재질문 합니다

안녕하세요! 진성님!

결론부터 말씀드리면, 그래프큐엘 보안과 관련된 문제랍니다.
가장 일반적인 그래프큐엘 공격에 대해서 알아볼게요!

아래에 그래프큐엘 쿼리가 하나 있네요!
여기 amount 를 제공하기 위해서, 백엔드 개발자가 fetchPointTransactionsOfBuying 라는 API를 하나 만들어야 하겠죠?!
그리고 이 API에서는 PointTransaction(포인트거래기록) 이라는 그룹의 결과물 중 amount(금액) 이라는 데이터를 조회하게 됩니다.

query {
  fetchPointTransactionsOfBuying {
    amount // 돈 가져와!
  }
}

하지만, 다음과 같은 경우에는 PointTransaction(포인트거래기록) 이라는 결과를 1번 조회한 이후, 해당 기록에 연결되어 있는 useditem(중고상품) 정보를 백엔드 내부에서 다시 한 번 조회하고 이를 결합한 최종 결과물을 반환하게 된답니다!

query {
  fetchPointTransactionsOfBuying {
    amount // 돈 가져와
    
    useditem {
      price
    }
  }
}

다음은 어떨까요?
네! 맞아요! 누가 판매했는지까지 1번 더 조회하고 모두 결합하여 반환하게 되겠죠!

query {
  fetchPointTransactionsOfBuying {
    amount
    
    useditem {
      price
      
      seller {
      	name
      }
    }
  }
}

그 다음은 어떨까요?!
해당 유저가 가지고 있는 point까지 1번 더 조회하고 최종 결합하여 반환하게 되겠죠!

query {
  fetchPointTransactionsOfBuying {
    amount
    
    useditem {
      price
      
      seller {
      	name
        
        userPoint {
          amount
        }
      }
    }
  }
}

마지막으로 하나만 더 해보면,
해당 포인트를 가지고 있는 유저의 이메일을 조회하고 모두 결합하여 최종 결과물을 돌려주게 되겠네요!

query {
  fetchPointTransactionsOfBuying {
    amount
    
    useditem {
      price
      
      seller {
      	name
        
        userPoint {
          amount
          
          user {
            email
          }
        }
      }
    }
  }
}

이런식으로, 그래프큐엘은 클라이언트에서 마음대로 쿼리를 만들어서 요청할 수 있다는 장점이 있지만, 반대로 서버에서는 예측할 수 없는 깊이의 요청에 대한 문제가 있어요!
이렇게 되면, 서버가 하나의 요청을 처리하기 위해 너무 많은 조회가 이루어져야 하므로 서버가 다운되는 현상이 있을 수 있답니다!
이에따라 특정 시간(ex, 5초) 또는 특정 깊이(ex, 5단계) 와 같은 다양한 방법을 사용하여, 고의적인 공격 또는 실수적인 쿼리를 방어해야 한답니다^^

실제 실무에서는 이를 무조건 5단계 이렇게 정하지는 않기 때문에, 비즈니스 상황에 맞게 백엔드 개발자와 협의 후 진행하게 됩니다!

인프런 커뮤니티 질문&답변