티스토리

C's Shelter

IT Study/데이터베이스 및 데이터 처리

🗂️ 정적 SQL & 동적 SQL

cs_bot 2025. 3. 26. 00:05

1. 개요

정보시스템에서 데이터베이스를 조작하기 위한 표준 언어인 SQL은 실행 방식에 따라 정적 SQL과 동적 SQL로 구분
정적 SQL은 컴파일 타임에 SQL 문이 고정되고, 동적 SQL은 런타임에 SQL 문이 구성되어 실행
애플리케이션 요구사항, 보안, 성능, 유지보수 등의 요소에 따라 두 방식의 선택과 활용이 결정

2. 정적 SQL (Static SQL)

프로그램 코드에 SQL 문이 하드코딩되어 있는 형태
프로그램 컴파일 시 SQL 문이 분석되고 실행 계획이 고정
컴파일된 실행 계획이 캐시에 저장되어 반복 실행 시 성능 안정성 확보
구조가 고정되어 있어 예측 가능한 실행 경로 제공
보안 정책 및 접근 제어에 용이하며, SQL Injection 등 공격에 대한 내성이 높음
코드 내에서 SQL 문이 명확히 드러나 디버깅 및 검토가 용이

⦁ 사용 예: Java의 JDBC PreparedStatement, PL/SQL, Embedded SQL(COBOL, C 등)

3. 동적 SQL (Dynamic SQL)

실행 시점에 SQL 문이 동적으로 생성되어 실행되는 형태
사용자 입력, 조건 분기, 테이블 및 컬럼의 유동적인 선택에 따라 SQL 문 구성
런타임에 파싱 및 실행 계획 수립으로 인해 컴파일 타임보다 오버헤드 존재
복잡한 검색 조건, 다양한 사용자 맞춤 쿼리 제공에 유리
문자열로 SQL 문이 구성되어 코드 가독성 및 유지보수성 저하
SQL Injection 등의 보안 위협 존재, 파라미터 바인딩으로 보완 필요

⦁ 사용 예: EXECUTE IMMEDIATE, Java Statement 객체, Python의 f-string SQL 구성 등

4. 항목별 비교

구분	정적 SQL	동적 SQL
정의	컴파일 시점에 SQL 문이 고정되는 방식	실행 시점에 SQL 문이 생성되는 방식
실행 계획	컴파일 시 수립, 재사용 가능	런타임에 수립, 매 실행 시 비용 발생
유연성	낮음 (조건 고정)	높음 (조건 변경 가능)
보안성	높음 (Injection 방지 용이)	낮음 (Injection 위험 존재)
유지보수	상대적으로 용이	문자열 조작 등으로 복잡
성능	빠름, 캐시 활용 가능	느림, 파싱 오버헤드 발생
사용 목적	정형화된 쿼리, 반복 실행	사용자 맞춤형 쿼리, 복잡한 조건
예시	PreparedStatement, PL/SQL	EXECUTE IMMEDIATE, Statement

5. 활용 시 고려사항

정적 SQL 적합 사례
∙ 미리 정의된 쿼리를 반복적으로 실행하는 배치 처리 시스템
∙ SQL Injection 방지가 중요한 금융, 공공 시스템
∙ 고성능 트랜잭션 처리 시스템(OLTP)
동적 SQL 적합 사례
∙ 사용자에 따라 검색 조건이 달라지는 검색 엔진
∙ 데이터 마이닝, 분석 목적의 복잡 쿼리 처리
∙ 유연한 쿼리 조립이 필요한 보고서 시스템

6. 성능 및 보안 이슈

정적 SQL은 캐시된 실행 계획으로 일관된 성능 제공
동적 SQL은 런타임 비용 증가, 성능 튜닝 어려움
SQL Injection 위험은 동적 SQL의 가장 큰 보안 문제
정적 SQL은 컴파일 시점의 문법 오류 검출 가능, 동적 SQL은 런타임 오류 발생 가능성

7. 혼합 사용 전략

시스템 내에서는 정적 SQL과 동적 SQL을 목적에 따라 혼합 적용
주요 트랜잭션 로직에는 정적 SQL 사용으로 보안 및 성능 확보
관리 도구, 검색 시스템 등에는 동적 SQL을 활용하여 유연성 확보
프레임워크 수준에서 ORM(Object Relational Mapping) 도입 시 혼합 구조 일반화

8. 결론

정적 SQL과 동적 SQL은 데이터베이스 프로그래밍의 핵심 개념으로, 실행 시점과 유연성에 따른 명확한 차이 존재
시스템 성능, 보안, 유지보수, 개발 생산성을 종합적으로 고려하여 목적에 맞는 SQL 방식 채택이 필요
특히 보안성이 중요한 시스템에서는 정적 SQL을 우선 사용하고, 동적 SQL 사용 시 입력값 검증 및 파라미터 바인딩 필수 적용