반복영역 건너뛰기
주메뉴 바로가기
본문 바로가기
제품/서비스
EMS Solution
Features
클라우드 관리
서버관리
데이터베이스 관리
네트워크 관리
트래픽 관리
설비 IoT 관리
무선 AP 관리
교환기 관리
운영자동화
실시간 관리
백업 관리
스토리지 관리
예방 점검
APM Solution
애플리케이션 관리
URL 관리
브라우저 관리
ITSM Solution
서비스데스크
IT 서비스 관리
Big Data Solution
SIEM
AI 인공지능
Dashboard
대시보드
Consulting Service
컨설팅 서비스
고객
레퍼런스
고객FAQ
문의하기
가격
자료실
카탈로그
사용자매뉴얼
회사소개
비전·미션
연혁
2016~현재
2000~2015
인증서·수상
투자정보
재무정보
전자공고
IR자료
새소식
공고
보도자료
오시는 길
채용
피플
컬처
공고
FAQ
블로그
열기
메인 페이지로 이동
블로그
기술이야기
블로그
최신이야기
사람이야기
회사이야기
기술이야기
다양한이야기
카프카를 통한 로그 관리 방법
메모리 누수 위험있는 FinalReference 참조 분석하기
김진광
2023.10.12
페이스북 공유하기
트위터 공유하기
링크드인 공유하기
블로그 공유하기
[행사] 브레인즈컴퍼니 ‘가을문화행사 2023’
Java에서 가장 많이 접하는 문제는 무엇이라 생각하시나요? 바로 리소스 부족 특히 ‘JVM(Java Virtual Machine) 메모리 부족 오류’가 아닐까 생각해요.
메모리 부족 원인에는 우리가 일반적으로 자주 접하는 누수, 긴 생명주기, 다량의 데이터 처리 등 몇 가지 패턴들이 있는데요. 오늘은 좀 일반적이지 않은(?) 유형에 대해 이야기해 볼게요!
Java 객체 참조 시스템은 강력한 참조 외에도 4가지 참조를 구현해요. 바로 성능과 확장성 기타 고려사항에 대한 SoftReference, WeakReference, PhantomReference, FinalReference이죠. 이번 포스팅은
FinalReference를 대표적인 사례
로 다루어 볼게요.
PART1. 분석툴을 활용해 메모리 누수 발생 원인 파악하기
메모리 분석 도구를 통해 힙 덤프(Heap Dump)를 분석할 때, java.lang.ref.Finalizer 객체가 많은 메모리를 점유하는 경우가 있어요. 이 클래스는 FinalReference와 불가분의 관계에요. 나눌 수 없는 관계라는 의미죠.
아래 그림 사례는 힙 메모리(Heap Memory)의 지속적인 증가 후 최대 Heap에 근접 도달 시, 서비스 무응답 현상에 빠지는 분석 사례인데요. 이를 통해 FinalReference 참조가 메모리 누수를 발생시킬 수 있는 조건을 살펴볼게요!
Heap Analyzer 분석툴을 활용하여, 힙 덤프 전체 메모리 요약 현황을 볼게요. java.lang.ref.Finalizer의 점유율이 메모리의 대부분을 점유하고 있죠. 여기서 Finalizer는, 앞에서 언급된 FinalReference를 확장하여 구현한 클래스에요.
JVM은 GC(Garbage Collection) 실행 시 해제 대상 객체(Object)를 수집하기 전, Finalize를 처리해야 해요.
Java Object 클래스에는 아래 그림과 같이 Finalize 메서드(Method)가 존재하는데요. 모든 객체가 Finalize 대상은 아니에요.
JVM은 클래스 로드 시, Finalize 메서드가 재정의(Override)된 객체를 식별해요. 객체 생성 시에는 Finalizer.register() 메서드를 통해, 해당 객체를 참조하는 Finalizer 객체를 생성하죠.
그다음은 Unfinalized 체인(Chain)에 등록해요. 이러한 객체는 GC 발생 시 즉시 Heap에서 수집되진 않아요. Finalizer의 대기 큐(Queue)에 들어가 객체에 재정의된 Finalize 처리를 위해 대기(Pending) 상태에 놓여있죠.
위 그림과 같이 참조 트리(Tree)를 확인해 보면, 많은 Finalizer 객체가 체인처럼 연결되어 있어요. 그럼 Finalizer 객체가 실제 참조하고 있는 객체는 무엇인지 바로 살펴볼까요?
그림에 나온 바와 같이 PostgreSql JDBC Driver의 org.postgresql.jdbc3g.Jdbc3gPreparedStatement인 점을 확인할 수 있어요. 해당 시스템은 PostgreSql DB를 사용하고 있었네요.
이처럼 Finalizer 참조 객체 대부분은 Jdbc3gPreparedStatement 객체임을 알 수 있어요. 여기서 Statement 객체는, DB에 SQL Query를 실행하기 위한 객체에요.
그렇다면, 아직 Finalize 처리되지 않은 Statement 객체가 증가하는 이유는 무엇일까요?
먼저 해당 Statement 객체는 실제로 어디서 참조하는지 살펴볼게요. 해당 객체는 TimerThread가 참조하는 TaskQueue에 들어가 있어요. 해당 Timer는 Postgresql Driver의 CancelTimer이죠.
해당 Timer의 작업 큐를 확인해 보면 PostgreSql Statement 객체와 관련된 Task 객체도 알 수도 있어요.
그럼 org.postgresql.jdbc3g.Jdbc3gPreparedStatement 클래스가 어떻게 동작하는지 자세히 알아볼까요?
org.postgresql.jdbc3g.Jdbc3gPreparedStatement는 org.postgresql.jdbc2.AbstractJdbc2Statement의 상속 클래스이며 finalize() 메서드를 재정의한 클래스에요. Finalize 처리를 위해 객체 생성 시, JVM에 의해 Finalizer 체인으로 등록되죠.
위와 같은 코드로 보아 CancelTimer는, Query 실행 후 일정 시간이 지나면 자동으로 TimeOut 취소 처리를 위한 Timer에요.
정해진 시간 내에 정상적으로 Query가 수행되고 객체를 종료(Close) 시, Timer를 취소하도록 되어 있어요. 이때 취소된 Task는 상태 값만 변경되고, 실제로는 Timer의 큐에서 아직 사라지진 않아요.
Timer에 등록된 작업은, TimerThread에 의해 순차적으로 처리돼요. Task는 TimerThread에서 처리를 해야 비로소 큐에서 제거되거든요.
이때 가져온 Task는 취소 상태가 아니며, 처리 시간에 아직 도달하지 않은 경우 해당 Task의 실행 예정 시간까지 대기해야 돼요.
여기서 문제점이 발생해요.
이 대기 시간이 길어지면 TimerThread의 처리가 지연되기 때문이죠. 이후 대기 Task들은 상태 여부에 상관없이, 큐에 지속적으로 남아있게 돼요.
만약 오랜 시간 동안 처리가 진행되지 않는다면, 여러 번의 Minor GC 발생 후 참조 객체들은 영구 영역(Old Gen)으로 이동될 수 있어요.
영구 영역으로 이동된 객체는, 메모리에 즉시 제거되지 못하고 오랜 기간 남게 되죠. 이는 Old(Full) GC를 발생시켜 시스템 부하를 유발하게 해요. 실제로 시스템에 설정된 TimeOut 값은 3,000초(50분)에요.
Finalizer 참조 객체는 GC 발생 시, 즉시 메모리에서 수집되지 않고 Finalize 처리를 위한 대기 큐에 들어가요. 그다음 FinalizerThread에 의해 Finalize 처리 후 GC 발생 시 비로소 제거되죠. 때문에 리소스의 수집 처리가 지연될 수 있어요.
또한 FinalizerThread 스레드는 우선순위가 낮아요. Finalize 처리 객체가 많은 경우, CPU 리소스가 상대적으로 부족해지면 개체의 Finalize 메서드 실행을 지연하게 만들어요. 처리되지 못한 객체는 누적되게 만들죠.
요약한다면 FinalReference 참조 객체의 잘못된 관리는
1) 객체의 재 참조를 유발 2) 불필요한 객체의 누적을 유발 3) Finalize 처리 지연으로 인한 리소스 누적을 유발
하게 해요.
PART2.
제니우스 APM을 통해 Finalize 객체를 모니터링하는 방법
Zenius APM에서는 JVM 메모리를 모니터링하고 분석하기 위한, 다양한 데이터를 수집하고 있어요. 상단에서 보았던
FinalReference 참조 객체의 현황에 대한 항목도 확인
할 수 있죠.
APM 모니터링을 통해 Finalize 처리에 대한 문제 발생 가능성도
‘사전’
에 확인
할 수 있답니다!
위에 있는 그림은 Finalize 처리 대기(Pending)중인 객체의 개수를 확인 가능한 컴포넌트에요.
이외에도 영역별 메모리 현황 정보와 GC 처리 현황에 대해서도 다양한 정보를 확인 할 수 있어요!
이상으로 Finalize 처리 객체에 의한 리소스 문제 발생 가능성을, 사례를 통해 살펴봤어요. 서비스에 리소스 문제가 발생하고 있다면, 꼭 도움이 되었길 바라요!
------------------------------------------------------------
©참고 자료
◾ uxys, http://www.uxys.com/html/JavaKfjs/20200117/101590.html
◾ Peter Lawrey, 「is memory leak? why java.lang.ref.Finalizer eat so much memory」, stackoverflow, https://stackoverflow.com/questions/8355064/is-memory-leak-why-java-lang-ref-finalizer-eat-so-much-memory
◾ Florian Weimer, 「Performance issues with Java finalizersenyo」, enyo,
https://www.enyo.de/fw/notes/java-gc-finalizers.html
------------------------------------------------------------
#APM
#Finalize
#제니우스
#메모리 누수
#Zenius
#FinalReference
#제니우스 APM
김진광
APM팀(개발3그룹)
개발3그룹 APM팀에서 제품 개발과 기술 지원을 담당하고 있습니다.
필진 글 더보기
목록으로
추천 콘텐츠
이전 슬라이드 보기
AWS KMS 특징과 장점, 기본 암호화 활용 예시(단일 암호화 vs 봉투 암호화)
AWS KMS 특징과 장점, 기본 암호화 활용 예시(단일 암호화 vs 봉투 암호화)
AWS KMS(Key Management Service)는 데이터 암호화에 사용되는 키를 생성하고 안전하게 관리할 수 있도록 지원하는 AWS의 관리형 서비스입니다. 클라우드 환경에서는 데이터가 외부 인프라에 저장되기 때문에 온프레미스와 달리 직접적인 통제가 어렵고, 그만큼 보안의 중요성이 커집니다. 암호화는 민감한 정보가 노출되는 것을 막는 가장 기본적인 보호 방식이지만, 암호화에 사용된 키가 유출되면 암호화 자체가 무력화되어 심각한 보안 위협으로 이어질 수 있습니다. AWS KMS는 이러한 위험을 줄이기 위해 암호화 키의 생성, 보관, 사용을 AWS가 책임지고 관리하는 보안 중심의 관리형 서비스를 제공합니다. 이를 통해 암호화 키 자체의 안전성을 확보하며, 서비스 전반의 기밀성과 안정성을 강화할 수 있습니다. 그렇다면 AWS KMS의 주요 특징과 장점, 그리고 기본 암호화 활용 방법을 구체적인 예시를 통해 살펴보겠습니다. AWS KMS 특징과 장점 AWS KMS는 데이터를 암호화하는 key를 암호화하여 보안 인증 장치인 HSM(물리적 공간)에 보관합니다. AWS KMS를 통해서만 HSM 내부에 저장된 Root Key에 접근 가능합니다. 이를 통해 키 구성요소를 안전하게 보호하고, 키가 물리적으로 격리되어 평문 형태로 외부로 유출되는 것을 원천적으로 차단합니다. 또한 AWS KMS는 키 정책을 활용해 암·복호화 권한을 세밀하게 제어할 수 있다는 장점이 있습니다. 동일한 키라 하더라도 사용자나 역할별로 서로 다른 권한을 부여할 수 있으며, 감사 로그를 통해 키 사용 이력을 추적하여 보안 관점에서의 모니터링과 통제가 가능합니다. AWS KMS 키 종류 AWS KMS 키는 관리 주체에 따라 AWS 관리형 키와 고객 관리형 키로 구분됩니다. AWS 관리형 키는 AWS 서비스가 자동으로 생성·관리하며, 사용자가 직접 생성하거나 수정·삭제할 수 없습니다. 주로 S3, RDS 등 서비스의 기본 암호화 기능에 사용되어 별도 설정 없이 간편하게 활용할 수 있습니다. 반면 고객 관리형 키는 사용자가 직접 생성하고 운영하는 키로, 키 정책을 통해 접근 권한과 사용 범위를 세밀하게 제어할 수 있습니다. 보안 요구사항에 따라 권한 설정이나 정책 변경을 자유롭게 구성할 수 있다는 점이 장점입니다 AWS KMS 의 키 순환(Key Rotation) AWS KMS의 주요 특징 중 하나는 키 순환(Key Rotation) 기능입니다. 키 순환은 일정 주기(기본 1년)에 따라 CMK(KMS 키)의 핵심 암호화 구성 요소(Key Material)를 자동으로 교체하여 키 유출 가능성을 낮추고 보안성을 강화하는 기능입니다. 키가 순환되면 이후 암호화 작업에는 새롭게 교체된 키 재료가 사용되지만, 순환 이전에 암호화된 데이터도 그대로 복호화할 수 있습니다. 이는 이전 버전의 Key Material이 KMS 내부에 안전하게 유지되어 복호화 요청 시 자동으로 참조되기 때문입니다. 또한 키 순환 시 ARN, 키 상태, 키 정책 등 키의 기본 정보는 변경되지 않고 암호화 재료만 새로워지므로, 애플리케이션 코드나 비즈니스 로직을 수정하지 않아도 기존과 동일한 방식으로 계속 사용할 수 있다는 장점이 있습니다. AWS KMS 키 정책 AWS KMS 키 정책을 통해 키 사용 주체, 범위 등을 정하는 방식으로 보안성을 강화합니다. 키 정책을 구성하는 요소는 크게 Version, Id, Statement가 있습니다. 이 요소 중 Statement를 통해 키 사용 규칙을 관리할 수 있습니다. Statement 구성 요소에 대해 살펴보겠습니다. Sid : 식별자(키 정책 설명) Effect : 결과(허용, 거부) Principal : 주체(누구에게 적용되는지) Action : 행위(무엇을 할수있는지) Resource : 대상(어떤 key에 적용되는지) Condition : 조건(ip, 시간 등 추가 조건) 위 키 정책은 Principal에 등록된 유저에게 해당 키로 Action에 나열된 행위를 허용하는 정책입니다. 추가로 이 키를 사용하기 위해서는 EncryptionContext를 포함해야하고 그 Context 내부에 key:value 형태로 “Purpose” : “KMSTEST” 를 가지고 있어야 합니다 이처럼 AWS KMS 사용자는 하나 이상의 Statement를 만들어 고객 관리형 키 사용 환경을 세부적으로 통제할 수 있습니다. 암·복호화 예시(Java): 단일 호출 암호화 vs 봉투 암호화 Java 환경에서 AWS KMS를 활용할 때는 KMS 키를 직접 사용해 암·복호화를 수행하는 방식과, 암호화에 사용할 데이터 키를 별도로 발급받아 사용하는 방식이 있습니다. 각각을 단일 호출 암호화와 봉투 암호화(Envelope Encryption)라고 합니다. 아래 예시는 이미 생성된 KMS 키를 기반으로 두 방식이 어떻게 동작하는지 보여줍니다. 이를 위해 먼저 KMS에 접근하기 위한 인증 정보를 설정하고, 암·복호화 요청을 처리할 KmsClient를 생성합니다. - accessKeyId: 사용자 액세스 키 - secretAccessKey: 비밀 액세스 키 단일 호출 암호화와 봉투 암호화가 각각 이제 떻게 구현되는지 코드를 통해 살펴보겠습니다. [1] 단일 호출 암호화 단일 호출 암호화시에는 kmsClient와 KMS 마스터 키를 활용해서 KMS 서비스 제공 Encrypt, Decrypt 객체 생성 후 암,복호화를 진행합니다. 단일 호출 암호화 방식은 크기가 작은 데이터(4KB 미만)를 암호화하는데 사용된다. 이 방식의 장점은 KMS 서비스를 통해 직접 암,복호화 하기 때문에 간단한 코드로 구현이 가능하다는 점입니다. 다만 암,복호화 시 데이터 개수에 따라 비용 및 KMS 통신량 증가 한다는 것이 단점입니다. 단일 호출 암호화 결과를 보면 암,복호화가 정상적으로 이루어진것을 확인할 수 있습니다. [2] 봉투 암호화 두번째 방식은 봉투 암호화입니다. 봉투 암호화의 핵심은 데이터를 암호화 하기 위해 사용되는 키를 암호화 한다는 것입니다. 봉투 암호화는 평문 암호화 키(encryptKey)를 이용하여 데이터를 암호화합니다. 이때 사용된 평문 암호화 키는 즉시 삭제하고 암호문을 저장합니다. 복호화시에는 암호문을 통해 평문 암호화 키를 조회하고 이 키를 이용하여 데이터를 복호화합니다. 잘못된 방식과 잘된 방식을 비교하여 살펴보겠습니다. 잘못된 방식을 보면 암호화 키(encryptKey)를 활용해 암호화 한 이후 동일한 변수를 이용하여 바로 복호화를 진행하고 있습니다. 이는 암호화 이후 평문 암호화 Key를 폐기하지 않고 재사용하기 때문에 평문 키를 HMS 외부에 보관하지 않는다는 KMS의 핵심 보안 원칙에 어긋납니다. 올바른 봉투 암호화는 복호화시 최초 암호화에 사용된 키(encryptKey)가 아니라 저장된 암호문(cipherTextBlob)을 이용하여 재조회한 평문 키(newPlaintextKey)를 활용하여 복호화합니다. 이를 통해 데이터 암호화에 사용된 평문 키를 외부에 노출시키지 않고 데이터 복호화가 가능합니다. 봉투 암호화 결과는 아래와 같습니다. 결과를 보면 최초 암호화에 사용된 평문키와 재조회한 평문키가 동일한것을 확인할 수 있습니다. 이 평문키는 사용시마다 암호문을 이용해 조회 후 사용하여야하며 사용 후 즉시 폐기하여야합니다. 봉투 암호화 방식은 사용자가 암호화 방식을 직접 정할 수 있어 단일 호출 암호화 방식에 비해 유연한 암호화 처리가 가능합니다. 또한 데이터가 아닌 데이터 암호화 를 암호화 하는 방식이기 때문에 데이터 개수에 영향을 적게 받는다는 장점이 있습니다. 봉투 암호화 과정을 요약 정리하면 아래와 같습니다. ① KMS를 통해 평문 암호화 키(encryptKey) 및 암호문(cipherTextBlob) 조회 ② encryptKey를 사용하여 데이터 암호화 후 폐기 ③ cipherTextBlob 및 암호화 데이터 저장 ④ cipherTextBlob를 사용하여 KMS에서 암호화 키 재조회(newPlaintextKey) ⑤ newPlaintextKey를 사용하여 데이터 복호화 두 방식 핵심 비교 지금까지 AWS KMS 기본 개념과 두가지 활용법에 대해 살펴보았습니다. KMS의 가장 큰 특징은 암호화 키를 안전하게 보호하는 서비스라는 점입니다. AWS KMS는 암호화 과정에서 가장 중요한 요소인 암호화 키를 사용자가 직접 관리하는 부담을 줄여줍니다. AWS KMS는 암호화 키를 최고 보안 수준으로 보호하기 때문에 사용자는 키 탈취 걱정없이 암호화 로직에 집중할 수 있습니다. 또한 AWS KMS 키 정책을 통해 복잡한 어플리케이션 코드 수정 없이 간편하게 암호화 키 접근 가능 사용자 및 행위를 통제할 수 있다는 장점이 있습니다. 이글을 통해서는 AWS KMS를 살펴보았는데 이 외에도 Google, Azure, NCP 등 여러 회사에서 제공하는 사용중인 KMS 서비스 중 사용중인 환경에 가장 적합한 KMS를 선택하여 활용하시기를 추천드립니다.
2025.11.20
다음 슬라이드 보기
