComments를 호출해서 키워드 추출은 정확하다. 하지만 이후 isSideEffectfulSelect(stmt)에 원본 stmt이 전달된다.

수정

두 함수 모두 stripComments를 추가:

func isSideEffectfulSelect(query string) bool {
    upper := strings.ToUpper(stripComments(stripStringLiterals(query)))
    // ...
}

func containsWriteKeyword(query string) bool {
    upper := strings.ToUpper(stripComments(stripStringLiterals(query)))
    // ...
}

Finding 4와 동일한 순서: stripStringLiterals → stripComments.

공통 패턴: “noise skip"의 일관성

5건의 발견을 관통하는 패턴이 있다. 키워드 매칭 전에 제거해야 할 “노이즈"의 범위가 함수마다 달랐다:

함수	공백	주석	문자열 리터럴
`hasTxPrefix` (수정 전)	O	X	-
`firstKeyword`	O	O	-
`isSideEffectfulSelect` (수정 전)	-	X	O
`containsSessionAdvisoryLock` (수정 전)	-	X	X

수정 후에는 모두 동일한 기준으로 노이즈를 제거한다:

함수	방식
prefix 매칭 (hasTxPrefix, detect*)	`SkipLeadingNoise` (앞쪽만)
substring 매칭 (isSideEffectful, advisory)	`stripComments(stripStringLiterals())` (전체)
keyword 추출 (firstKeyword)	`stripComments` (기존 정상)

앞쪽만 건너뛰는 SkipLeadingNoise가 stripComments보다 빠르다. 전체 문자열을 새로 만들지 않고 인덱스만 반환하기 때문이다. prefix 매칭에는 이쪽이 적합하다.

마무리

이번 라운드는 “파서가 정확한가?“를 집중적으로 파고들었다. 5건 모두 공격자가 의도적으로 주석을 붙이면 라우팅을 조작할 수 있는 문제였다:

/*x*/ BEGIN → 트랜잭션 없이 write 분산
/*x*/ SET → reader 세션 오염
MERGE INTO ... → reader 오라우팅
SELECT 'pg_advisory_lock' → 불필요한 session pin
/* FOR UPDATE */ SELECT 1 → 불필요한 writer 라우팅

1~~3은 보안/정합성 문제, 4~~5는 성능 문제다. 근본 원인은 하나다: SQL 텍스트에서 의미 있는 부분만 보려면, 주석과 리터럴을 먼저 제거해야 한다. 이 원칙이 코드베이스 전체에 일관되게 적용되지 않았다.

SkipLeadingNoise와 stripComments(stripStringLiterals()) 두 가지 도구로 통일했다. 앞으로 새 키워드 매칭 로직을 추가할 때도 이 패턴을 따르면 같은 실수를 반복하지 않을 것이다.

Go로 PostgreSQL 프록시 만들기 (56) - QA 7차: 릴리즈 전 최종 코드 리뷰

Tue, 17 Mar 2026 00:00:00 +0000

들어가며

QA 6차까지 파서 정확성을 잡았다. 이번에는 릴리즈 직전 전체 코드베이스를 처음부터 끝까지 훑는다. 엣지케이스, 동시성, 메모리, 보안 — 카테고리를 가리지 않고 14건을 찾아 수정했다.

심각도별로 3개 그룹으로 나뉜다:

그룹	건수	핵심
HIGH	4건	CopyBoth race, rate limiter clock skew, SQL 에러 노출, 캐시 인덱스 파손
MEDIUM	5건	메시지 크기 제한, synthesizer 메모리, watcher 블로킹, parseSize 무경고, 테스트 fmt.Println
Parser 일관성	5건	EXPLAIN ANALYZE, ABORT, 캐시 무효화 갭, Data API COPY, SET CONSTRAINTS

HIGH: 운영 장애를 유발할 수 있는 4건

1. CopyBoth 고루틴 race

PostgreSQL의 Logical Replication은 CopyBoth 서브프로토콜을 사용한다. 클라이언트→백엔드, 백엔드→클라이언트 두 방향을 동시에 릴레이해야 하므로 고루틴 2개를 띄운다:

// 변경 전
errCh := make(chan error, 2)
go func() { errCh <- relayCopyData(clientConn, backendConn) }()
go func() { errCh <- relayCopyData(backendConn, clientConn) }()
err := <-errCh  // 하나만 기다림
return err

한쪽이 에러로 종료하면 나머지 고루틴은 방치된다. 반대편 소켓이 닫히면 결국 종료되지만, 그 사이에 닫힌 소켓에 쓰기를 시도하거나 이미 반환된 커넥션에 접근할 수 있다.

수정은 양쪽 모두 수거하는 것이다:

err1 := <-errCh
err2 := <-errCh
if err1 != nil {
    return err1
}
return err2

2. Rate Limiter 시계 역행

Token Bucket rate limiter는 time.Now()의 차분으로 토큰을 채운다:

elapsed := now.Sub(rl.lastTime)
rl.tokens += elapsed.Seconds() * rl.rate

NTP 보정으로 시계가 뒤로 가면 elapsed가 음수가 된다. 토큰이 음수로 빠져서 rate limiter가 모든 요청을 무기한 차단한다.

if elapsed < 0 {
    elapsed = 0
}

한 줄이면 된다. 시계가 뒤로 가면 토큰을 추가하지 않을 뿐, 차감하지도 않는다.

3. Data API SQL 에러 노출

Data API에서 쿼리 실패 시 PostgreSQL 에러 메시지를 그대로 HTTP 응답에 넣고 있었다:

writeError(w, http.StatusInternalServerError, err.Error())
// → {"error": "ERROR: relation \"users\" does not exist (SQLSTATE 42P01)"}

테이블 이름, 스키마 구조, PostgreSQL 버전 정보가 외부에 노출된다. 제네릭 메시지로 교체:

writeError(w, http.StatusInternalServerError, "query execution failed")

4. 캐시 tableIndex 스테일 엔트리

캐시 Set()에서 기존 엔트리를 업데이트할 때, 이전 테이블 목록의 인덱스 참조를 제거하지 않았다:

// 변경 전
if e, ok := c.items[key]; ok {
    e.result = result
    e.tables = tables  // 이전 tables의 tableIndex 참조가 남음
    // ...
}

시나리오:

캐시 엔트리가 tables: ["users"]로 저장됨 → tableIndex["users"]에 키 등록
같은 쿼리가 tables: ["users", "orders"]로 업데이트됨
tableIndex["users"]에 이전 참조가 남아있음
users 테이블 무효화 시, 이미 업데이트된 엔트리를 삭제 시도 — 키는 같으므로 문제없어 보이지만
반대 케이스: tables: ["users", "orders"] → tables: ["orders"]로 업데이트되면 tableIndex["users"]에 stale 참조가 영구히 남음
users 무효화 시 이 엔트리를 삭제하지만, 실제로는 users와 무관한 엔트리임 → 과잉 무효화

removeTableIndex 헬퍼를 추가해서 업데이트 전에 이전 참조를 정리한다:

func (c *Cache) removeTableIndex(key uint64, tables []string) {
    for _, table := range tables {
        if keys, ok := c.tableIndex[table]; ok {
            delete(keys, key)
            if len(keys) == 0 {
                delete(c.tableIndex, table)
            }
        }
    }
}

MEDIUM: 운영 안정성 5건

5. 백엔드 메시지 크기 미검증

relayUntilReady에서 백엔드 메시지의 payload 길이를 읽고 바로 make([]byte, payloadLen)을 호출한다. 악의적이거나 손상된 백엔드가 payloadLen = 2GB를 보내면 OOM이 발생한다.

프로토콜 레이어에 이미 MaxMessageSize 상수가 있다. ReadMessage에서는 체크하지만 relayUntilReady의 수동 읽기 경로에는 빠져있었다:

if payloadLen > protocol.MaxMessageSize {
    return fmt.Errorf("backend message too large: %d bytes (max %d)",
        payloadLen, protocol.MaxMessageSize)
}

6. Synthesizer 무한 증가

Prepared Statement Multiplexing의 StatementStore가 등록된 statement를 삭제하지 않으면 메모리가 계속 증가한다. CloseStatement가 있지만, 드라이버가 Close를 보내지 않거나 연결이 비정상 종료되면 누적된다.

10,000개 상한 + LRU 퇴거를 추가:

const maxSynthStatements = 10000

func (s *StatementStore) RegisterStatement(name string, ...) {
    if len(s.statements) >= maxSynthStatements {
        oldest := s.order[0]
        s.order = s.order[1:]
        delete(s.statements, oldest)
    }
    s.statements[name] = stmt
    s.order = append(s.order, name)
}

7. Config watcher 블로킹 시작

main.go에서 <-fw.Ready()를 무조건 기다린다. 파일이 존재하지 않거나 권한이 없으면 Start()가 readyCh를 닫지 않고 에러를 반환한다. 그런데 Start()는 별도 고루틴에서 실행되므로 메인 고루틴이 <-fw.Ready()에서 영원히 블록된다.

select {
case <-fw.Ready():
case <-ctx.Done():
    return ctx.Err()
case <-time.After(5 * time.Second):
    slog.Warn("config file watcher did not become ready within 5s, continuing")
}

8. parseSize 무경고 0 반환

parseSize("invalid") → 0. 설정 파일에 max_result_size: "1mbb" 같은 오타가 있으면 캐시가 결과를 저장하지 않지만, 왜 캐시가 안 되는지 알 수 없다. slog.Warn으로 경고를 남기도록 수정.

9. 테스트에서 fmt.Println 사용

e2e_test.go에서 fmt.Println("proxy start/stop OK") — go test -v가 아니면 출력 안 되고, 병렬 테스트 시 출력이 섞인다. t.Log()로 교체.

Parser 일관성: String/AST 파서 동기화 5건

QA 6차에서 AST parser에 MERGE, COPY, CALL, EXPLAIN ANALYZE를 추가했다. 이번에는 반대 방향 — string parser에도 같은 수정이 필요한 부분과, 양쪽에 공통으로 빠진 부분을 수정한다.

10. EXPLAIN ANALYZE write 감지 (string parser)

AST parser는 EXPLAIN ANALYZE + write subquery를 write로 분류하지만, string parser의 classifyFast는 EXPLAIN을 항상 read로 처리했다. classifyFast에서 EXPLAIN을 slow path로 넘기고, isExplainAnalyzeWrite() 함수를 추가.

11. ABORT 트랜잭션 키워드

PostgreSQL에서 ABORT는 ROLLBACK의 동의어다. hasTxPrefix, updateTransactionState, containsTransactionKeyword 세 곳에 추가.

12. 캐시 무효화 테이블 추출 갭

extractTablesFromStmt가 MERGE, COPY, EXPLAIN의 대상 테이블을 추출하지 못했다. write는 writer로 올바르게 라우팅되지만, 캐시 무효화가 누락되어 stale read가 발생할 수 있다.

string parser에 extractCopyTable(), extractExplainTables() 추가. AST parser에도 extractWriteTables에 MergeStmt, CopyStmt, ExplainStmt, CallStmt case 추가.

13. Data API COPY 차단

Data API는 HTTP request/response 구조다. COPY 프로토콜은 스트리밍이므로 HTTP에서 지원할 수 없다. COPY를 실행하면 백엔드가 CopyIn/CopyOut 메시지를 보내는데, Data API의 결과 파싱 로직은 이를 처리하지 못해 연결이 꼬인다.

입구에서 차단:

sqlUpper := strings.ToUpper(strings.TrimSpace(req.SQL))
if strings.HasPrefix(sqlUpper, "COPY ") || strings.HasPrefix(sqlUpper, "COPY\t") {
    writeError(w, http.StatusBadRequest, "COPY is not supported via Data API")
    return
}

14. SET CONSTRAINTS false positive

SET CONSTRAINTS ALL DEFERRED는 트랜잭션 범위 명령이다. 그런데 session dependency detector가 SET으로 시작하는 모든 것을 잡아서 FeatureSessionSet으로 분류했다. SET LOCAL, SET TRANSACTION은 이미 제외되어 있었지만 SET CONSTRAINTS는 빠져있었다.

detectSingleStmtDependency와 isSessionModifying 양쪽에 추가.

검증

$ go build ./...     ✓
$ go vet ./...       ✓
$ go test ./internal/...
ok  internal/admin       0.013s
ok  internal/audit       1.015s
ok  internal/cache       0.004s
ok  internal/config      7.535s
ok  internal/dataapi     0.012s
ok  internal/digest      0.007s
ok  internal/metrics     0.003s
ok  internal/mirror      0.008s
ok  internal/pool        3.013s
ok  internal/protocol    0.003s
ok  internal/proxy       0.004s
ok  internal/resilience  0.103s
ok  internal/router      0.009s
ok  internal/telemetry   0.003s
14/14 PASS

마무리

14건을 심각도별로 정리하면:

HIGH 4건: 동시성 (CopyBoth race), 시계 (rate limiter), 보안 (SQL 에러 노출), 데이터 정합성 (캐시 인덱스)
MEDIUM 5건: OOM 방어, 메모리 상한, 블로킹 방지, 경고 로그, 테스트 위생
Parser 5건: string/AST 파서 간 분류 동기화

HIGH 4건의 공통점은 “정상 경로에서는 발생하지 않지만, 엣지 조건에서 조용히 깨진다"는 것이다. CopyBoth는 Logical Replication을 쓸 때만, rate limiter clock skew는 NTP 보정 시에만, 캐시 인덱스는 같은 쿼리의 테이블 구성이 바뀔 때만 발생한다. 이런 버그는 테스트보다 코드 리뷰에서 잡히는 경우가 많다.

이것으로 릴리즈 전 코드 리뷰가 끝났다. 다음 글에서는 CHANGELOG 작성과 릴리즈 체크리스트를 정리한다.

Go로 PostgreSQL 프록시 만들기 (46) - QA 소견 6건과 운영 안전성 수정

Sat, 14 Mar 2026 00:00:00 +0000

들어가며

이전 글에서 Health Check Endpoint를 구현했다. 이번에는 QA 리뷰에서 올라온 6건의 소견을 분석하고 수정한다.

이전에도 보안 QA (15편)에서 비슷한 작업을 했지만, 이번 소견은 보안보다는 운영 안전성에 초점이 맞춰져 있다. 커넥션 풀 수명주기, 설정 리로드, 장애 격리 같은 프로덕션에서 시간이 지나야 드러나는 종류의 버그들이다.

소견 1: Pool.Close() 이후 Acquire() race (High)

문제

Pool.Close()가 numOpen = 0으로 리셋한 직후, 아직 for 루프를 돌고 있던 goroutine이 Acquire()를 통해 새 연결을 생성할 수 있었다.

// pool.go — Close()
p.closed = true
p.numOpen = 0  // ← 리셋

// pool.go — Acquire() (다른 goroutine)
for {
    p.mu.Lock()
    // ← p.closed 체크 없음!
    if p.numOpen < p.cfg.MaxConnections {  // 0 < 10 → true
        p.numOpen++
        p.mu.Unlock()
        conn, _ := p.newConn()  // 닫힌 풀에 새 연결 생성
        return conn, nil
    }
}

이후 Release()에서 p.closed를 보고 numOpen--를 수행하면 카운터가 음수가 된다.

수정

Acquire() for 루프의 Lock 직후에 p.closed 체크를 추가했다:

var ErrPoolClosed = fmt.Errorf("connection pool: closed")

func (p *Pool) Acquire(ctx context.Context) (*Conn, error) {
    // ...
    for {
        p.mu.Lock()

        if p.closed {
            p.mu.Unlock()
            return nil, ErrPoolClosed
        }

        // 기존 idle/newConn 로직...
    }
}

단 3줄이지만, shutdown/reload 중 in-flight 요청이 stale 풀에서 연결을 생성하는 것을 완전히 차단한다.

소견 2: Hot Reload 시 credential 미갱신 (High)

문제

DatabaseGroup.Reload()에서:

Writer pool은 아예 재생성하지 않았다 — 메서드에 writer 관련 코드가 없음
동일 주소 reader pool은 그대로 재사용 — newPools[addr] = p

두 경우 모두 DialFunc 클로저가 생성 시점의 credential을 캡처하고 있어, 비밀번호 rotation 후에도 구 자격증명으로 계속 연결했다:

// 생성 시점 — dbCfg.Backend.Password = "old-password"
wp, _ := pool.New(pool.Config{
    DialFunc: func() (net.Conn, error) {
        return pgConnect(addr, dbCfg.Backend.User, dbCfg.Backend.Password, ...)
        // ↑ 클로저가 "old-password"를 영구적으로 잡고 있음
    },
})

// Reload 후 — 새 config에 "new-password"가 들어와도
// 기존 pool의 DialFunc는 여전히 "old-password"로 연결

재시작 전까지 영구적으로 stale 상태가 되는 심각한 버그다.

수정

Reload()에서 credential 변경을 감지하고, 변경 시 pool을 재생성하도록 수정했다:

func (g *DatabaseGroup) Reload(dbCfg config.DatabaseConfig, cbCfg config.CircuitBreakerConfig) {
    g.mu.Lock()
    defer g.mu.Unlock()

    oldCfg := g.backendCfg
    credChanged := oldCfg.User != dbCfg.Backend.User ||
        oldCfg.Password != dbCfg.Backend.Password ||
        oldCfg.Database != dbCfg.Backend.Database

    // Writer pool 재생성 (credential 변경 또는 주소 변경 시)
    newWriterAddr := fmt.Sprintf("%s:%d", dbCfg.Writer.Host, dbCfg.Writer.Port)
    if credChanged || newWriterAddr != g.writerAddr {
        if g.writerPool != nil {
            g.writerPool.Close()
        }
        g.writerPool = createWriterPool(newWriterAddr, dbCfg)
        g.writerAddr = newWriterAddr
    }

    // Reader pools — credential 변경 시 전부 재생성
    if credChanged {
        for _, p := range g.readerPools {
            p.Close()
        }
        // 모든 reader pool을 새 credential로 생성
    }
    // ...
}

핵심은 credential 변경 감지와 구 pool의 graceful close다.

소견 3: Admin IP Allowlist XFF Spoofing (Medium-High)

문제

extractClientIP()가 X-Forwarded-For 헤더를 무조건 신뢰했다:

func extractClientIP(r *http.Request) string {
    if xff := r.Header.Get("X-Forwarded-For"); xff != "" {
        parts := strings.SplitN(xff, ",", 2)
        return strings.TrimSpace(parts[0])  // 클라이언트가 임의 설정 가능
    }
    host, _, _ := net.SplitHostPort(r.RemoteAddr)
    return host
}

Admin API가 직접 노출된 환경에서 공격자가 X-Forwarded-For: 10.0.0.1만 넣으면 allowlist를 우회할 수 있었다.

수정

trusted_proxies 설정을 도입하고, 신뢰할 수 있는 프록시에서 온 요청만 XFF를 신뢰하도록 변경했다:

func extractClientIP(r *http.Request, trustedProxies []string) string {
    host, _, _ := net.SplitHostPort(r.RemoteAddr)

    // trusted proxy에서 온 요청만 XFF 신뢰
    if len(trustedProxies) > 0 && isTrustedProxy(host, trustedProxies) {
        if xff := r.Header.Get("X-Forwarded-For"); xff != "" {
            parts := strings.SplitN(xff, ",", 2)
            return strings.TrimSpace(parts[0])
        }
    }

    return host
}

Secure default: trusted_proxies가 비어있으면 XFF를 절대 신뢰하지 않는다. 기존 배포 환경에서 리버스 프록시를 사용하는 경우에만 명시적으로 설정해야 한다:

admin:
  auth:
    enabled: true
    trusted_proxies: ["10.0.0.0/8"]  # 내부 LB 대역만 신뢰
    ip_allowlist: ["192.168.1.0/24"]

소견 4: Reader 장애 격리 미작동 (Medium)

문제

balancer.MarkUnhealthy()가 정의되어 있지만, 운영 코드에서 호출하는 곳이 없었다.

// balancer.go — 정의만 존재
func (r *RoundRobin) MarkUnhealthy(addr string) { ... }

// query_read.go — 에러 시 CB만 기록, MarkUnhealthy 미호출
if err != nil {
    if cb, ok := dbg.ReaderCB(readerAddr); ok {
        cb.RecordFailure()  // CB가 disabled면 아무 효과 없음
    }
    return s.fallbackToWriter(...)
}

circuit_breaker.enabled 기본값이 false이므로, 죽은 reader가 rotation에 영구적으로 남아 매 요청마다 fallback penalty를 냈다.

수정

reader 에러 경로 3개 파일에 MarkUnhealthy() 호출을 추가했다:

query_read.go: Acquire 실패, Forward 실패, relay 실패 (4곳)
query_extended.go: 동일 패턴 (7곳)
dataapi/handler.go: executeOnPool 실패 (1곳)

// query_read.go — 수정 후
rConn, err := rPool.Acquire(poolCtx)
if err != nil {
    dbg.balancer.MarkUnhealthy(readerAddr)  // ← 추가
    if cb, ok := dbg.ReaderCB(readerAddr); ok {
        cb.RecordFailure()
    }
    return s.fallbackToWriter(...)
}

MarkUnhealthy는 CB와 독립적으로 동작한다. CB가 비활성이어도 balancer의 health check 루프가 주기적으로 TCP probe를 보내 복구하므로, reader가 살아나면 자동으로 rotation에 복귀한다.

소견 5: Extended Protocol 캐시 write-only (Medium)

문제

Extended Query Protocol 경로에서 캐시를 저장은 하지만 조회는 하지 않았다:

// query_extended.go — Set은 있지만
key := cache.WithNamespace(s.cacheKey(query, dbg.name), cache.NSExtended)
s.queryCache.Set(key, collected, tables)

// Get은 없다! handleExtendedRead() 시작부에 캐시 조회 로직이 누락

반면 Simple Query 경로(query_read.go)에는 제대로 된 Get → hit → early return이 있었다. Extended 캐시 엔트리는 LRU 공간만 차지하고 hit는 절대 안 나는 상태였다.

수정

handleExtendedRead() 시작부에 캐시 조회 로직을 추가했다:

func (s *Server) handleExtendedRead(ctx context.Context, clientConn net.Conn,
    buf []*protocol.Message, syncMsg *protocol.Message, ...) error {

    // 캐시 조회 (추가)
    if s.queryCache != nil && len(buf) > 0 && buf[0].Type == protocol.MsgParse {
        _, query := protocol.ParseParseMessage(buf[0].Payload)
        key := cache.WithNamespace(s.cacheKey(query, dbg.name), cache.NSExtended)
        if cached := s.queryCache.Get(key); cached != nil {
            if s.metrics != nil {
                s.metrics.CacheHits.Inc()
            }
            _, err := clientConn.Write(cached)
            return err
        }
        if s.metrics != nil {
            s.metrics.CacheMisses.Inc()
        }
    }

    // 기존 backend 실행 로직...
}

relayAndCollect로 저장한 바이트에는 ReadyForQuery까지 포함되어 있으므로, 그대로 클라이언트에 Write하면 된다.

소견 6: sample_ratio: 0 설정 불가 (Medium-Low)

문제

// config.go — applyDefaults()
if c.Telemetry.SampleRatio == 0 {
    c.Telemetry.SampleRatio = 1.0  // "미설정"으로 취급해 덮어씀
}

// telemetry.go — 이 분기에 도달 불가
} else if cfg.SampleRatio <= 0 {
    sampler = sdktrace.NeverSample()
}

YAML에서 sample_ratio: 0을 설정해도 float64(0)이 Go 제로값과 동일해 “미설정"으로 처리됐다. 프로덕션에서 트레이싱을 끄려면 enabled: false 대신 sample_ratio: 0으로 수집만 안 하는 전략을 쓸 수 있어야 한다.

수정

SampleRatio를 *float64 포인터로 변경해 nil(미설정)과 0(명시적)을 구분했다:

type TelemetryConfig struct {
    Enabled     bool     `yaml:"enabled"`
    SampleRatio *float64 `yaml:"sample_ratio"`  // nil = 미설정, 0 = NeverSample
    // ...
}

// applyDefaults()
if c.Telemetry.SampleRatio == nil {
    defaultRatio := 1.0
    c.Telemetry.SampleRatio = &defaultRatio
}

Go의 == 0 제로값 패턴은 편리하지만, “미설정"과 “명시적 0"을 구분해야 하는 경우에는 포인터나 별도 isSet 플래그가 필요하다. YAML/JSON 설정에서 흔히 만나는 함정이다.

교훈

이번 QA 소견에서 공통적으로 드러난 패턴:

클로저 캡처의 함정 — DialFunc가 생성 시점의 값을 영구적으로 잡고 있어 hot reload가 무력화
상태 전이 누락 — Close() 후 Acquire(), healthy → unhealthy 전이 경로가 빠져있음
Secure default 부재 — XFF를 무조건 신뢰하는 것은 “편의 기본값"이지 “안전 기본값"이 아님
대칭성 검증 — 캐시 Set이 있으면 반드시 Get이 있어야 한다. write path만 있는 캐시는 메모리 낭비
Go 제로값 함정 — float64(0)과 “미설정"은 다른 의미. 포인터 타입으로 구분 필요

이런 류의 버그는 단위 테스트로 잡기 어렵다. 코드 리뷰에서 “이 경로의 반대편은?“이라고 묻는 습관이 가장 효과적인 방어선이다.

마무리

이번 글에서 수정한 것:

Pool.Close() 이후 Acquire() race 방어 (ErrPoolClosed)
Hot reload 시 credential 변경 감지 및 pool 재생성
Admin IP allowlist의 XFF spoofing 방어 (trusted_proxies)
Reader 장애 시 MarkUnhealthy() 호출로 즉시 격리
Extended protocol 캐시에 read path 추가
sample_ratio: 0 설정이 NeverSample로 정상 동작

6건 모두 “동작은 하지만 edge case에서 깨지는” 유형이다. 프로덕션에서 시간이 지나야 드러나는 종류라 QA 단계에서 잡은 것은 다행이다.

Go로 PostgreSQL 프록시 만들기 (47) - QA 2차: Cross-Pool 오염과 캐시 정확성

Sat, 14 Mar 2026 00:00:00 +0000

들어가며

이전 글에서 QA 1차 소견 6건을 수정했다. 곧바로 2차 리뷰가 올라왔는데, 이번에는 1차 수정이 만든 새로운 문제와 1차에서 덜 파고든 영역이 섞여 있다. 특히 #1과 #2는 데이터 정확성에 직결되는 심각한 버그다.

소견 1: boundWriter cross-pool 반환 (High)

문제

relayQueries()에서 boundWriter는 트랜잭션 동안 writer 연결을 잡고 있다. 반환 시 dbg.writerPool을 참조하는데, Reload가 dbg.writerPool을 교체하면 old pool에서 빌린 conn이 new pool로 반환된다.

// query.go — COMMIT 시 반환
boundWriter = nil
dbg.writerPool.Release(wConn)  // ← reload 후 dbg.writerPool은 새 pool

이로 인해:

new pool에 old backend 소켓이 섞임 — writer 주소가 바뀌었으면 잘못된 서버로 쿼리 전송
numOpen 불일치 — new pool은 이 conn을 Acquire한 적이 없으므로 카운터 맞지 않음
MaxConnections 초과 — new pool의 numOpen에 반영 안 된 유령 conn이 idle에 추가

수정

conn을 Acquire한 시점의 pool 참조를 함께 캡처하는 방식으로 수정했다:

var boundWriter *pool.Conn
var boundWriterPool *pool.Pool  // ← Acquire 시점의 pool 참조

// Acquire 시점
acquiredPool := dbg.writerPool  // 현재 pool 캡처
wConn, acquired, err := s.acquireWriterConn(ctx, boundWriter, dbg)

// BEGIN — bind
boundWriter = wConn
boundWriterPool = acquiredPool

// COMMIT — release (항상 원본 pool로)
resetAndReleaseToPool(wConn, boundWriterPool)

backend.go에 pool-explicit 헬퍼를 추가했다:

func (s *Server) resetAndReleaseToPool(conn *pool.Conn, p *pool.Pool) {
    if err := s.resetConn(conn); err != nil {
        p.Discard(conn)
        return
    }
    p.Release(conn)
}

핵심 원칙: 모든 Release/Discard는 Acquire한 pool로 돌아가야 한다.

소견 2: Extended cache 키가 Bind 파라미터 무시 (High)

문제

이전 수정(P46 소견 5)에서 extended query에 캐시 조회를 추가했는데, 캐시 키가 Parse 메시지의 SQL 텍스트만 사용했다:

_, query := protocol.ParseParseMessage(buf[0].Payload)
key := cache.WithNamespace(s.cacheKey(query, dbg.name), cache.NSExtended)

SELECT * FROM users WHERE id = $1 같은 prepared statement에서:

$1 = 1로 실행 → 캐시 저장
$1 = 2로 실행 → 캐시 hit → $1 = 1의 결과 반환

이건 데이터 정확성 버그다. 캐시 최적화가 오히려 잘못된 데이터를 돌려주게 된 것.

수정

파라미터가 있는 prepared statement는 캐시하지 않는 것이 가장 안전하다:

func hasParameterPlaceholders(buf []*protocol.Message) bool {
    for _, m := range buf {
        if m.Type == protocol.MsgParse {
            _, query := protocol.ParseParseMessage(m.Payload)
            for i := 0; i < len(query)-1; i++ {
                if query[i] == '$' && query[i+1] >= '1' && query[i+1] <= '9' {
                    return true
                }
            }
        }
    }
    return false
}

캐시 read/write 양쪽에 가드를 추가했다:

// Cache lookup
canCache := !hasParameterPlaceholders(buf)
if s.queryCache != nil && canCache && len(buf) > 0 && buf[0].Type == protocol.MsgParse {
    // ... cache Get ...
}

// Cache store
if canCache && collected != nil && ... {
    // ... cache Set ...
}

파라미터 없는 리터럴 쿼리(SELECT 1, SELECT now() 등)만 캐시되고, 파라미터화된 쿼리는 항상 backend로 전달된다. 캐시 키에 Bind 파라미터 해시를 포함하는 방안도 있지만, 복잡도 대비 이득이 적어 단순한 접근을 택했다.

소견 3: Pool.Close() outstanding borrow 무시 (Medium)

문제

P46 소견 1에서 Acquire()에 p.closed 체크를 추가했지만, numOpen++ 후 unlock → newConn() 사이에 Close()가 끼어드는 창은 여전히 열려 있었다.

핵심은 Close()의 p.numOpen = 0:

func (p *Pool) Close() {
    // ...
    p.numOpen = 0  // ← outstanding borrow(5개 중 3개 idle, 2개 borrowed)를 무시
}

이후 borrowed conn이 Release되면 numOpen-- → 음수.

수정

idle conn 수만 차감하도록 변경:

func (p *Pool) Close() {
    // ...
    idleCount := len(p.idle)
    for _, conn := range p.idle {
        conn.Close()
    }
    p.idle = nil
    p.numOpen -= idleCount  // outstanding borrow는 보존
}

추가로 Release()와 Discard()에 음수 방어 가드:

func (p *Pool) Discard(conn *Conn) {
    conn.Close()
    p.mu.Lock()
    if p.numOpen > 0 {
        p.numOpen--
    }
    p.mu.Unlock()
    // ...
}

소견 4: Writer Circuit Breaker reload 누락 (Medium)

문제

Reload()에서 readerCBs만 갱신하고 writerCB는 건드리지 않았다:

if cbCfg.Enabled {
    // reader CBs만 갱신
    newCBs := make(map[string]*resilience.CircuitBreaker)
    for _, addr := range newReaderAddrs { ... }
    g.readerCBs = newCBs
    // writerCB → 미갱신!
}
// CB disabled 시 clear하는 else 분기도 없음

수정

if cbCfg.Enabled {
    brCfg := resilience.BreakerConfig{...}

    // Writer CB — 없으면 생성, 있으면 상태 보존을 위해 유지
    if g.writerCB == nil {
        g.writerCB = resilience.NewCircuitBreaker(brCfg)
        slog.Info("reload: writer circuit breaker enabled", "db", g.name)
    }

    // Reader CBs (기존 코드)
    // ...
} else {
    // CB 비활성 — 양쪽 모두 정리
    if g.writerCB != nil {
        g.writerCB = nil
        slog.Info("reload: writer circuit breaker disabled", "db", g.name)
    }
    g.readerCBs = nil
}

소견 5: Config Watcher startup race (Medium-Low)

문제

// main.go
go func() {
    fw.Start(ctx)  // ← watcher.Add(dir)이 여기서 실행
}()
// ← 여기로 바로 진행. watcher가 arm됐는지 보장 없음

Start() 안의 watcher.Add(dir)이 완료되기 전에 ConfigMap swap이 발생하면 이벤트를 놓친다.

수정

FileWatcher에 ready 채널을 추가:

type FileWatcher struct {
    // ...
    readyCh chan struct{}
}

func (fw *FileWatcher) Start(ctx context.Context) error {
    dir := filepath.Dir(fw.path)
    if err := fw.watcher.Add(dir); err != nil {
        return err
    }
    close(fw.readyCh)  // ← watch가 arm된 후 시그널
    // event loop...
}

func (fw *FileWatcher) Ready() <-chan struct{} {
    return fw.readyCh
}

// main.go
go func() {
    fw.Start(ctx)
}()
<-fw.Ready()  // ← watch가 arm될 때까지 대기

race window를 제로로 만든다. 단 Start()가 에러를 반환하면 readyCh가 닫히지 않아 deadlock이 될 수 있으므로, 에러 시에도 close하거나 타임아웃을 두는 것이 안전하다.

교훈

이번 라운드에서 드러난 패턴:

수정이 만든 새 버그 — P46 소견 5에서 extended cache read path를 추가했는데, 파라미터를 고려하지 않아 정확성 버그를 만들었다. 기능 추가 시 입력 공간의 전체 범위를 검토해야 한다.
참조 갱신의 함정 — dbg.writerPool처럼 중간에 바뀔 수 있는 포인터를 통한 접근은 hot-reload 환경에서 위험하다. Acquire 시점에 스냅샷을 뜨는 것이 안전하다.
카운터 불변량 — numOpen = 0처럼 절대값으로 리셋하면 outstanding 작업과의 불변량이 깨진다. delta로 조정하는 것이 원칙.
대칭성 누락 — reader CB는 reload 대상인데 writer CB는 아닌 것은 단순한 누락. 한 쪽을 구현하면 반대쪽도 확인하는 습관이 필요하다.

마무리

이번 글에서 수정한 것:

boundWriter origin pool 추적으로 cross-pool 오염 방지
파라미터화된 prepared statement의 extended cache 비활성화
Pool.Close()에서 outstanding borrow 카운터 보존
Writer circuit breaker reload 대상에 추가
FileWatcher에 ready 시그널로 startup race 제거

2차 QA에서 특히 주목할 점은, 1차 수정(P46 소견 5)이 새로운 정확성 버그를 만들었다는 것이다. 캐시처럼 투명해야 하는 레이어는 “있으면 좋고 없어도 동작"해야 하는데, 잘못 구현하면 없는 것보다 나쁜 상태가 된다.

Go로 PostgreSQL 프록시 만들기 (48) - QA 3차: 풀 안전성의 마지막 구멍들

Sat, 14 Mar 2026 00:00:00 +0000

들어가며

이전 글에서 QA 2차 소견 5건을 수정했다. 3차에서는 2차 수정이 덜 커버한 경로와 기존에 아예 누락된 안전장치가 발견됐다. 6건 중 2건이 High — 모두 hot-reload 시나리오에서 데이터 정확성이나 연결 안전성이 깨지는 문제다.

소견 1: Fallback 경로 writer pool 소유권 추적 누락 (High)

문제

P47에서 boundWriterPool 추적을 추가했지만, simple-query 트랜잭션 경로에만 적용했다. reader fallback, extended fallback, synthesized fallback, multiplex describe 경로는 여전히 dbg.writerPool에서 직접 Acquire/Release한다:

// handleExtendedRead — fallbackToWriter
wConn, err := dbg.writerPool.Acquire(ctx)  // ← reload 후 다른 pool
// ...
dbg.writerPool.Discard(wConn)              // ← 또 다른 pool일 수 있음

영향받는 경로 4곳:

fallbackToWriter (backend.go) — simple-query reader fallback
handleExtendedRead.fallbackToWriter — extended query reader fallback
handleSynthesizedRead.fallbackToWriter — multiplex mode reader fallback
handleMultiplexDescribe — Describe 메시지 처리

수정

모든 경로에서 Acquire 전에 pool 참조를 캡처하고, 해당 참조로 Release/Discard:

fallbackToWriter := func() error {
    wPool := dbg.writerPool // capture before acquire
    wConn, err := wPool.Acquire(ctx)
    // ...
    wPool.Discard(wConn)   // 원본 pool로 반환
    // ...
    s.resetAndReleaseToPool(wConn, wPool)
}

P47에서 도입한 resetAndReleaseToPool/releaseToPool이 이번에도 그대로 사용된다. 이로써 resetAndReleaseWriter/releaseWriterFast(dbg.writerPool 직접 참조)는 호출처가 전무해져 삭제했다.

원칙: 프록시에서 pool을 직접 참조하는 코드는 0이어야 한다. 모든 Release/Discard는 Acquire 시점의 스냅샷으로 간다.

소견 2: Extended cache 키가 result format과 partial fetch 무시 (High)

문제

P47에서 $N 파라미터가 있는 쿼리를 캐시에서 제외했다. 하지만 파라미터가 없는 prepared statement도 Bind의 result format codes와 Execute의 maxRows에 따라 다른 응답을 만든다:

Client A: Parse("SELECT 1") → Bind(resultFormat=text)  → Execute(maxRows=0)
Client B: Parse("SELECT 1") → Bind(resultFormat=binary) → Execute(maxRows=0)

같은 SQL이지만 A는 text '1', B는 binary \x00\x00\x00\x01을 기대한다. 캐시 키가 SQL 텍스트만 사용하므로 A의 응답이 B에게 반환될 수 있다.

partial fetch(maxRows≠0)도 마찬가지다:

Execute(maxRows=1)  → DataRow 1건 + PortalSuspended
Execute(maxRows=0)  → DataRow 전체 + CommandComplete

수정

캐시 키를 복잡하게 만드는 대신, non-default 설정을 사용하는 배치는 캐싱에서 제외:

func hasBinaryFormatOrPartialFetch(buf []*protocol.Message) bool {
    for _, m := range buf {
        switch m.Type {
        case protocol.MsgBind:
            detail, err := protocol.ParseBindMessageFull(m.Payload)
            if err != nil {
                return true // parse 실패 → 안전하게 캐시 제외
            }
            for _, fc := range detail.ResultFormatCodes {
                if fc != 0 { // 0 = text, 1 = binary
                    return true
                }
            }
        case protocol.MsgExecute:
            // Execute: portal_name\0 + int32(maxRows)
            idx := bytes.IndexByte(m.Payload, 0)
            if idx >= 0 && idx+5 <= len(m.Payload) {
                maxRows := binary.BigEndian.Uint32(m.Payload[idx+1 : idx+5])
                if maxRows != 0 {
                    return true
                }
            }
        }
    }
    return false
}

캐싱 조건이 이제 3중 가드다:

cacheable := !hasParameterPlaceholders(buf) &&
             !hasBinaryFormatOrPartialFetch(buf)

$N 파라미터 없음 (P47)
binary result format 없음 (이번)
partial fetch 없음 (이번)

대부분의 ORM/드라이버는 text format + full fetch를 기본으로 사용하므로 캐시 적중률 영향은 최소한이다.

소견 3: Extended read cache 에러 시 깨진 연결 Release (Medium)

문제

handleExtendedRead()의 cache-enabled 분기:

collected, err := s.relayAndCollect(clientConn, rConn)
// ...
rPool.Release(rConn)  // ← 에러 확인 전에 Release!
if err != nil {
    dbg.balancer.MarkUnhealthy(readerAddr)
    return fmt.Errorf(...)
}

relayAndCollect()가 backend read 실패나 client write 실패를 반환해도, 연결 상태가 불명확한 채로 pool에 복귀한다. 다음 Acquire에서 이 연결을 받으면 프로토콜 desync가 발생할 수 있다.

같은 함수의 non-cache 경로와 handleReadQueryTraced()는 에러 시 Discard() 처리:

// query_read.go — 올바른 패턴
if err != nil {
    rPool.Discard(rConn)  // ← 에러 시 Discard
    // ...
}
rPool.Release(rConn)      // ← 성공 시에만 Release

수정

에러 확인을 Release 앞으로 이동:

collected, err := s.relayAndCollect(clientConn, rConn)
// ...
if err != nil {
    rPool.Discard(rConn)  // 깨진 연결은 버린다
    dbg.balancer.MarkUnhealthy(readerAddr)
    return fmt.Errorf(...)
}
rPool.Release(rConn)      // 성공 시에만 pool 복귀

소견 4: Pool.Acquire close race (Medium)

문제

Acquire()에서 numOpen++ → Unlock() → newConn() 사이에 Close()가 개입할 수 있다:

Goroutine A (Acquire)        Goroutine B (Close)
─────────────────────        ──────────────────
p.numOpen++ (10→11)
p.mu.Unlock()
                             p.mu.Lock()
                             p.closed = true
                             // idle conn 정리
                             p.mu.Unlock()
conn, _ := p.newConn()
return conn, nil             // ← 닫힌 pool에서 live conn 탈출!

P47에서 Release()에 p.closed 체크를 추가했으므로, 이 conn이 Release되면 닫히긴 한다. 하지만 그 전까지 caller는 정상 연결인 줄 알고 사용한다.

수정

newConn() 성공 후 closed 상태를 재확인:

if p.numOpen < p.cfg.MaxConnections {
    p.numOpen++
    p.mu.Unlock()

    conn, err := p.newConn()
    if err != nil {
        p.mu.Lock()
        p.numOpen--
        p.mu.Unlock()
        return nil, err
    }

    // Re-check: Close() may have run while we were dialing.
    p.mu.Lock()
    if p.closed {
        p.numOpen--
        p.mu.Unlock()
        conn.Close()
        return nil, ErrPoolClosed
    }
    p.mu.Unlock()

    return conn, nil
}

race window가 newConn() 동안(수 ms~수십 ms TCP dial)에서 lock 재확인까지(sub-μs)로 줄어든다. 완전 제거는 아니지만, lock을 잡은 채로 dial하면 전체 pool이 블로킹되므로 이 trade-off가 합리적이다.

소견 5: executeSynthesizedQuery — boundWriter write 실패 시 discard 누락 (Medium)

문제

if err := protocol.WriteMessage(wConn, protocol.MsgQuery, queryPayload); err != nil {
    ct.clear()
    if acquired {
        discardToPool(wConn, acquiredPool)
    }
    // ← !acquired (boundWriter 사용 중) 경로: 아무것도 안 함!
    return fmt.Errorf("send synthesized query: %w", err)
}

boundWriter에 write가 실패하면 연결이 깨진 상태인데, discard하지 않고 그대로 둔다. relayQueries()의 다음 루프에서 이 깨진 boundWriter로 다시 쿼리를 보내면 연쇄 실패가 발생하고, 최종적으로 defer의 cleanup이 처리할 때까지 모든 쿼리가 실패한다.

수정

if acquired {
    discardToPool(wConn, acquiredPool)
} else {
    discardToPool(wConn, *boundWriterPool)
    *boundWriter = nil
    *boundWriterPool = nil
}

boundWriter를 nil로 설정하면 다음 쿼리에서 acquireWriterConn()이 새 연결을 할당한다.

소견 6: Extended/Synthesized read에 circuit breaker 누락 (Low)

문제

handleReadQueryTraced()(simple-query read 경로)에는 reader circuit breaker가 완전히 통합되어 있다:

// query_read.go — 정상
if cb, ok := dbg.ReaderCB(readerAddr); ok {
    if err := cb.Allow(); err != nil {
        return s.fallbackToWriter(...)
    }
}
// ...
cb.RecordSuccess()  // 성공
cb.RecordFailure()  // 실패

하지만 handleExtendedRead()와 handleSynthesizedRead()에는 CB 체크가 전혀 없다. reader가 장애 상태여도 extended/synthesized 쿼리는 CB를 우회하여 실패한 reader에 계속 시도한다.

수정

두 함수 모두에 CB Allow/RecordSuccess/RecordFailure를 추가:

// handleExtendedRead — CB check 추가
if cb, ok := dbg.ReaderCB(readerAddr); ok {
    if err := cb.Allow(); err != nil {
        slog.Warn("reader circuit breaker open for extended query", "addr", readerAddr)
        return fallbackToWriter()
    }
}

// ... 성공 경로
if cb, ok := dbg.ReaderCB(readerAddr); ok {
    cb.RecordSuccess()
}

// ... 에러 경로마다
if cb, ok := dbg.ReaderCB(readerAddr); ok {
    cb.RecordFailure()
}

handleSynthesizedRead()도 동일하게 적용. 이제 3개 read 경로(simple, extended, synthesized) 모두 CB가 일관되게 작동한다.

교훈

3차 QA에서 드러난 패턴:

수정 범위의 착각 — P47에서 boundWriterPool을 도입했지만 simple-query 트랜잭션 경로에만 적용하고 fallback 경로를 놓쳤다. 같은 패턴(dbg.writerPool 직접 접근)을 프로젝트 전체에서 grep하는 습관이 필요하다.
캐시 불변량의 점진적 확장 — 1차에서 extended cache를 추가하고, 2차에서 $N 파라미터를 제외하고, 3차에서 binary format/partial fetch를 제외했다. 캐시 키의 완전성은 처음부터 모든 입력 차원을 나열해야 안전하다.
에러 경로의 일관성 — 같은 함수 안에서 cache path는 Release, non-cache path는 Discard. 이런 비대칭은 코드 리뷰에서도 놓치기 쉽다.
안전장치의 대칭성 — CB가 simple-query에만 있고 extended/synthesized에 없는 것은 기능 추가 시 모든 read 경로를 체크리스트로 관리하지 않으면 반복된다.

마무리

이번 글에서 수정한 것:

fallback 4개 경로에서 writer pool 소유권 추적 완성
extended cache에 binary format/partial fetch 가드 추가
깨진 reader 연결이 pool로 복귀하는 버그 수정
Pool.Acquire에서 close race 방지
boundWriter write 실패 시 discard + nil 처리
extended/synthesized read에 circuit breaker 일관성 확보

3번의 QA를 거치면서 커넥션 풀 관련 안전장치가 상당히 촘촘해졌다. 특히 hot-reload 시나리오에서의 pool 소유권 문제는 이제 모든 writer 접근 경로에서 캡처 패턴이 적용되었다.

Go로 PostgreSQL 프록시 만들기 (30) - AST 라우팅 사각지대와 캐시 무효화 실종

Thu, 12 Mar 2026 00:00:00 +0000

들어가며

P29까지의 수정이 끝나자마자 QA 팀이 3차 리포트를 보내왔다. 이번에는 “표면적으로는 동작하지만 실은 안 하고 있는” 유형의 버그가 주를 이뤘다. 설정을 켜도 반영되지 않는 AST 라우팅, nil 하나 때문에 통째로 무력화된 캐시 무효화, 요청 하나에 같은 SQL을 5번 파싱하는 낭비까지. 총 5건, 높음 2건 + 중간 3건이다.

버그 1: AST 라우팅이 껍데기뿐 (높음)

증상

routing.ast_parser: true를 설정해도 CTE 내 INSERT/UPDATE가 reader로 라우팅될 수 있다.

원인

Session.Route()가 AST 설정을 전혀 모른다.

// internal/router/router.go — 수정 전
func (s *Session) Route(query string) Route {
    // ...
    qtype := Classify(query)  // 항상 문자열 기반
    // ...
}

ClassifyAST()는 proxy/helpers.go의 classifyQuery()를 통해 호출되지만, 그 결과는 텔레메트리 span의 attribute와 캐시 무효화 판단에만 사용된다. 실제 라우팅 결정을 내리는 Session.Route()에는 도달하지 않는다.

Session 구조체에는 astParser 필드 자체가 없었다:

type Session struct {
    inTransaction       bool
    readAfterWriteDelay time.Duration
    causalConsistency   bool
    lastWriteLSN        LSN
    stmtRoutes          map[string]Route
    // astParser 필드 없음!
}

NewSession() 호출부(server.go)에서도 AST 설정을 전달하지 않았다. 기능은 구현되어 있지만 배선이 안 된 것이다.

수정

Session에 astParser 필드를 추가하고, Route()와 routeLocked()에서 분기한다:

// internal/router/router.go — 수정 후
type Session struct {
    // ...
    astParser bool
    stmtRoutes map[string]Route
}

func NewSession(readAfterWriteDelay time.Duration, causalConsistency bool, astParser bool) *Session {
    return &Session{
        readAfterWriteDelay: readAfterWriteDelay,
        causalConsistency:   causalConsistency,
        astParser:           astParser,
        stmtRoutes:          make(map[string]Route),
    }
}

func (s *Session) Route(query string) Route {
    // ...
    var qtype QueryType
    if s.astParser {
        qtype = ClassifyAST(query)
    } else {
        qtype = Classify(query)
    }
    // ...
}

server.go에서 설정 전달:

session := router.NewSession(cfg.Routing.ReadAfterWriteDelay, cfg.Routing.CausalConsistency, cfg.Routing.ASTParser)

교훈

기능을 구현하는 것과 기능을 연결하는 것은 별개다. 이 버그의 위험한 점은 ClassifyAST가 분명히 호출되고 있어서 — span에 올바른 query.type 값이 찍히고, 캐시 무효화에도 쓰이고 있어서 — “잘 되고 있다"고 착각하기 쉽다는 것이다. 실제 라우팅 결정은 전혀 다른 경로에서 이루어지고 있었다.

버그 2: nil 하나로 캐시 무효화가 전멸 (높음)

증상

테이블에 INSERT 후 다른 세션에서 SELECT하면 TTL 만료 전까지 stale 데이터가 반환된다.

원인

읽기 캐시 저장 3곳 모두 tables=nil:

// internal/proxy/query_read.go:137 — handleReadQueryTraced
s.queryCache.Set(key, collected, nil)  // tables가 nil!

// internal/proxy/query_read.go:258 — handleReadQuery
s.queryCache.Set(key, collected, nil)  // 여기도 nil!

// internal/proxy/query_extended.go:109 — handleExtendedRead
s.queryCache.Set(key, collected, nil)  // 여기도 nil!

캐시의 Set() → updateTableIndex() 흐름:

func (c *Cache) updateTableIndex(key uint64, tables []string) {
    for _, t := range tables {  // tables가 nil이면 루프 진입 안 함
        c.tableIndex[t] = append(c.tableIndex[t], key)
    }
}

tables=nil이면 tableIndex에 아무것도 등록되지 않는다. 쓰기 후 InvalidateTable("users")을 호출해도:

func (c *Cache) InvalidateTable(table string) {
    keys, ok := c.tableIndex[table]  // 비어있으므로 ok=false
    if !ok {
        return  // 즉시 반환 — 무효화 안 됨
    }
    // ...
}

빈 tableIndex에서 조회 → no-op. 캐시 무효화 코드가 존재하지만 한 번도 실행된 적이 없는 상태다.

수정

읽기 쿼리에서 테이블명을 추출하는 함수를 추가하고, 캐시 저장 시 전달한다.

// internal/router/parser_ast.go — 새 함수
func ExtractReadTablesAST(query string) []string {
    tree, err := ParseSQL(query)
    if err != nil {
        return ExtractReadTables(query) // 문자열 fallback
    }
    seen := make(map[string]bool)
    var tables []string
    WalkNodes(tree, func(node *pg_query.Node) bool {
        if rv := node.GetRangeVar(); rv != nil {
            t := strings.ToLower(rv.GetRelname())
            if t != "" && !seen[t] {
                seen[t] = true
                tables = append(tables, t)
            }
        }
        return true
    })
    return tables
}

호출부 수정:

// internal/proxy/query_read.go — 수정 후
tables := s.extractReadQueryTables(query)
s.queryCache.Set(key, collected, tables)  // nil → 실제 테이블명

3곳 모두 동일하게 수정했다.

테스트

func TestCache_InvalidateTable_ReadCacheWithTables(t *testing.T) {
    c := New(Config{MaxEntries: 100, TTL: time.Minute, MaxSize: 1024})

    c.Set(CacheKey("SELECT * FROM users"), []byte("users-result"), []string{"users"})
    c.Set(CacheKey("SELECT * FROM orders"), []byte("orders-result"), []string{"orders"})
    c.Set(CacheKey("SELECT * FROM users JOIN orders ..."), []byte("join-result"), []string{"users", "orders"})

    c.InvalidateTable("users")

    // users, join 캐시 삭제됨, orders는 유지
    if c.Len() != 1 { t.Errorf("Len() = %d, want 1", c.Len()) }
}

교훈

함수 시그니처에 tables []string이 있고 nil이 합법적인 값이면, 호출자는 “나중에 채우자"고 nil을 넣고 잊어버리기 쉽다. 이 경우 nil은 “테이블 없음"이 아니라 “추출을 안 함"이라는 뜻이었다. Go에서 nil slice는 조용히 empty처럼 동작하므로 에러도 패닉도 없이 로직 전체를 무력화한다.

개선 3: 요청 1건에 같은 SQL을 5번 파싱 (중간)

증상

AST 모드에서 트래픽이 올라가면 CPU 사용량이 예상보다 급격히 증가한다.

원인

요청 하나의 처리 경로에서 pg_query.Parse()가 독립적으로 5회 이상 호출된다:

단계	위치	호출
방화벽	`firewall.go:42`	`ParseSQL(query)`
분류	`parser_ast.go:46`	`ParseSQL(query)`
캐시 키	`normalize.go:17`	`pg_query.Parse(query)`
테이블 추출	`parser_ast.go:125`	`ParseSQL(query)`
힌트	`parser_ast.go:38`	`pg_query.Scan(query)`

pg_query.Parse()는 CGO 경계를 넘어 PostgreSQL C 파서를 호출한다. 벤치마크:

ClassifyAST SELECT: ~10.3us
SemanticCacheKey: ~17.5us
CheckFirewall: ~5.5us

요청당 ~33us 이상이 순수 파싱에 소비된다.

수정

ParsedQuery 구조체로 파싱 결과를 한 번 만들어 재사용한다:

// internal/router/parsed_query.go
type ParsedQuery struct {
    SQL  string
    Tree *pg_query.ParseResult
}

func NewParsedQuery(sql string) (*ParsedQuery, error) {
    tree, err := pg_query.Parse(sql)
    if err != nil {
        return nil, fmt.Errorf("parse SQL: %w", err)
    }
    return &ParsedQuery{SQL: sql, Tree: tree}, nil
}

각 함수에 WithTree 변형을 추가하고, 기존 함수는 backward-compatible 래퍼로 유지:

func ClassifyASTWithTree(query string, pq *ParsedQuery) QueryType { ... }
func CheckFirewallWithTree(pq *ParsedQuery, cfg FirewallConfig) FirewallResult { ... }
func ExtractTablesASTWithTree(pq *ParsedQuery) []string { ... }
func SemanticCacheKeyWithTree(tree *pg_query.ParseResult, query string) uint64 { ... }

쿼리 처리 진입점에서 한 번 파싱:

// internal/proxy/query.go — 쿼리 루프 내
var parsedQuery *router.ParsedQuery
if queryCfg.Routing.ASTParser {
    if pq, err := router.NewParsedQuery(query); err == nil {
        parsedQuery = pq
    }
}

// 이후 모든 호출에 parsedQuery 전달
fwResult = router.CheckFirewallWithTree(parsedQuery, fwCfg)
qtype = s.classifyQueryParsed(query, parsedQuery)
key = s.cacheKeyParsed(query, parsedQuery)
tables = s.extractQueryTablesParsed(query, parsedQuery)

벤치마크 결과

BenchmarkQueryPipeline_WithoutParsedQuery   25,000 ns/op   6,552 B/op   135 allocs/op
BenchmarkQueryPipeline_WithParsedQuery       7,300 ns/op   2,280 B/op    46 allocs/op

3.4x 속도 향상, 65% 메모리 감소, 66% 할당 감소.

교훈

모듈별로 독립적으로 파싱하는 것이 깔끔한 설계처럼 보이지만, CGO 호출이 포함되면 비용이 기하급수적으로 쌓인다. “parse once, pass the tree” 패턴은 모듈 간 결합을 약간 높이지만, 요청 경로의 latency를 극적으로 줄인다.

버그 4: 백엔드가 죽을수록 헬스체크가 느려진다 (중간)

증상

reader 3대 중 2대가 죽으면 /admin/health 응답이 ~6초 걸린다.

원인

순차적 TCP 다이얼:

// internal/admin/admin.go — 수정 전
func (s *Server) handleHealth(w http.ResponseWriter, r *http.Request) {
    writerHealthy := checkTCP(writerAddr)          // 죽으면 2초
    for _, r := range cfg.Readers {
        readers = append(readers, backendHealth{
            Healthy: checkTCP(addr),               // 각각 2초
        })
    }
}

func checkTCP(addr string) bool {
    conn, err := net.DialTimeout("tcp", addr, 2*1e9)  // 2초 타임아웃
    // ...
}

writer 1 + reader N개를 순차 검사하므로, 모두 죽으면 (1+N) × 2초.

수정

goroutine으로 병렬화:

// internal/admin/admin.go — 수정 후
readers := make([]backendHealth, len(cfg.Readers))
for i, rd := range cfg.Readers {
    readers[i].Addr = fmt.Sprintf("%s:%d", rd.Host, rd.Port)
}

var wg sync.WaitGroup
var writerHealthy bool

wg.Add(1)
go func() {
    defer wg.Done()
    writerHealthy = checkTCP(writerAddr)
}()

for i := range readers {
    wg.Add(1)
    go func(idx int) {
        defer wg.Done()
        readers[idx].Healthy = checkTCP(readers[idx].Addr)
    }(i)
}

wg.Wait()

pre-allocated slice의 서로 다른 인덱스에 쓰므로 mutex 불필요. WaitGroup만으로 동기화 완료.

테스트

func TestHandleHealth_ParallelTiming(t *testing.T) {
    // RFC 5737 TEST-NET 주소 — 무조건 타임아웃
    cfg := &config.Config{
        Writer:  config.DBConfig{Host: "192.0.2.1", Port: 9999},
        Readers: []config.DBConfig{
            {Host: "192.0.2.1", Port: 9999},
            {Host: "192.0.2.1", Port: 9999},
        },
    }
    // ...
    start := time.Now()
    srv.handleHealth(w, req)
    elapsed := time.Since(start)

    // 순차 시 ~6초, 병렬이면 ~2초
    if elapsed > 4*time.Second {
        t.Errorf("took %v; expected < 4s", elapsed)
    }
}

교훈

I/O 바운드 작업을 루프에서 순차 실행하면, 장애 상황에서 지연이 선형으로 누적된다. 헬스체크는 장애 시에 가장 빨라야 하는데, 장애 시에 가장 느려지는 역설이 발생한다. Go에서는 goroutine + WaitGroup으로 O(N)을 O(1)로 만드는 비용이 매우 낮다.

버그 5: splitStatements가 달러 쿼팅을 모른다 (중간)

증상

PL/pgSQL 함수 정의가 세미콜론 기준으로 잘못 분리되어 라우팅 및 트랜잭션 추적 오류 발생.

원인

splitStatements() 구현이 '와 " 만 인식:

// internal/router/router.go — 수정 전
func splitStatements(query string) []string {
    inSingleQuote := false
    inDoubleQuote := false
    for i := 0; i < len(query); i++ {
        ch := query[i]
        switch {
        case ch == '\'' && !inDoubleQuote:
            inSingleQuote = !inSingleQuote  // '' 이스케이프도 오동작
        case ch == '"' && !inSingleQuote:
            inDoubleQuote = !inDoubleQuote
        case ch == ';' && !inSingleQuote && !inDoubleQuote:
            // 분리!
        }
    }
}

아래 입력에서 잘못 분리된다:

CREATE FUNCTION f() AS $$ BEGIN SELECT 1; END; $$ LANGUAGE plpgsql

결과: CREATE FUNCTION f() AS $$ BEGIN SELECT 1 / END / $$ LANGUAGE plpgsql — 3개로 분리.

같은 패키지의 parser.go에는 stripStringLiterals()가 달러 쿼팅을 정상 처리하고, stripComments()가 --와 /* */를 정상 처리한다. 하지만 splitStatements()는 이 유틸을 사용하지 않고 독자 구현.

수정

splitStatements()를 재작성. 기존 parseDollarTag()를 재사용하고 라인/블록 주석을 추가:

func splitStatements(query string) []string {
    for i := 0; i < len(query); i++ {
        ch := query[i]

        // Dollar quoting: $$ 또는 $tag$ 감지 → 닫는 태그까지 skip
        if ch == '$' && !inSingleQuote && !inDoubleQuote {
            tag, ok := parseDollarTag(query, i)
            if ok {
                // opening tag + body + closing tag를 통째로 current에 추가
                // i를 closing tag 끝으로 이동
                continue
            }
        }

        // Line comment: -- → 줄 끝까지 skip
        if ch == '-' && !inSingleQuote && !inDoubleQuote && i+1 < len(query) && query[i+1] == '-' {
            for i < len(query) && query[i] != '\n' { current.WriteByte(query[i]); i++ }
            continue
        }

        // Block comment: /* → */ (중첩 지원)
        if ch == '/' && !inSingleQuote && !inDoubleQuote && i+1 < len(query) && query[i+1] == '*' {
            depth := 1
            // depth == 0 될 때까지 skip
            continue
        }

        // Escaped quote: '' → skip (기존 토글 방식 수정)
        // ...
    }
}

테스트 (4건 → 14건)

{"dollar-quoted function body",
 "CREATE FUNCTION f() AS $$ BEGIN SELECT 1; END; $$ LANGUAGE plpgsql", 1},
{"tagged dollar quote",
 "SELECT $tag$hello;world$tag$", 1},
{"line comment with semicolon",
 "SELECT 1; -- comment; here\nSELECT 2", 2},
{"block comment with semicolon",
 "SELECT 1; /* comment; here */ SELECT 2", 2},
{"nested block comment",
 "SELECT 1; /* outer /* inner; */ still; */ SELECT 2", 2},
{"escaped single quotes",
 "SELECT 'it''s;fine'; SELECT 2", 2},
{"mixed function with comments",
 "CREATE FUNCTION f() AS $$ BEGIN\n-- a; comment\nSELECT 1; /* block; */ END; $$ LANGUAGE plpgsql; SELECT 2", 2},

교훈

SQL의 “세미콜론으로 분리"는 자명한 작업처럼 보이지만, PostgreSQL의 quoting 규칙은 매우 풍부하다. 같은 패키지에 이미 올바른 구현이 있었는데 splitStatements만 독자적으로 간략화한 것이 원인이다. 유틸리티 함수는 만들었으면 써야 한다.

마무리

이번 QA 라운드에서 발견된 5건의 공통점은 “기능이 존재하지만 연결되지 않았거나, 정상 경로에서만 동작하는” 유형이다.

패턴	사례
배선 누락	AST 라우팅 (#143) — 구현은 있으나 Session에 미연결
nil 전파	캐시 무효화 (#144) — nil slice가 조용히 로직 전체를 무력화
중복 비용	AST 파싱 (#145) — 모듈 독립성이 CGO 비용을 5배로 증폭
장애 시 역전	헬스체크 (#146) — 장애 시에 가장 느려지는 역설
유틸 미사용	splitStatements (#147) — 같은 패키지의 유틸을 안 쓴 독자 구현

버그는 “없는 기능” 보다 “있는 것 같은 기능"이 더 위험하다. 설정을 켜도 반영되지 않는 라우팅, nil을 넘겨도 에러 없이 돌아가는 캐시 — 이런 것들은 정상 경로 테스트에서 잡히지 않는다. QA의 엣지케이스 리뷰가 또 한 번 빛을 발한 라운드였다.

Go로 PostgreSQL 프록시 만들기 (31) - 캐시 포맷 충돌과 HTTP 서버 수명주기

Thu, 12 Mar 2026 00:00:00 +0000

들어가며

P30에서 AST 라우팅 사각지대와 캐시 무효화 실종을 수정한 직후, QA 4차 리포트가 도착했다. 이번 라운드의 핵심은 캐시가 프로토콜을 깨뜨릴 수 있다는 Critical 급 발견이었다. Data API, proxy simple query, extended query 세 경로가 동일한 캐시를 공유하면서 전혀 다른 응답 포맷을 저장하고 있었다.

총 5건: 높음 2건 + 중간 3건.

#	심각도	요약	PR
1	높음	캐시 키에 응답 포맷 namespace가 없어 JSON/wire 충돌	#158
2	높음	Data API 읽기 캐시가 write table extractor를 사용하여 무효화 불가	#159
3	중간	Hot reload가 balancer의 healthy/replayLSN 상태를 초기화	#162
4	중간	HTTP 서버(metrics/admin/data_api)에 lifecycle 관리 없음	#161
5	중간	read cache path에서 AST 재파싱	#160

버그 1: 캐시 키 네임스페이스 부재 — JSON이 wire로 (높음)

증상

캐시 활성화 + Data API와 proxy를 동시에 사용하면, proxy simple query 클라이언트가 JSON 바이트를 PG wire 응답으로 받아 프로토콜이 깨진다.

원인

세 경로가 동일한 cache.Cache 인스턴스를 공유하며, 같은 SQL에 대해 동일한 캐시 키(FNV-1a 해시)를 생성한다. 그런데 저장하는 응답 포맷이 각기 다르다:

경로	저장 포맷	코드
Data API	`json.Marshal(QueryResponse{...})`	`handler.go:282`
Proxy simple read	PG wire bytes (RowDesc+DataRow+…+ReadyForQuery)	`query_read.go:138`
Extended query	PG wire bytes (ParseComplete+BindComplete+…)	`query_extended.go:108`

시나리오:
1. Data API: SELECT * FROM users → 캐시에 JSON 저장 (key=0xABCD)
2. Proxy client: SELECT * FROM users → 같은 키로 캐시 HIT
3. clientConn.Write(cached) → JSON 바이트가 PG wire로 전송
4. PostgreSQL 클라이언트: 프로토콜 파싱 실패 → 연결 끊김

proxy simple read의 캐시 반환 코드가 바이트를 그대로 소켓에 쏘기 때문에, 포맷 검증 없이 무조건 전송된다:

// query_read.go:33 — 포맷 검증 없이 raw write
if cached := s.queryCache.Get(key); cached != nil {
    _, err := clientConn.Write(cached)
    return err
}

수정

XOR 기반 네임스페이스를 캐시 키에 혼합한다:

// internal/cache/cache.go
const (
    NSProxyWire uint64 = 0                    // 기본값 (proxy simple query)
    NSDataAPI   uint64 = 0xa5a5a5a5a5a5a5a5  // Data API JSON
    NSExtended  uint64 = 0x5a5a5a5a5a5a5a5a  // extended query wire
)

func WithNamespace(key uint64, ns uint64) uint64 {
    return key ^ ns
}

각 경로에서 캐시 GET/SET 시 namespace를 적용:

// Data API (handler.go)
key := cache.WithNamespace(s.cacheKeyParsed(sql, pq), cache.NSDataAPI)

// Extended query (query_extended.go)
key := cache.WithNamespace(s.cacheKey(query), cache.NSExtended)

// Proxy simple read — NS=0이므로 기존 코드 변경 없음

동일 SQL이라도 경로별로 독립된 캐시 공간을 갖게 되어, 포맷 충돌이 원천 차단된다.

왜 XOR인가?

namespace 상수가 0이면 기존 키와 동일 (backward compatible), 0이 아니면 완전히 다른 키 공간으로 분리된다. 해시 함수를 다시 돌리는 것보다 비용이 제로에 가깝고, 구현도 한 줄이다. 두 namespace 상수의 비트 패턴이 서로 다르면 충돌 확률은 무시할 수 있다.

버그 2: Data API 읽기 캐시 무효화 실종 (높음)

증상

Data API로 캐시된 SELECT 결과가 같은 테이블에 write가 와도 TTL까지 stale하게 유지된다.

원인

executeRead에서 캐시 저장 시 extractTablesParsed를 호출하는데, 이 함수는 write table extractor를 사용한다:

// handler.go:283 — 수정 전
tables := s.extractTablesParsed(sql, pq)
// → ExtractTablesASTWithTree → extractTablesFromTree → extractWriteTables
// → INSERT/UPDATE/DELETE 대상 테이블만 수집

SELECT 쿼리에 대해 write table extractor는 당연히 빈 배열을 반환한다. 결과적으로 queryCache.Set(key, data, []) — 테이블 인덱스가 비어 있으므로 InvalidateTable("users")가 호출되어도 이 엔트리를 찾지 못한다.

반면 proxy 경로(query_read.go:137)는 올바르게 extractReadQueryTables(FROM/JOIN 테이블 수집)를 사용하고 있었다. Data API만 잘못된 함수를 호출하고 있었다.

수정

Data API에 extractReadTablesParsed 메서드를 추가하고, executeRead에서 사용:

// handler.go — 수정 후
tables := s.extractReadTablesParsed(sql, pq)
// → ExtractReadTablesASTWithTree → extractReadTablesFromTree
// → WalkNodes로 모든 RangeVar (FROM/JOIN) 수집

이를 위해 router/parser_ast.go에도 ExtractReadTablesASTWithTree와 extractReadTablesFromTree를 추가했다. 기존 ExtractReadTablesAST도 extractReadTablesFromTree를 내부 호출하도록 리팩토링하여 코드 중복을 제거했다.

버그 3: Hot reload가 balancer 상태를 초기화 (중간)

증상

설정 reload 직후 (1) 직전에 unhealthy였던 reader가 잠깐 선택 대상이 되고, (2) causal consistency read가 writer fallback으로 몰린다.

원인

UpdateBackends가 매번 새 Backend 구조체를 생성하며 healthy=true, replayLSN=0으로 초기화한다:

// balancer.go:105 — 수정 전
func (r *RoundRobin) UpdateBackends(addrs []string) {
    backends := make([]*Backend, len(addrs))
    for i, addr := range addrs {
        b := &Backend{Addr: addr}
        b.healthy.Store(true)  // 죽어있던 reader도 healthy로 리셋
        backends[i] = b        // replayLSN = 0
    }
    r.mu.Lock()
    r.backends = backends
    r.mu.Unlock()
}

replayLSN=0이 되면 NextWithLSN(minLSN)에서 모든 reader가 LSN 조건을 만족하지 못하게 되어, 다음 LSN poll 주기(1초)까지 빈 문자열 반환 → writer fallback이 발생한다.

수정

기존 backend 맵을 빌드하여 addr가 동일한 경우 상태를 복사한다:

// balancer.go — 수정 후
func (r *RoundRobin) UpdateBackends(addrs []string) {
    r.mu.RLock()
    oldMap := make(map[string]*Backend, len(r.backends))
    for _, b := range r.backends {
        oldMap[b.Addr] = b
    }
    r.mu.RUnlock()

    backends := make([]*Backend, len(addrs))
    for i, addr := range addrs {
        if old, ok := oldMap[addr]; ok {
            backends[i] = old  // 기존 상태 보존
        } else {
            b := &Backend{Addr: addr}
            b.healthy.Store(true)
            backends[i] = b
        }
    }
    r.mu.Lock()
    r.backends = backends
    r.mu.Unlock()
}

버그 4: HTTP 서버에 수명주기 관리 없음 (중간)

증상

포트 충돌 시 프로세스가 부분 성공 상태로 실행됨 (proxy는 뜨지만 admin은 안 뜸)
종료 시 in-flight HTTP 요청이 drain되지 않음

원인

세 HTTP 서버(metrics, admin, data_api)가 모두 goroutine fire-and-forget으로 시작된다:

// main.go — 수정 전
go func() {
    if err := http.ListenAndServe(addr, mux); err != nil && err != http.ErrServerClosed {
        slog.Error("server error", "error", err)  // 로그만 남기고 끝
    }
}()

http.ListenAndServe는 net.Listen + http.Serve를 한 번에 수행하므로, bind 실패가 goroutine 내부에서만 관찰된다. main goroutine은 이 에러를 전혀 모른 채 srv.Start(ctx)로 진행한다.

또한 http.ListenAndServe로 생성된 서버는 *http.Server 핸들이 외부에 노출되지 않아 Shutdown()을 호출할 방법이 없다.

수정

Eager bind: net.Listen으로 먼저 바인딩하여 포트 충돌 시 run() 자체가 에러를 반환
*http.Server 노출: admin, dataapi에 HTTPServer() 메서드 추가
Graceful shutdown: context 취소 시 모든 HTTP 서버에 Shutdown(5s) 호출
Runtime 에러 전파: httpErrCh로 런타임 에러 수신 → context cancel

// main.go — 수정 후 (핵심)
ln, err := net.Listen("tcp", cfg.Admin.Listen)
if err != nil {
    return fmt.Errorf("admin server bind %s: %w", cfg.Admin.Listen, err)
}
httpServers = append(httpServers, adminHTTP)
go func() {
    if err := adminHTTP.Serve(ln); err != nil && err != http.ErrServerClosed {
        httpErrCh <- fmt.Errorf("admin server: %w", err)
    }
}()

// Graceful shutdown
go func() {
    <-ctx.Done()
    shutdownCtx, cancel := context.WithTimeout(context.Background(), 5*time.Second)
    defer cancel()
    for _, s := range httpServers {
        s.Shutdown(shutdownCtx)
    }
}()

버그 5: read cache path AST 재파싱 (중간)

증상

성능 문제. AST mode + cache-enabled read 트래픽에서 불필요한 재파싱이 발생한다.

원인

handleReadQueryTraced에서 캐시 키 생성에는 pq(pre-parsed tree)를 사용하면서, 테이블 추출에는 raw SQL을 다시 파싱하고 있었다:

// query_read.go — 수정 전
key := s.cacheKeyParsed(query, pq)         // ✓ pq 재활용
tables := s.extractReadQueryTables(query)  // ✗ 내부에서 ParseSQL(query) 다시 호출

벤치마크에서 SemanticCacheKey(재파싱)가 32.6μs, SemanticCacheKeyWithTree(tree 재활용)가 16.0μs였으므로, 테이블 추출도 같은 수준의 절감을 기대할 수 있다.

수정

extractReadQueryTablesParsed 메서드를 추가하고 handleReadQueryTraced에서 사용:

// helpers.go
func (s *Server) extractReadQueryTablesParsed(query string, pq *router.ParsedQuery) []string {
    if s.getConfig().Routing.ASTParser && pq != nil {
        return router.ExtractReadTablesASTWithTree(pq)
    }
    return s.extractReadQueryTables(query)
}

// query_read.go — 수정 후
tables := s.extractReadQueryTablesParsed(query, pq)  // ✓ pq 재활용

교훈

1. 공유 캐시의 키 공간을 신뢰하지 말 것

여러 경로가 하나의 캐시를 공유할 때, “같은 SQL = 같은 키 = 같은 응답"이라는 가정은 응답 포맷이 동일할 때만 성립한다. 포맷이 다르면 키 공간을 분리해야 한다. 이건 HTTP 캐시에서 Vary 헤더가 하는 역할과 정확히 같다.

2. 추출 함수의 이름이 비슷하면 잘못 쓰기 쉽다

extractTables와 extractReadTables는 이름만 보면 차이가 불분명하다. 전자는 write 대상 테이블, 후자는 FROM/JOIN 테이블을 수집한다. Data API 개발 시 “테이블 추출이 필요하니까 extractTables를 쓰자"라고 생각한 것이 버그의 원인이었다.

3. fire-and-forget goroutine은 에러를 삼킨다

go func() { if err := serve(); ... }()는 편리하지만, main goroutine에 에러를 전파할 수 없다. 특히 서버 바인딩처럼 “실패하면 프로세스를 올리면 안 되는” 작업은 goroutine 시작 전에 eager bind로 검증해야 한다.

마무리

이번 QA 4차에서 가장 임팩트가 컸던 건 역시 캐시 포맷 충돌(버그 1)이다. 프로토콜 레벨 corruption은 디버깅이 극도로 어려운데, 증상이 “가끔 연결이 끊긴다” 수준이라 재현도 쉽지 않다. 캐시 활성화 + Data API 동시 사용이라는 특정 조건에서만 발생하기 때문이다.

5건의 수정으로 pgmux의 캐시 안정성, 운영 안정성, 성능이 한 단계 더 개선되었다. 다음 단계는 로드맵에 따라 Phase 20+ 고도화 작업으로 넘어갈 예정이다.

Go로 PostgreSQL 프록시 만들기 (15) - 보안 QA와 취약점 수정

Wed, 11 Mar 2026 00:00:00 +0000

들어가며

지난 글에서 pg_query_go를 도입하여 AST 기반 쿼리 분류, 쿼리 방화벽, 시맨틱 캐시 키를 구현했다. 코드를 작성하고 단위 테스트를 통과시켰을 때는 꽤 만족스러웠다. 그런데 QA에서 올라온 리포트를 보고 식은땀이 났다.

Critical 2건, Major 2건. 총 4건의 보안 취약점.

한 건은 다른 유저의 개인정보가 노출되는 사고, 한 건은 설정 하나로 서버가 죽는 버그, 나머지 두 건은 보안 기능 자체를 우회하는 취약점이었다. 코드를 짤 때는 “잘 돌아간다"에 집중하느라 놓친 것들이었다. 이번 글에서는 각 취약점의 원인을 분석하고 어떻게 수정했는지 정리한다.

1. 캐시 충돌로 인한 개인정보 유출 (CRITICAL)

문제

시맨틱 캐시 키에 pg_query.FingerprintToUInt64를 사용했다. 이 함수는 쿼리의 구조적 동등성을 판단하기 위해 리터럴 값을 모두 제거한다.

// 수정 전
func SemanticCacheKey(query string) uint64 {
    fp, _ := pg_query.FingerprintToUInt64(query)
    return fp  // 리터럴 값이 제거된 구조 해시
}

문제는 이 특성이 캐시 키로는 치명적이라는 점이다.

-- A 유저
SELECT * FROM payment_logs WHERE user_id = 1;
-- B 유저
SELECT * FROM payment_logs WHERE user_id = 2;

두 쿼리는 구조가 같으므로 동일한 캐시 키가 생성된다. A 유저의 결제 내역이 캐시에 저장된 상태에서 B 유저가 같은 쿼리를 보내면, B 유저에게 A 유저의 결제 내역이 그대로 반환된다.

원인 분석

Fingerprint의 용도를 잘못 이해한 것이 근본 원인이다. Fingerprint는 쿼리 통계 집계를 위해 설계되었다. “이 구조의 쿼리가 몇 번 실행되었는가"를 추적하는 용도이지, 캐시 키로 쓰라고 만든 것이 아니다. pg_query의 공식 문서에도 이 점이 명시되어 있다.

시맨틱 캐시 키가 원했던 것은 “공백과 대소문자가 달라도 같은 쿼리면 같은 키"였는데, Fingerprint는 거기에 “리터럴 값이 달라도 같은 키"까지 포함해버렸다.

수정

FingerprintToUInt64 대신 Parse + Deparse 조합을 사용했다. Deparse는 AST를 다시 SQL 문자열로 변환하는데, 이 과정에서 공백과 대소문자가 정규화되면서 리터럴 값은 그대로 보존된다.

// 수정 후
func SemanticCacheKey(query string) uint64 {
    tree, err := pg_query.Parse(query)
    if err != nil {
        return CacheKey(query)
    }
    deparsed, err := pg_query.Deparse(tree)
    if err != nil {
        return CacheKey(query)
    }
    h := fnv.New64a()
    h.Write([]byte(deparsed))
    return h.Sum64()
}

이제 WHERE user_id = 1과 WHERE user_id = 2는 다른 캐시 키를 생성하고, SELECT * FROM users와 select * from users는 같은 캐시 키를 생성한다.

func TestSemanticCacheCollision(t *testing.T) {
    key1 := SemanticCacheKey("SELECT * FROM users WHERE id = 1")
    key2 := SemanticCacheKey("SELECT * FROM users WHERE id = 2")
    if key1 == key2 {
        t.Error("different literals must produce different cache keys")
    }
}

func TestSemanticCacheEquivalence(t *testing.T) {
    key1 := SemanticCacheKey("SELECT * FROM users WHERE id = 1")
    key2 := SemanticCacheKey("select  *  from  users  where  id  =  1")
    if key1 != key2 {
        t.Error("equivalent queries should produce the same cache key")
    }
}

2. 설정 변경으로 서버 즉사 (CRITICAL)

문제

func (s *Server) cacheKey(query string) uint64 {
    if s.cfg.Routing.ASTParser {
        return cache.SemanticCacheKey(query)
    }
    return s.cacheKey(query) // 자기 자신을 호출!
}

ASTParser = true일 때는 정상 동작하지만, false로 설정하면 s.cacheKey가 자기 자신을 무한 재귀 호출한다. 단 1건의 쿼리만 들어와도 즉시 stack overflow로 서버가 패닉한다.

원인 분석

단순 오타다. cache.CacheKey(query)를 호출해야 하는데 s.cacheKey(query)를 타이핑했다. Go에서 메서드 이름과 패키지 함수 이름이 같을 때 발생하기 쉬운 실수인데, 컴파일러가 잡아주지 못한다. 타입이 같고 시그니처가 호환되기 때문이다.

수정

func (s *Server) cacheKey(query string) uint64 {
    if s.cfg.Routing.ASTParser {
        return cache.SemanticCacheKey(query)
    }
    return cache.CacheKey(query) // 패키지 함수 호출
}

한 줄 수정이지만, ASTParser = false로 배포했을 때 서비스 전면 장애로 이어질 수 있는 버그였다.

교훈

이런 유형의 버그를 잡으려면:

go vet이나 정적 분석 도구(staticcheck)로 무한 재귀를 탐지할 수 있다
두 가지 코드 경로(AST on/off)에 대해 각각 테스트를 작성해야 한다
메서드 이름과 패키지 함수 이름이 겹치지 않게 네이밍하는 것이 안전하다

3. CTE로 우회되는 쿼리 방화벽 (MAJOR)

문제

방화벽의 checkNode 함수가 top-level 노드만 검사하고 있었다.

func checkNode(node *pg_query.Node, cfg FirewallConfig) FirewallResult {
    switch n := node.GetNode().(type) {
    case *pg_query.Node_DeleteStmt:
        // WHERE 없는 DELETE 차단
    case *pg_query.Node_UpdateStmt:
        // WHERE 없는 UPDATE 차단
    case *pg_query.Node_DropStmt:
        // DROP 차단
    case *pg_query.Node_TruncateStmt:
        // TRUNCATE 차단
    // SelectStmt는? → 검사 안 함!
    }
}

공격자가 CTE를 사용하면 방화벽을 완전히 우회할 수 있다.

WITH bypass AS (DELETE FROM users) SELECT 1;

이 쿼리의 루트 노드는 SelectStmt이고, checkNode에 SelectStmt 케이스가 없으므로 방화벽을 그대로 통과한다.

아이러니

재미있는 것은, 쿼리 분류 로직(parser_ast.go)에서는 이미 CTE 내부의 write를 감지하고 있었다는 점이다. isWriteNode에 SelectStmt → WithClause → CommonTableExpr 재귀 검사가 구현되어 있었다. 방화벽에만 같은 로직을 빠뜨린 것이다.

수정

checkNode에 SelectStmt 케이스를 추가하여 CTE 내부를 재귀적으로 검사한다.

case *pg_query.Node_SelectStmt:
    if wc := n.SelectStmt.GetWithClause(); wc != nil {
        for _, cte := range wc.GetCtes() {
            if ce := cte.GetCommonTableExpr(); ce != nil {
                if q := ce.GetCtequery(); q != nil {
                    if result := checkNode(q, cfg); result.Blocked {
                        return result
                    }
                }
            }
        }
    }

4. Dollar Quoting으로 우회되는 힌트 추출 (MAJOR)

문제

AST 파서를 도입했지만, 라우팅 힌트를 추출하는 부분은 여전히 문자열 기반의 레거시 코드를 사용하고 있었다.

func ClassifyAST(query string) QueryType {
    // AST 모드인데 문자열 파서의 extractHint를 사용!
    if hint := extractHint(query); hint != "" {
        // ...
    }
}

extractHint는 stripStringLiterals라는 문자열 치환 함수로 문자열 리터럴을 제거한 뒤 주석을 파싱한다. 이 방식은 Dollar Quoting 등의 edge case에서 우회될 수 있다.

수정

pg_query의 렉서(Scan)를 사용하여 실제 SQL 주석만 정확히 추출하는 extractHintAST를 구현했다.

func extractHintAST(query string) string {
    result, err := pg_query.Scan(query)
    if err != nil {
        return extractHint(query) // fallback
    }
    for _, token := range result.GetTokens() {
        if token.GetToken() == pg_query.Token_C_COMMENT {
            comment := query[token.GetStart():token.GetEnd()]
            matches := hintRegex.FindStringSubmatch(comment)
            if len(matches) >= 2 {
                return matches[1]
            }
        }
    }
    return ""
}

pg_query.Scan은 PostgreSQL의 렉서를 직접 사용하므로 Dollar Quoting, 문자열 리터럴, 중첩 주석 등을 정확히 처리한다. 문자열 안에 /* route:writer */가 있어도 주석 토큰이 아닌 문자열 토큰으로 분류되므로 힌트로 인식되지 않는다.

func TestClassifyAST_DollarQuotingHintInjection(t *testing.T) {
    // Dollar-quoted 문자열 안의 힌트는 무시되어야 함
    query := `SELECT $$ /* route:writer */ $$ FROM readonly_table`
    result := ClassifyAST(query)
    if result != QueryRead {
        t.Error("hint inside dollar quote should not affect routing")
    }
}

배운 점

기능의 용도를 정확히 이해하기

Fingerprint 캐시 충돌은 라이브러리 함수의 용도를 제대로 확인하지 않은 데서 비롯됐다. FingerprintToUInt64라는 이름이 “쿼리의 고유 식별자를 만들어준다"처럼 보여서 캐시 키로 쓰기 딱 좋다고 생각했지만, 실제로는 리터럴을 제거하는 통계용 함수였다. 라이브러리를 사용할 때는 API 이름만 보고 추측하지 말고 문서와 소스를 반드시 확인해야 한다.

모든 코드 경로에 대한 테스트

무한 재귀 버그는 ASTParser = true인 기본 경로만 테스트하고 false 경로를 놓쳐서 발생했다. 설정 분기가 있으면 양쪽 모두에 대한 테스트를 작성해야 한다. 특히 feature flag처럼 런타임에 동작이 바뀌는 코드는 더욱 그렇다.

보안 기능은 일관되게 적용하기

방화벽 CTE 우회와 힌트 주입은 “새로운 보안 로직을 추가했지만 기존 코드의 일부를 업데이트하지 않은” 패턴이다. 쿼리 분류에서는 CTE를 처리하면서 방화벽에서는 빠뜨렸고, AST 파서를 도입하면서 힌트 추출은 레거시 그대로 놔뒀다. 보안 관련 로직을 변경할 때는 같은 패턴이 적용되어야 하는 다른 코드 경로가 없는지 반드시 점검해야 한다.

QA의 가치

4건 모두 단위 테스트를 통과한 코드였다. “테스트가 통과한다"와 “버그가 없다"는 다른 이야기다. 테스트는 작성자가 예상한 시나리오만 커버하고, 공격적인 QA는 작성자가 예상하지 못한 시나리오를 찾아낸다. 특히 보안 관련 코드에서는 “정상 동작"이 아닌 “우회 가능성"을 중심으로 테스트하는 시각이 필수적이다.

프로젝트 소스코드: github.com/jyukki97/pgmux

Go로 PostgreSQL 프록시 만들기 (7) - QA 버그 수정과 멀티 인스턴스 스케일링

Wed, 11 Mar 2026 00:00:00 +0000

들어가며

“테스트가 통과한다"와 “프로덕션에서 안전하다"는 완전히 다른 이야기다.

6편까지 기능적으로 완성했다고 생각했지만, QA 리뷰에서 운영 시 장애로 직결되는 버그 4건이 발견됐다. 거기에 “프록시를 여러 대 띄우면 동작하나?“라는 질문도 받았다. 대답은 **“캐시 정합성이 깨진다”**였다.

이번 편에서 수정한 것:

[CRITICAL] OOM — 거대 쿼리 결과의 무한 버퍼링
[CRITICAL] 좀비 헬스체크 — Pool.Close() 후에도 살아있는 고루틴
[MAJOR] 트랜잭션 릭 — 세미콜론 복합 쿼리에서 COMMIT 미감지
[MAJOR] 캐시 무효화 누락 — CTE/다중 테이블 미지원
[SCALING] Redis Pub/Sub 기반 멀티 인스턴스 캐시 무효화

🔥 CRITICAL #1: OOM 위험

문제

relayAndCollect()는 백엔드 응답을 클라이언트에 릴레이하면서 동시에 캐시용 버퍼에 수집한다:

// Before: 응답 크기에 관계없이 무한정 수집
buf = append(buf, msgBytes...)

SELECT * FROM ten_gigabyte_table → 10GB가 buf에 쌓임 → OOM 패닉.

캐시의 MaxSize 검사는 Set() 내부에서만 이뤄지므로, 그 전에 이미 메모리를 다 잡아먹는다.

수정

수집 중에 max_result_size를 실시간으로 체크하고, 초과하면 버퍼를 즉시 해제한다. 클라이언트로의 릴레이는 계속한다:

if !oversize {
    buf = append(buf, msgBytes...)
    if maxSize > 0 && len(buf) > maxSize {
        buf = nil     // 메모리 즉시 해제
        oversize = true
    }
}

relayAndCollect가 nil을 반환하면 호출부에서 캐시 저장을 건너뛴다.

🔥 CRITICAL #2: 좀비 헬스체크

문제

Pool.Close() 후에도 StartHealthCheck로 시작된 고루틴이 살아있다. 이 고루틴이 healthCheck()를 실행하면:

// healthCheck 내부: Close()로 numOpen=0이 된 상태에서
for p.numOpen < p.cfg.MinConnections {
    conn, _ := p.newConn()  // 새 DB 커넥션 생성!
    p.numOpen++
}

닫힌 풀에서 좀비 커넥션이 계속 생성된다.

수정

type Pool struct {
    // ...
    done chan struct{} // Close 시 닫힘
}

func (p *Pool) Close() {
    if p.closed { return }
    p.closed = true
    close(p.done) // 헬스체크 고루틴 종료 신호
    // ...
}

func (p *Pool) StartHealthCheck(ctx context.Context, interval time.Duration) {
    go func() {
        for {
            select {
            case <-ctx.Done(): return
            case <-p.done: return     // Close 시 즉시 종료
            case <-ticker.C: p.healthCheck()
            }
        }
    }()
}

func (p *Pool) healthCheck() {
    if p.closed { return }  // 이중 방어
    // ...
}

🚨 MAJOR #3: 트랜잭션 릭

문제

SELECT 1; COMMIT;

PG의 Simple Query Protocol은 세미콜론으로 구분된 여러 문장을 한 번에 보낼 수 있다. 기존 파서는 첫 번째 키워드만 확인하므로 SELECT로 분류하고, COMMIT을 놓친다. inTransaction이 영원히 true로 남아 모든 후속 쿼리가 writer로 쏠린다.

수정

세미콜론으로 분리해서 모든 문장을 스캔:

func splitStatements(query string) []string {
    // 세미콜론으로 분리, 단 따옴표 내부의 세미콜론은 무시
    // "INSERT INTO t VALUES ('a;b')" → 1개의 문장
}

func (s *Session) updateTransactionState(query string) {
    for _, stmt := range splitStatements(query) {
        upper := strings.ToUpper(strings.TrimSpace(stmt))
        if strings.HasPrefix(upper, "BEGIN") { s.inTransaction = true }
        if strings.HasPrefix(upper, "COMMIT") { s.inTransaction = false }
    }
}

🚨 MAJOR #4: 다중 테이블 캐시 무효화

문제

WITH x AS (UPDATE users SET score=0)
UPDATE ranking SET total=0;

ExtractTables가 첫 번째 테이블(ranking)만 추출하고 CTE 내부의 users를 놓친다. users 캐시가 무효화되지 않아 stale 데이터를 반환한다.

수정

멀티 스테이트먼트: 세미콜론 분리 후 각 문장에서 테이블 추출
CTE: WITH 절 내부를 스캔하여 INSERT INTO, UPDATE, DELETE FROM 뒤의 테이블명 추출
Classify도 CTE 내 write 키워드를 감지하도록 확장

// "WITH x AS (UPDATE users ...) UPDATE ranking ..." → ["users", "ranking"]
func extractCTETables(query string) []string {
    // INSERT INTO, UPDATE, DELETE FROM 키워드를 모두 찾아서 테이블명 추출
}

🌐 멀티 인스턴스 스케일링

문제

프록시를 LB 뒤에 여러 대 띄우면:

Proxy A: SELECT * FROM users → 캐시 저장
Proxy B: UPDATE users SET ... → Proxy B 캐시만 무효화
Proxy A: SELECT * FROM users → stale 캐시 반환 ❌

해결: Redis Pub/Sub 캐시 무효화 브로드캐스트

┌─────────┐     ┌─────────┐     ┌─────────┐
│ Proxy A │     │ Proxy B │     │ Proxy C │
│         │     │  WRITE  │     │         │
│ Cache ✓ │     │ Cache ✓ │     │ Cache ✓ │
└────┬────┘     └────┬────┘     └────┬────┘
     │ subscribe     │ publish       │ subscribe
     └───────┐  ┌────┘  ┌───────────┘
             ▼  ▼       ▼
         ┌──────────────────┐
         │  Redis Pub/Sub   │
         │  channel:        │
         │  pgmux:invalidate
         └──────────────────┘

Proxy B에서 쓰기 발생 → 로컬 캐시 무효화 + Redis에 "users" publish
Proxy A, C가 subscribe 중 → "users" 수신 → 로컬 캐시 무효화
Full flush는 "*" 메시지로 브로드캐스트

cache:
  enabled: true
  invalidation:
    mode: "pubsub"           # "local" or "pubsub"
    redis_addr: "redis:6379"
    channel: "pgmux:invalidate"

mode: "local"이면 기존처럼 로컬-only로 동작한다 (하위 호환).

운영 적용 체크포인트

이번 편의 수정은 단순 버그 패치라기보다, 프록시를 “한 대짜리 데모"에서 “여러 대로 늘려도 버틸 수 있는 서비스"로 옮기는 작업에 가깝다. 특히 쿼리 캐싱 편에서 도입한 캐시는 로컬 메모리 기반이라 스케일아웃 순간 정합성 문제가 바로 드러난다. 그래서 운영에서는 캐시 적중률보다 stale risk를 먼저 측정해야 한다.

거대 결과셋 경로는 max_result_size 초과 건수를 메트릭으로 남긴다.
헬스체크 고루틴은 시작 개수와 종료 개수를 같이 기록해 누수 여부를 본다.
Redis Pub/Sub가 일시 실패하면 전체 flush 또는 짧은 TTL로 자동 폴백되게 설계한다.
복합 쿼리, CTE, 멀티 인스턴스 무효화는 회귀 테스트 세트로 고정한다.

이 지점이 정리돼 있어야 이후 Circuit Breaker와 Rate Limit이나 Causal Consistency 같은 상위 안정성 기능도 의미를 갖는다. 기본 정합성이 흔들리면 상위 제어 로직은 오히려 장애를 더 복잡하게 만들 수 있기 때문이다.

배운 점

테스트 통과 ≠ 프로덕션 안전 — 정상 경로만 테스트하면 엣지 케이스(거대 쿼리, 복합 문장, 좀비 고루틴)를 놓친다
고루틴은 반드시 종료 경로가 있어야 한다 — go func() 하나 띄우면 반드시 대응하는 종료 채널이 필요하다
파서의 한계를 인정하라 — 완벽한 SQL 파서 없이는 CTE, 서브쿼리를 100% 커버할 수 없다. 최선의 노력을 하되, TTL이라는 안전망이 있다
수평 확장은 공유 상태를 제거해야 가능하다 — 인메모리 캐시는 본질적으로 로컬 상태. 멀티 인스턴스를 지원하려면 브로드캐스트 메커니즘이 필수

프로젝트 소스코드: github.com/jyukki97/pgmux

Go로 PostgreSQL 프록시 만들기 (8) - 보안 취약점 심화 수정

Wed, 11 Mar 2026 00:00:00 +0000

들어가며

“정상적인 클라이언트만 온다고 가정하면, 그건 보안이 아니라 희망사항이다.”

7편에서 기능적 버그를 수정했지만, QA 심화 리뷰에서 보안 관점의 취약점 3건이 추가로 발견됐다. 이번에는 악의적인 입력을 전제로 한 공격 시나리오다.

[CRITICAL] Memory Bomb DoS — 프로토콜 length 스푸핑으로 OOM
[MAJOR] 힌트 인젝션 — 문자열 리터럴 내 /* route:writer */
[MAJOR] 키워드 오탐 — 문자열 리터럴 내 SQL 키워드

🔥 CRITICAL: Memory Bomb DoS

문제

PG wire protocol의 모든 메시지는 [type:1byte][length:4bytes][payload] 구조다. ReadMessage()는 length를 읽고 그만큼 make([]byte, length-4)로 버퍼를 할당한다:

// Before: length에 상한 제한 없음
payload := make([]byte, length-4)

공격자가 length에 1073741824 (1GB)를 보내면?

→ make([]byte, 1GB)
→ OS가 1GB 메모리 할당
→ OOM 패닉 → 프록시 크래시

인증 전에도 악용 가능하다. TCP 연결만 맺으면 첫 메시지에서 바로 공격할 수 있다.

수정

MaxMessageSize 상수(16MB)를 추가하고, make() 전에 검사:

const MaxMessageSize = 16 * 1024 * 1024 // 16MB

func ReadMessage(r io.Reader) (*Message, error) {
    // ... type, length 읽기 ...

    payloadLen := int(length - 4)
    if payloadLen > MaxMessageSize {
        return nil, fmt.Errorf("message too large: %d bytes (max %d)",
            payloadLen, MaxMessageSize)
    }

    payload := make([]byte, payloadLen)
    // ...
}

16MB는 PostgreSQL의 기본 max_allowed_packet과 유사한 수준이다. 정상적인 쿼리가 16MB를 넘는 경우는 거의 없고, 넘더라도 프록시가 아닌 직접 연결을 사용하면 된다.

왜 ReadStartupMessage은 이미 안전한가?

func ReadStartupMessage(r io.Reader) (*Message, error) {
    // ...
    if length < 4 || length > 10000 {  // ← 이미 10KB 제한
        return nil, fmt.Errorf("invalid startup message length: %d", length)
    }

startup 메시지는 처음 만들 때부터 10KB 상한이 있었다. 하지만 이후의 일반 메시지(ReadMessage)에는 적용하지 않았던 것이 빈틈이었다.

🚨 MAJOR: 힌트 인젝션

문제

프록시는 /* route:writer */ 힌트 주석으로 강제 라우팅을 지원한다. 문제는 extractHint()가 SQL 문자열 리터럴 내부의 힌트도 감지한다는 것:

SELECT * FROM users WHERE note = '/* route:writer */ trick'

정규식이 쿼리 전체를 스캔하므로, 따옴표 안의 /* route:writer */도 매칭된다. 결과적으로 reader 쿼리가 writer로 라우팅된다.

공격 시나리오

악의적인 사용자가 모든 SELECT에 '/* route:writer */' 문자열을 넣으면:

모든 읽기 쿼리가 writer(Primary)로 몰림
reader(Replica) 유휴, writer 과부하
사실상 R/W 분산 무효화

수정

힌트 검사 전에 문자열 리터럴을 제거하는 stripStringLiterals() 유틸리티를 추가:

func stripStringLiterals(query string) string {
    var result strings.Builder
    inSingle, inDouble := false, false

    for i := 0; i < len(query); i++ {
        ch := query[i]
        switch {
        case ch == '\'' && !inDouble:
            result.WriteByte(ch)
            if inSingle {
                if i+1 < len(query) && query[i+1] == '\'' {
                    result.WriteByte('\'')
                    i++ // escaped quote ('')
                } else {
                    inSingle = false
                }
            } else {
                inSingle = true
            }
        case ch == '"' && !inSingle:
            result.WriteByte(ch)
            inDouble = !inDouble
        case inSingle || inDouble:
            // 따옴표 내부 콘텐츠 스킵
        default:
            result.WriteByte(ch)
        }
    }
    return result.String()
}

적용 전후:

입력: SELECT * FROM users WHERE note = '/* route:writer */ trick'
변환: SELECT * FROM users WHERE note = ''
→ 힌트 매칭 실패 → QueryRead ✓

PostgreSQL의 escaped quote ('')도 올바르게 처리한다:

입력: SELECT 'it''s fine'
변환: SELECT ''''

🚨 MAJOR: 키워드 오탐

문제

containsWriteKeyword()와 extractCTETables()는 쿼리 텍스트에서 SQL 키워드를 직접 검색한다. 문자열 리터럴 내부도 예외 없이 스캔하므로:

-- 1) false cache invalidation
SELECT * FROM logs WHERE action = 'INSERT INTO admin_table'
→ "admin_table" 캐시 무효화 (오탐)

-- 2) false table extraction
WITH x AS (SELECT * FROM a WHERE b = 'INSERT INTO oops') SELECT 1
→ "oops')" 테이블 추출 (오탐 + 파싱 깨짐)

실제 영향

캐시 히트율 저하: 무관한 테이블이 무효화되어 캐시 효과 감소
잘못된 분류: SELECT 쿼리가 QueryWrite로 분류될 수 있음 (CTE 경로)
메트릭 왜곡: writer/reader 카운터가 실제와 불일치

수정

힌트 인젝션과 동일한 stripStringLiterals()를 적용:

func containsWriteKeyword(query string) bool {
    upper := strings.ToUpper(stripStringLiterals(query))
    // ... 기존 word boundary 검사 ...
}

func extractCTETables(query string) []string {
    sanitized := stripStringLiterals(query)
    upper := strings.ToUpper(sanitized)
    // ... 기존 keyword 스캔 ...
}

stripStringLiterals는 따옴표 자체는 유지하고 내용만 제거하므로, 문자열 위치나 길이가 바뀌어도 키워드 검색에는 영향이 없다.

공통 패턴: 전처리 → 분석

세 함수 모두 같은 패턴을 따른다:

원본 쿼리
  ↓ stripStringLiterals()     ← 문자열 리터럴 제거
  ↓ extractHint() / containsWriteKeyword() / extractCTETables()
  ↓ 분석 결과

이 전처리 단계는 splitStatements()의 따옴표 추적 로직과 동일한 원리다. SQL 파서 없이 안전하게 분석하려면 따옴표 경계를 먼저 처리해야 한다는 교훈이다.

보안 운영 체크리스트

이번 수정이 중요한 이유는 세 취약점이 모두 “복잡한 해킹 기법"이 아니라 입력 검증 누락에서 출발했다는 점이다. 즉, 공격 난이도보다 방어 기본기 부족이 더 큰 문제였다. 운영에서는 아래 항목을 기본 점검표로 두는 편이 안전하다.

프로토콜 length, SQL 길이, 결과셋 크기처럼 메모리 할당을 유발하는 값에는 항상 상한을 둔다.
문자열 리터럴, 주석, 식별자 따옴표를 제거하거나 분리한 뒤에만 라우팅 힌트와 키워드 분석을 수행한다.
보안 전처리 유틸리티는 한 함수에 모아 TLS와 프론트 인증 편처럼 다른 계층 보안 기능과도 재사용 가능하게 둔다.
애플리케이션 레벨 방어만 믿지 말고, 이후 AST Parser + Firewall 같은 더 강한 구조로 점진적으로 올린다.

결국 보안 강화의 핵심은 “정상 입력을 더 잘 처리한다"가 아니라, 이상 입력이 와도 안전하게 실패한다는 보장이다. 프록시는 DB 앞단에 있으므로 한 번의 오판이 라우팅, 캐시, 메트릭 왜곡까지 연쇄적으로 번질 수 있다.

배운 점

프로토콜 레벨 방어는 필수 — 네트워크에서 들어오는 데이터는 length 필드까지 포함해서 전부 의심해야 한다. ReadStartupMessage는 방어가 있었지만 ReadMessage에는 없었다.
문자열 리터럴은 SQL 분석의 지뢰 — 완전한 SQL 파서 없이 정규식으로 분석하면, 따옴표 내부가 반드시 문제를 일으킨다. stripStringLiterals 같은 전처리가 최소한의 방어선이다.
공격자 관점으로 리뷰하라 — “정상적인 사용자"만 상정한 코드 리뷰로는 이런 취약점을 놓친다. “이 입력값을 내가 제어할 수 있다면?” 관점이 필요하다.
유틸리티 하나가 여러 버그를 막는다 — stripStringLiterals라는 단일 함수가 힌트 인젝션, 키워드 오탐, CTE 파싱 오류를 동시에 해결했다.

프로젝트 소스코드: github.com/jyukki97/pgmux

2026 개발 트렌드: Browser/Computer-Use 에이전트, 데모를 넘어 실서비스 자동화가 되려면

Thu, 05 Mar 2026 00:00:00 +0000

2026년 개발 조직에서 눈에 띄게 늘어난 실험이 하나 있습니다. 바로 Browser/Computer-Use 에이전트입니다. 브라우저를 직접 조작해 반복 운영 업무를 자동화하거나, 레거시 백오피스 UI를 통해 사람이 하던 클릭 기반 작업을 대체하는 시도죠.

문제는 데모 성공과 운영 성공이 완전히 다르다는 점입니다. 데모에서는 10번 중 9번 성공해도 “와, 된다”가 되지만, 실서비스는 10번 중 1번 실패가 누적되면 장애 티켓과 수동 복구 비용이 폭증합니다. 그래서 지금 트렌드는 기능 자체보다 신뢰 가능한 실행 체계로 빠르게 이동하고 있습니다.

이 글에서 얻는 것

Browser/Computer-Use 자동화가 왜 2026년 운영 트렌드가 되었는지, 그리고 어디서 실패하는지 이해합니다.
PoC 단계에서 운영 단계로 넘어가기 위한 **합격 기준(성공률·회복시간·보안 경계)**을 숫자로 정의할 수 있습니다.
팀 규모가 작아도 바로 적용 가능한 도입 순서(파일럿 → 제한 운영 → 표준화)를 가져갑니다.

핵심 개념/이슈

1) 실패 원인의 70%는 모델 품질보다 런타임 변동성이다

실무 로그를 보면 실패는 대개 다음 유형으로 모입니다.

셀렉터/DOM 구조 변경으로 클릭 대상 탐색 실패
로딩 타이밍 변동으로 이벤트 순서 꼬임
인증 세션 만료(2FA, CSRF 토큰, 쿠키 갱신)
예상치 못한 팝업/권한 다이얼로그

즉 “모델이 똑똑한가”보다 “실행 환경을 얼마나 통제했는가”가 더 큰 변수입니다. 그래서 최근 팀들은 프롬프트 고도화보다 상태 검증, 재시도 조건, 안전 중단 조건 설계를 먼저 합니다.

2) 성공률만 보면 안 되고, 복구 비용까지 같이 봐야 한다

자동화 성공률 92%는 얼핏 높아 보이지만, 실패 8%가 수동 복구 20분짜리 업무라면 운영비가 급격히 올라갑니다.

핵심 지표 예시:

Task Success Rate: 98% 이상(업무 중요도 높을수록 99% 목표)
Human Intervention Rate: 5% 미만
Mean Time To Recover(MTTR): 10분 이하
False Positive Completion(완료로 표시됐지만 실제 실패): 0.5% 미만

특히 FP Completion은 위험합니다. 실패를 성공으로 기록하면 데이터 정합성 문제를 늦게 발견해 피해가 커집니다.

3) 브라우저 자동화는 보안 경계가 먼저다

Computer-Use는 사실상 “사람 계정 권한을 대신 실행”하는 행위입니다. 그래서 기능 도입보다 권한 경계 정의가 선행되어야 합니다.

권장 정책:

전용 서비스 계정 사용(개인 계정 금지)
접근 가능한 도메인 allowlist
민감 화면(결제, 개인정보 다운로드) 접근 시 사람 승인
실행 로그(스크린샷, 액션 로그, 결과 코드) 보관

도입 초기에 이걸 생략하면, 사고가 났을 때 원인 추적도 책임 분리도 어렵습니다.

실무 적용

1) 도입 3단계: 파일럿 → 제한 운영 → 표준화

파일럿(2~3주)
- 단일 업무 1개만 자동화
- 성공/실패 원인 분류 체계 수립
- 사람 수동 경로를 항상 유지
제한 운영(4~8주)
- 저위험 업무 3~5개로 확대
- 실패 자동 분류 + 재실행 룰 적용
- 주간 지표 리뷰(성공률/개입률/MTTR)
표준화
- 공통 런타임 템플릿(로그, 알람, 권한 정책) 배포
- 업무별 난이도 등급(A/B/C) 관리
- 신규 자동화는 체크리스트 통과 후 배포

우선순위는 항상 동일합니다.

안전성(보안/정합성)
복구성(MTTR/대체 경로)
속도(처리량)

2) 안정화 패턴: 액션보다 검증 단계를 늘려라

초기 구현은 “클릭 → 입력 → 제출” 중심인데, 운영 단계에서는 “검증 → 액션 → 검증” 패턴이 더 중요합니다.

예시:

액션 전: 대상 요소 존재 + 텍스트 일치 확인
액션 후: 상태 변화 확인(버튼 disabled, 성공 토스트, URL 변화)
종료 전: 결과 데이터 샘플 검증

이 3단계를 넣으면 평균 처리 시간은 늘어도 재작업 비용이 크게 줄어듭니다. 실무에서는 처리속도 15% 감소를 감수하고 재실행률 40% 감소를 선택하는 경우가 많습니다.

3) 테스트 전략: 회귀 세트가 없으면 운영 품질이 유지되지 않는다

UI 자동화는 대상 서비스가 바뀌면 바로 깨집니다. 따라서 기능 테스트가 아니라 업무 시나리오 회귀 세트를 운영해야 합니다.

스모크 시나리오: 핵심 5개 작업, 배포 전 매일 실행
계약 시나리오: 필수 화면 요소/문구 변화 감지
장애 시나리오: 팝업, 타임아웃, 로그인 만료 강제 주입

실무 기준:

스모크 실패율 2% 초과 시 신규 기능 배포 중단
동일 시나리오 3회 연속 실패 시 롤백 또는 수동 전환
월 1회는 수동 경로 복구 훈련(자동화 의존 리스크 완화)

4) 비용 모델: 호출비 + 실패비 + 운영인건비를 함께 계산

많은 팀이 API 호출비만 보고 자동화 ROI를 과대평가합니다. 실제 비용은 다음 합입니다.

총비용 = 모델/도구 호출비 + 인프라 실행비 + 실패 복구 인건비 + 운영 관제 비용

의사결정 기준 예시:

자동화 1건당 총비용이 수동의 60% 이하일 때 확대
개입률이 10% 이상이면 업무 재설계 우선(에이전트 튜닝보다 효과 큼)
MTTR이 15분 초과면 완전자동화 대신 반자동 승인 플로우 유지

트레이드오프/주의점

빠른 자동화 확장 vs 운영 부채 누적
초기 성과 욕심으로 업무를 한꺼번에 붙이면 실패 유형이 폭증합니다. 업무 1개를 끝까지 안정화한 뒤 확장하는 편이 총 기간이 짧습니다.
높은 자율성 vs 감사 가능성
에이전트에게 재량을 넓히면 커버리지는 늘지만, 의사결정 추적성이 떨어집니다. 민감 작업은 규칙 기반 분기를 명시적으로 두는 게 안전합니다.
실시간 처리 vs 검증 강도
검증 단계를 늘리면 지연이 증가합니다. 고객 영향도가 높은 경로는 지연을 감수하고 검증을 강화하고, 내부 보고성 업무는 속도 우선으로 분리하세요.
단일 벤더 편의성 vs 이식성
특정 도구 의존도가 과하면 전환 비용이 커집니다. 액션 정의와 검증 규칙을 내부 포맷으로 추상화해두면 리스크를 줄일 수 있습니다.

체크리스트 또는 연습

자동화 대상 업무를 위험도(A/B/C)로 분류했다.
성공률·개입률·MTTR·FP Completion 목표치를 수치로 정의했다.
실패 시 수동 전환(runbook) 경로를 10분 내 실행 가능하게 문서화했다.
도메인 allowlist, 서비스 계정, 민감 작업 승인 규칙을 적용했다.
스모크/계약/장애 주입 시나리오 회귀 세트를 운영한다.

연습 과제:

현재 팀의 반복 UI 업무 3개를 골라, 자동화 ROI를 “호출비+복구비”까지 포함해 계산해보세요.
실패 로그 30건을 RETRYABLE/ENV_CHANGE/POLICY_BLOCK으로 분류하고, 가장 큰 원인 1개를 먼저 줄이는 액션을 설계해보세요.
업무 1개를 대상으로 ‘완전자동’ 대신 ‘반자동 승인’ 모델을 적용해 품질 지표 변화를 비교해보세요.