The way CTRL-C in Postgres CLI cancels queries is incredibly hack-y

Context

PostgreSQL 쿼리 취소 메커니즘은 별도 연결에서 매직 프로토콜 버전(0x04d2162e)으로 CancelRequest를 전송하는데, psql이 TLS 보호 없이 평문으로 이를 전송한다. 네트워크 트래픽을 감시하는 공격자는 4바이트 secret key와 backend process ID(4바이트)를 탈취한 후 동일 연결의 모든 future 쿼리를 반복적으로 취소할 수 있다.

Technical Solution

• Protocol v3.2 도입(2년 전): secret key를 256바이트까지 확대하여 브루트포스 공격 난이도 상향, 단 min_protocol_version=3.2 명시 필요
• libpq의 TLS 지원 추가(Postgres 17): CancelRequest를 TLS로 암호화 전송하는 함수 제공, ruby-pg 등 드라이버에서 이미 활용 중
• psql의 미해결 문제: signal-safe 함수 호출 불가 제약으로 인해 refactoring 필요, 향후 릴리스에서 패치 계획
• Elephantshark 구현: Postgres 네트워크 트래픽 모니터 개발 시 CancelRequest 분석으로 설계 제약 발견

Impact

아티클에서 정량적 수치 미제시. 보안 위험도 자체 평가만 제시(DoS 공격 위협 수준 6/10).

Key Takeaway

레거시 시스템의 보안 결함은 프로토콜 개선(v3.2)보다 클라이언트 구현(psql) 미지원으로 인해 실제 완화되지 않을 수 있으며, 신호 안전성(signal-safety) 같은 아키텍처 제약이 보안 패치를 지연시킬 수 있다.