10. 직렬화

2021.08.04 - [👀기본 지식/Java 기본지식] - 자바의 직렬화(Serialization)란?

자바의 직렬화(Serialization)란?

 

# 직렬화의 대안을 찾아라.

직렬화는 보안에 취약하고, 공격할 요소가 너무 많다.

이는 옛날 옛적 이야기가 아니다. 2016년11월 샌프란시스코 교통국에서는 직렬화로 인한 코드 삽입때문에 랜섬웨어 공격을 받아 요금 징수 시스템이 이틀간 마비되기도 하였다.

 

직렬화의 근본적인 문제는 공격 범위가 너무 넓고, 방어하기 어렵다는데에 있다. 역직렬화를 이용하면 거의 모든 타입의 객체를 생성해낼 수 있는 마법의 클래스가 되며, 이를 막는다고 한들 역직렬화를 진행하는 객체 체인을 무한반복하게 만들어 시스템을 뻗어버리게 만들 수도 있다.

// 역직렬화 폭탄(deserialization bomb), hashCode 메서드를 2^100번정도 호출하게 된다.
static byte[] bomb() {
    Set<Object> root = new HashSet<>();
    Set<Object> s1 = root;
    Set<Object> s2 = new HashSet<>();

    for (int i=0; i < 100; i++) {
        Set<Object> t1 = new HashSet<>();
        Set<Object> t2 = new HashSet<>();

        t1.add("foo"); // t1을 t2과 다르게 만든다.
        s1.add(t1); s1.add(t2);

        s2.add(t1); s2.add(t2);
        s1 = t1; s2 = t2;
    }
    return serialize(root);
}

역직렬화 폭탄(deserialization bomb), hashCode 메서드를 2^100번정도 호출하게 된다.

이외에도 생성자나 소멸자(finalizer)를 삽입하는 공격, 객체의 필드순서가 바뀌면 직렬화가 깨지는 문제등이 있다.

 

직렬화의 위험성을 피하는 가정 좋은 방법은 '아무 것도 역직렬화 하지 않는 것' 이다. 꼭 필요하다면 신뢰할 수 있는 데이터만 직렬화 할 수 있도록 [Java9에 추가된 객체 역직렬화 필터링]등을 사용해보자. 데이터 스트림이 직렬화 되기전에 특정 클래스만 수용/ 제외하도록 할 수 있다.

 

직렬화가 필요하다면 JSON 같은 직렬화 데이터나, 만약 성능이 필요하다면 프로토콜 버퍼같은 대안이 있다.

다만 [JSON, 프로토콜 버퍼, Java9]의 필터링을 다 사용한다고 하더라도 모든 직렬화 공격에 안전하다고 말할 수는 없다. 가능하면 클래스가 직렬화를 지원하지 않도록 만들어야하고 꼭 필요하다면 신경써서 설계하도록 하자.

 

 

# Serializable을 구현할지는 신중히 결정하라.

자바에서는 extends Serializable 하나만으로 쉽게 직렬화를 구현할 수있다. 하지만 그로 인한대가는 상당하다.

구현한 순간부터 코드를 수정했을 때 직렬화 버전이 깨져 확장성을 잃게되고, 위에서 언급한 위험성을 가지게 된다.

 

자바에서는 객체를 생성자를 이용해 만든다. 직렬화는 이러한 생성자 기능을 우회하여 객체를 생성하여 불변식이 깨질 위험성이 있고, 캡슐화가 깨진다. 특히 상속을 목적으로 설계된 클래스는 Serializable을 사용했다간 큰일 날 수 있다. 내가 직렬화한지 여부도 모른채 직렬화된 코드를 변경하고 있으니까 말이다.

 

또한 내부클래스도 직렬화 해선 안된다. JVM 컴파일러는 내부 클래스의 outer 클래스의 참조와 스코프를 저장하기 위해 필드를 필요로해서, 컴파일러에서 자동으로 추가하는데. 이 자동으로 추가되는 필드 또한 직렬화 되기 때문에 개발자가 예측할 수 없다. (static inner 클래스로 만들어야하는 이유기도 하다. 이러면 문제 해결)

 

 

# 커스텀 직렬화 형태를 고려해보라

객체를 통으로 직렬화하지말고, 커스텀해서 사용해라

이상적인 직렬화 형태라면, 실제 객체의 물리적인 모습과는 완전히 독립된 논리적인 모습만을 표현해야 한다.

public final class StringList implements Serializable {
    private int size = 0;
    private Entry head = null;

    private static class Entry implements Serializable {
        String data;
        Entry next;
        Entry previous;
    }
    // ... 생략
}

위의 코드는 물리적으로 문자열들을 이중 연결리스트로 표현했다.

이 데이터를 생각없이 물리적으로 직렬화했다가는, 아래와 같은 문제가 생긴다.

• 직렬화에 버전이 생긴다. 내부 표현에 종속적이게 된다. (제거 불가능)
• 직렬화 데이터의 사이즈가 쓸모없이 크다
• 직렬화 시간이 많이걸리고, 객체 그래프를 순회하며 스택오버플로를 발생시키기 쉽다.

 

직렬화를 커스텀하자.

transient 키워드가 붙은 필드는 기본 직렬화 형태에 포함되지 않는다. 참고로 [transient 키워드가 붙은 필드를 사용하는 메서드]는 정상적으로 직렬화 된다. 그래야 상위/하위호환이 가능하니까.

public final class StringList implements Serializable {
    private transient int size = 0;
    private transient Entry head = null;

    // 이번에는 직렬화 하지 않는다.
    private static class Entry {
        String data;
        Entry next;
        Entry previous;
    }

    // 문자열을 리스트에 추가한다.
    public final void add(String s) { ... }

    /**
     * StringList 인스턴스를 직렬화한다.
     */
    private void writeObject(ObjectOutputStream stream)
            throws IOException {
        stream.defaultWriteObject();
        stream.writeInt(size);

        // 모든 원소를 순서대로 기록한다.
        for (Entry e = head; e != null; e = e.next) {
            s.writeObject(e.data);
        }
    }

    private void readObject(ObjectInputStream stream)
            throws IOException, ClassNotFoundException {
        stream.defaultReadObject();
        int numElements = stream.readInt();

        for (int i = 0; i < numElements; i++) {
            add((String) stream.readObject());
        }
    }
    // ... 생략
}

 

 

# 직렬화(readObject)에서 방어적으로 복사하고, 유효성 검사도 해라

# 직렬화 버전(SUID) 를 명시해라

# 직렬화 프록시를 사용하라. 실제 객체에 바로 역직렬화 하지 못하게 막어버려라.

# 싱글톤을 enum으로 만들어버려라. 안전👍

https://madplay.github.io/post/effectivejava-chapter12-serialization

[이펙티브 자바 3판] 12장. 직렬화

 

추가내용 작성예정.

https://hyperconnect.github.io/2019/10/28/jackson-serialize-for-global-caching.html

Jackson 직렬화 옵션의 적절한 활용과 Jackson에 기여하기까지 (feat. 글로벌 캐싱)