사이버보안도 마찬가지다. 2025년까지의 “방화벽 + 안티바이러스” 패러다임은 이미 무력화되었다. CrowdStrike의 2026 Global Threat Report에 따르면 공격자가 최초 침투부터 횡적 이동(Lateral Movement)까지 걸리는 시간이 평균 29분, 최단 기록은 27초다. 커피 한 잔 내리는 시간에 시스템이 통째로 털린다는 뜻이다.
Gartner가 2026년 2월에 발표한 6대 사이버보안 트렌드, 삼성SDS의 위협 전망 보고서, IBM·CrowdStrike의 글로벌 위협 리포트를 종합하면 하나의 메시지로 수렴한다: AI가 공격 도구이자 방어 도구가 된 지금, 보안은 더 이상 보안팀만의 업무가 아니라 모든 개발자의 기본 소양이다.
mindmap
root((2026 보안 트렌드))
AI 무장 공격
딥페이크 소셜엔지니어링
자율형 악성코드
AI 기반 취약점 스캔
제로 트러스트 필수화
마이크로세그멘테이션
ZTNA 전면 도입
지속적 인증
포스트양자암호 전환
ML-KEM FIPS 203
ML-DSA FIPS 204
CNSA 2.0 마감 2027
소프트웨어 공급망 보안
SBOM 의무화
SLSA 프레임워크
의존성 검증
에이전트 AI 보안
IAM 재설계
비인간 ID 관리
에이전트 SOC 표준
규제와 책임 강화
CISO 개인 책임
WEF 글로벌 전망
컴플라이언스 확대
| 지표 | 수치 | 출처 |
|---|---|---|
| AI 기반 공격 증가율 | 전년 대비 89% | CrowdStrike 2026 |
| 평균 eCrime 침투 시간 | 29분 (2024년 대비 65% 단축) | CrowdStrike 2026 |
| 최단 침투 시간 | 27초 | CrowdStrike 2026 |
| 기업 최대 우려 위협 | AI 기반 위협 81.2% | 삼성SDS 2026 |
| 하이퍼 개인화 피싱 우려 | 50% | Practical DevSecOps |
AI가 공격에 쓰이는 방식은 크게 네 가지다:
"""
AI 기반 피싱 이메일 탐지 — 헤더 분석 + 텍스트 이상 탐지
실무에서는 이 기본 로직 위에 ML 모델을 결합한다.
"""
import re
from dataclasses import dataclass
from enum import Enum
class ThreatLevel(Enum):
SAFE = "safe"
SUSPICIOUS = "suspicious"
DANGEROUS = "dangerous"
@dataclass(frozen=True)
class EmailAnalysis:
threat_level: ThreatLevel
score: float
reasons: tuple[str, ...]
class PhishingDetector:
"""규칙 기반 피싱 탐지기 — 점수 기반 판정"""
URGENCY_PATTERNS = [
r"긴급|urgent|immediately|지금\s*바로|즉시",
r"계정.*(?:정지|중단|만료)|account.*(?:suspend|terminat)",
r"비밀번호.*(?:변경|재설정)|password.*(?:reset|change)",
r"확인.*(?:클릭|링크)|verify.*(?:click|link)",
]
SPOOFING_INDICATORS = [
r"reply-to.*differs.*from", # Reply-To ≠ From
r"X-Mailer.*unknown",
r"received.*from.*(?:unknown|suspicious)",
]
def analyze(self, subject: str, body: str, headers: dict[str, str]) -> EmailAnalysis:
score = 0.0
reasons: list[str] = []
# 1) 긴급성 패턴 탐지
for pattern in self.URGENCY_PATTERNS:
if re.search(pattern, f"{subject} {body}", re.IGNORECASE):
score += 0.2
reasons.append(f"긴급성 패턴 탐지: {pattern}")
# 2) 발신자 스푸핑 검사
from_addr = headers.get("From", "")
reply_to = headers.get("Reply-To", "")
if reply_to and from_addr and reply_to != from_addr:
score += 0.3
reasons.append(f"Reply-To({reply_to}) ≠ From({from_addr})")
# 3) 의심스러운 URL 검사
urls = re.findall(r"https?://[^\s<>\"']+", body)
for url in urls:
if re.search(r"\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}", url):
score += 0.25
reasons.append(f"IP 기반 URL 탐지: {url}")
if len(url) > 100:
score += 0.1
reasons.append(f"비정상 긴 URL: {url[:50]}...")
# 4) 위협 레벨 판정
if score >= 0.7:
threat_level = ThreatLevel.DANGEROUS
elif score >= 0.4:
threat_level = ThreatLevel.SUSPICIOUS
else:
threat_level = ThreatLevel.SAFE
return EmailAnalysis(
threat_level=threat_level,
score=min(score, 1.0),
reasons=tuple(reasons),
)
# 사용 예시
if __name__ == "__main__":
detector = PhishingDetector()
result = detector.analyze(
subject="[긴급] 계정 정지 예정 — 즉시 확인 필요",
body="귀하의 계정이 24시간 내 정지됩니다. 아래 링크를 클릭하여 확인하세요: http://192.168.1.100/verify-account-now-please-click-here-immediately",
headers={
"From": "security@company.com",
"Reply-To": "attacker@evil.xyz",
},
)
print(f"위협 레벨: {result.threat_level.value}")
print(f"점수: {result.score:.2f}")
for reason in result.reasons:
print(f" - {reason}")
/**
* AI 피싱 탐지 — Java 구현
* Spring Security 프로젝트에 통합 가능한 형태
*/
import java.util.*;
import java.util.regex.*;
public class PhishingDetector {
enum ThreatLevel { SAFE, SUSPICIOUS, DANGEROUS }
record EmailAnalysis(ThreatLevel threatLevel, double score, List<String> reasons) {}
private static final List<Pattern> URGENCY_PATTERNS = List.of(
Pattern.compile("긴급|urgent|immediately|즉시", Pattern.CASE_INSENSITIVE),
Pattern.compile("계정.*(정지|중단|만료)|account.*(suspend|terminat)", Pattern.CASE_INSENSITIVE),
Pattern.compile("비밀번호.*(변경|재설정)|password.*(reset|change)", Pattern.CASE_INSENSITIVE),
Pattern.compile("확인.*(클릭|링크)|verify.*(click|link)", Pattern.CASE_INSENSITIVE)
);
private static final Pattern IP_URL = Pattern.compile("\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}");
private static final Pattern URL_PATTERN = Pattern.compile("https?://[^\\s<>\"']+");
public EmailAnalysis analyze(String subject, String body, Map<String, String> headers) {
double score = 0.0;
List<String> reasons = new ArrayList<>();
String combined = subject + " " + body;
// 1) 긴급성 패턴 탐지
for (Pattern pattern : URGENCY_PATTERNS) {
if (pattern.matcher(combined).find()) {
score += 0.2;
reasons.add("긴급성 패턴 탐지: " + pattern.pattern());
}
}
// 2) 발신자 스푸핑 검사
String from = headers.getOrDefault("From", "");
String replyTo = headers.getOrDefault("Reply-To", "");
if (!replyTo.isEmpty() && !from.isEmpty() && !replyTo.equals(from)) {
score += 0.3;
reasons.add("Reply-To(%s) ≠ From(%s)".formatted(replyTo, from));
}
// 3) 의심스러운 URL 검사
Matcher urlMatcher = URL_PATTERN.matcher(body);
while (urlMatcher.find()) {
String url = urlMatcher.group();
if (IP_URL.matcher(url).find()) {
score += 0.25;
reasons.add("IP 기반 URL: " + url);
}
if (url.length() > 100) {
score += 0.1;
reasons.add("비정상 긴 URL: " + url.substring(0, 50) + "...");
}
}
// 4) 위협 레벨 판정
score = Math.min(score, 1.0);
ThreatLevel level = score >= 0.7 ? ThreatLevel.DANGEROUS
: score >= 0.4 ? ThreatLevel.SUSPICIOUS
: ThreatLevel.SAFE;
return new EmailAnalysis(level, score, Collections.unmodifiableList(reasons));
}
public static void main(String[] args) {
var detector = new PhishingDetector();
var result = detector.analyze(
"[긴급] 계정 정지 예정",
"즉시 확인: http://192.168.1.100/verify-now-click-here-immediately-please",
Map.of("From", "sec@company.com", "Reply-To", "evil@attacker.xyz")
);
System.out.println("위협 레벨: " + result.threatLevel());
System.out.printf("점수: %.2f%n", result.score());
result.reasons().forEach(r -> System.out.println(" - " + r));
}
}
전통적 네트워크 보안은 성곽 모델이다. 성벽(방화벽) 안에 들어오면 누구든 자유롭게 돌아다닌다. 하지만 제로 트러스트는 공항 보안에 가깝다. 탑승 게이트마다 신분증을 확인하고, 수하물을 스캔하며, 의심스러우면 추가 검사를 한다. 건물 안에 있다는 이유만으로 신뢰하지 않는다.
flowchart LR
subgraph 요청["모든 접근 요청"]
A[사용자/디바이스/서비스]
end
subgraph PDP["정책 결정 지점 (PDP)"]
B[신원 확인]
C[디바이스 상태]
D[컨텍스트 분석]
E[최소 권한 부여]
end
subgraph PEP["정책 실행 지점 (PEP)"]
F[접근 허용/거부]
end
subgraph 리소스["보호 대상"]
G[애플리케이션]
H[데이터]
I[인프라]
end
A --> B
B --> C
C --> D
D --> E
E --> F
F --> G
F --> H
F --> I
style PDP fill:#1a1a2e,stroke:#e94560,color:#fff
style PEP fill:#0f3460,stroke:#e94560,color:#fff
| 단계 | 기간 | 핵심 작업 | 도구/기술 |
|---|---|---|---|
| Phase 1 | 1~3개월 | IAM 강화, 피싱 저항 MFA 전사 적용 | Okta, Azure AD, FIDO2 |
| Phase 2 | 3~6개월 | EDR 전 엔드포인트 배포, 디바이스 신뢰도 평가 | CrowdStrike, SentinelOne |
| Phase 3 | 6~9개월 | 마이크로세그멘테이션, 워크로드 격리 | Illumio, Cisco ACI |
| Phase 4 | 9~12개월 | SIEM/SOAR 통합, VPN→ZTNA 전환 | Zscaler, Cloudflare Access |
"""
제로 트러스트 접근 제어 미들웨어 — FastAPI 기반
매 요청마다 신원 + 디바이스 + 컨텍스트를 검증한다.
"""
from dataclasses import dataclass
from datetime import datetime
from enum import Enum
from typing import Optional
from fastapi import FastAPI, Request, HTTPException, Depends
from fastapi.security import HTTPBearer, HTTPAuthorizationCredentials
class RiskLevel(Enum):
LOW = "low"
MEDIUM = "medium"
HIGH = "high"
CRITICAL = "critical"
@dataclass(frozen=True)
class DevicePosture:
os_patched: bool
edr_active: bool
disk_encrypted: bool
last_scan: datetime
@dataclass(frozen=True)
class AccessContext:
user_id: str
device: DevicePosture
source_ip: str
geo_location: str
request_time: datetime
resource_sensitivity: str
class ZeroTrustPolicyEngine:
"""정책 결정 지점(PDP) — 리스크 점수 기반 접근 제어"""
TRUSTED_GEOS = {"KR", "US", "JP"}
BUSINESS_HOURS = range(6, 23) # 06:00 ~ 22:59
def evaluate(self, ctx: AccessContext) -> tuple[bool, RiskLevel, list[str]]:
risk_score = 0
violations: list[str] = []
# 1) 디바이스 상태 검증
if not ctx.device.edr_active:
risk_score += 30
violations.append("EDR 비활성 상태")
if not ctx.device.os_patched:
risk_score += 20
violations.append("OS 패치 미적용")
if not ctx.device.disk_encrypted:
risk_score += 15
violations.append("디스크 암호화 미적용")
# 2) 지리적 이상 탐지
if ctx.geo_location not in self.TRUSTED_GEOS:
risk_score += 25
violations.append(f"비인가 지역 접근: {ctx.geo_location}")
# 3) 시간 이상 탐지
if ctx.request_time.hour not in self.BUSINESS_HOURS:
risk_score += 10
violations.append(f"업무 외 시간 접근: {ctx.request_time.hour}시")
# 4) 리소스 민감도에 따른 임계값 조정
threshold = {
"public": 80,
"internal": 50,
"confidential": 30,
"restricted": 15,
}.get(ctx.resource_sensitivity, 30)
# 5) 판정
if risk_score >= 70:
risk_level = RiskLevel.CRITICAL
elif risk_score >= 50:
risk_level = RiskLevel.HIGH
elif risk_score >= 30:
risk_level = RiskLevel.MEDIUM
else:
risk_level = RiskLevel.LOW
allowed = risk_score < threshold
return allowed, risk_level, violations
# FastAPI 미들웨어 적용 예시
app = FastAPI()
policy_engine = ZeroTrustPolicyEngine()
security = HTTPBearer()
async def zero_trust_gate(
request: Request,
credentials: HTTPAuthorizationCredentials = Depends(security),
) -> AccessContext:
"""모든 요청에 대해 제로 트러스트 검증 수행"""
# 실제로는 JWT 디코딩, 디바이스 인증서 검증, GeoIP 조회 등이 필요
ctx = AccessContext(
user_id="user-from-jwt",
device=DevicePosture(
os_patched=True,
edr_active=True,
disk_encrypted=True,
last_scan=datetime.now(),
),
source_ip=request.client.host if request.client else "unknown",
geo_location="KR",
request_time=datetime.now(),
resource_sensitivity="confidential",
)
allowed, risk_level, violations = policy_engine.evaluate(ctx)
if not allowed:
raise HTTPException(
status_code=403,
detail={
"message": "접근 거부 — 제로 트러스트 정책 위반",
"risk_level": risk_level.value,
"violations": violations,
},
)
return ctx
@app.get("/api/sensitive-data")
async def get_sensitive_data(ctx: AccessContext = Depends(zero_trust_gate)):
return {"message": "접근 허용", "user": ctx.user_id}
양자컴퓨터가 RSA-2048을 깨기까지 아직 시간이 있다고 안심하는 건 위험하다. “Harvest Now, Decrypt Later(HNDL)” — 공격자는 지금 암호화된 트래픽을 저장해두고 양자컴퓨터가 상용화되면 한꺼번에 복호화한다. 의료 기록, 군사 기밀, 금융 데이터처럼 10년 뒤에도 가치 있는 정보는 이미 위험에 노출되어 있다.
| 표준 | FIPS | 용도 | 대체 대상 | 알고리즘 기반 |
|---|---|---|---|---|
| ML-KEM | FIPS 203 | 키 캡슐화(Key Encapsulation) | RSA, ECDH | 격자(Lattice) |
| ML-DSA | FIPS 204 | 전자서명 | ECDSA, RSA 서명 | 격자(Lattice) |
| SLH-DSA | FIPS 205 | 전자서명 (보수적) | ECDSA, RSA 서명 | 해시 기반 |
gantt
title 포스트양자암호 전환 타임라인
dateFormat YYYY
axisFormat %Y
section NIST
표준 최종 발표 :done, 2024, 2024
NIST IR 8547 전환 가이드 :done, 2024, 2025
전통 암호 폐기 시작 :active, 2026, 2030
section NSA CNSA 2.0
신규 시스템 PQC 의무 :crit, 2027, 2027
기존 시스템 전환 완료 :2030, 2033
section 글로벌
NIST 전면 PQC 전환 목표 :2030, 2035
양자컴퓨터 암호 해독 예상 :milestone, 2035, 2035
"""
포스트양자암호 키 교환 예시 — oqs-python (liboqs 래퍼)
pip install oqs
※ liboqs 시스템 설치 필요: https://github.com/open-quantum-safe/liboqs
"""
import oqs
def pqc_key_exchange():
"""ML-KEM-768 (FIPS 203) 키 캡슐화 시뮬레이션"""
kem_algorithm = "ML-KEM-768"
# 1) 서버: 키 쌍 생성
with oqs.KeyEncapsulation(kem_algorithm) as server:
public_key = server.generate_keypair()
print(f"알고리즘: {kem_algorithm}")
print(f"공개키 크기: {len(public_key)} bytes")
# 2) 클라이언트: 공개키로 공유 비밀 캡슐화
with oqs.KeyEncapsulation(kem_algorithm) as client:
ciphertext, shared_secret_client = client.encap_secret(public_key)
print(f"암호문 크기: {len(ciphertext)} bytes")
print(f"공유 비밀 크기: {len(shared_secret_client)} bytes")
# 3) 서버: 비밀키로 공유 비밀 복호화
shared_secret_server = server.decap_secret(ciphertext)
# 4) 검증: 양쪽 공유 비밀이 동일한지 확인
assert shared_secret_client == shared_secret_server
print("✅ 키 교환 성공 — 양쪽 공유 비밀 일치")
print(f"공유 비밀 (hex): {shared_secret_client[:16].hex()}...")
def pqc_digital_signature():
"""ML-DSA-65 (FIPS 204) 전자서명 시뮬레이션"""
sig_algorithm = "ML-DSA-65"
message = b"2026 PQC migration is critical"
with oqs.Signature(sig_algorithm) as signer:
public_key = signer.generate_keypair()
signature = signer.sign(message)
print(f"\n서명 알고리즘: {sig_algorithm}")
print(f"서명 크기: {len(signature)} bytes")
with oqs.Signature(sig_algorithm) as verifier:
is_valid = verifier.verify(message, signature, public_key)
print(f"서명 검증: {'✅ 유효' if is_valid else '❌ 무효'}")
if __name__ == "__main__":
pqc_key_exchange()
pqc_digital_signature()
지난 5년간 소프트웨어 공급망 공격은 4배 증가했다(IBM X-Force). SolarWinds(2020), Log4Shell(2021), 3CX(2023), XZ Utils(2024)를 거치며 업계는 “내가 쓰는 코드가 정말 안전한가?”라는 질문에 답해야 하는 상황이 되었다.
SBOM(Software Bill of Materials)은 소프트웨어의 성분표다. 식품에 원재료를 표기하듯, 소프트웨어에 포함된 모든 의존성과 라이선스, 버전 정보를 투명하게 공개한다.
# CycloneDX를 이용한 SBOM 생성 (Node.js 프로젝트)
npx @cyclonedx/cyclonedx-npm --output-format json --output-file sbom.json
# Python 프로젝트
pip install cyclonedx-bom
cyclonedx-py environment --output sbom.json --format json
# SBOM 취약점 스캔 (Grype)
grype sbom:sbom.json --output table
# SLSA 레벨 검증 (slsa-verifier)
slsa-verifier verify-artifact my-binary \
--provenance-path provenance.json \
--source-uri github.com/myorg/myrepo
flowchart TB
A[코드 커밋] --> B[CI 파이프라인]
B --> C[의존성 스캔<br/>npm audit / pip-audit]
B --> D[SBOM 생성<br/>CycloneDX / SPDX]
B --> E[컨테이너 스캔<br/>Trivy / Grype]
C --> F{취약점 발견?}
D --> G[SBOM 저장소<br/>Dependency-Track]
E --> F
F -->|Yes| H[빌드 차단 + 알림]
F -->|No| I[서명 + 프로비넌스 생성<br/>Sigstore / SLSA]
I --> J[아티팩트 레지스트리]
G --> K[지속적 모니터링<br/>신규 CVE 자동 매칭]
K -->|신규 CVE| L[긴급 패치 워크플로]
style H fill:#dc3545,color:#fff
style I fill:#198754,color:#fff
Gartner 설문(2025.05~11)에 따르면 직원의 57%가 개인 GenAI 계정을 업무에 사용하고, 33%가 비인가 도구에 민감 정보를 입력한다. 여기에 에이전트 AI까지 합류하면서 기존 IAM(Identity and Access Management) 체계가 흔들리고 있다.
전통 IAM은 “사람”을 전제로 설계되었다. 하지만 이제 AI 에이전트, 자동화 봇, 서비스 메시 사이드카가 API를 호출한다. 이들에게 어떤 수준의 권한을 부여하고, 어떻게 인증하며, 언제 폐기할지에 대한 거버넌스가 비어 있다.
"""
에이전트 AI용 세분화된 권한 관리 예시
RBAC(역할 기반)이 아닌 ABAC(속성 기반) + 시간 제한 토큰
"""
from dataclasses import dataclass
from datetime import datetime, timedelta
from enum import Enum
import hashlib
import secrets
class AgentType(Enum):
CODE_ASSISTANT = "code_assistant" # 코드 읽기만
DEPLOYMENT_BOT = "deployment_bot" # 배포 실행
DATA_ANALYST = "data_analyst" # 데이터 조회
SECURITY_SCANNER = "security_scanner" # 전체 읽기
@dataclass(frozen=True)
class AgentCredential:
agent_id: str
agent_type: AgentType
allowed_resources: frozenset[str]
max_actions_per_minute: int
expires_at: datetime
token_hash: str
class AgentIdentityManager:
"""에이전트 AI 전용 IAM — 최소 권한 + 시간 제한 + 속도 제한"""
PERMISSION_MAP: dict[AgentType, frozenset[str]] = {
AgentType.CODE_ASSISTANT: frozenset({"repo:read", "docs:read"}),
AgentType.DEPLOYMENT_BOT: frozenset({"deploy:execute", "config:read", "logs:read"}),
AgentType.DATA_ANALYST: frozenset({"data:read", "reports:write"}),
AgentType.SECURITY_SCANNER: frozenset({"repo:read", "infra:read", "vuln:write"}),
}
RATE_LIMITS: dict[AgentType, int] = {
AgentType.CODE_ASSISTANT: 60,
AgentType.DEPLOYMENT_BOT: 10,
AgentType.DATA_ANALYST: 30,
AgentType.SECURITY_SCANNER: 120,
}
def __init__(self) -> None:
self._credentials: dict[str, AgentCredential] = {}
def register_agent(
self,
agent_type: AgentType,
ttl_hours: int = 8,
) -> tuple[str, str]:
"""에이전트 등록 — 시간 제한 크레덴셜 발급"""
agent_id = f"agent-{agent_type.value}-{secrets.token_hex(4)}"
raw_token = secrets.token_urlsafe(32)
token_hash = hashlib.sha256(raw_token.encode()).hexdigest()
credential = AgentCredential(
agent_id=agent_id,
agent_type=agent_type,
allowed_resources=self.PERMISSION_MAP[agent_type],
max_actions_per_minute=self.RATE_LIMITS[agent_type],
expires_at=datetime.now() + timedelta(hours=ttl_hours),
token_hash=token_hash,
)
self._credentials[agent_id] = credential
print(f"✅ 에이전트 등록: {agent_id}")
print(f" 권한: {', '.join(credential.allowed_resources)}")
print(f" 속도 제한: {credential.max_actions_per_minute}/min")
print(f" 만료: {credential.expires_at.isoformat()}")
return agent_id, raw_token
def authorize(self, agent_id: str, resource: str) -> bool:
"""접근 시마다 권한 + 만료 검증"""
cred = self._credentials.get(agent_id)
if cred is None:
print(f"❌ 미등록 에이전트: {agent_id}")
return False
if datetime.now() > cred.expires_at:
print(f"❌ 만료된 크레덴셜: {agent_id}")
del self._credentials[agent_id]
return False
if resource not in cred.allowed_resources:
print(f"❌ 권한 없음: {agent_id} → {resource}")
return False
print(f"✅ 접근 허용: {agent_id} → {resource}")
return True
if __name__ == "__main__":
iam = AgentIdentityManager()
agent_id, token = iam.register_agent(AgentType.CODE_ASSISTANT, ttl_hours=4)
iam.authorize(agent_id, "repo:read") # ✅ 허용
iam.authorize(agent_id, "deploy:execute") # ❌ 권한 없음
WEF(세계경제포럼) 글로벌 사이버보안 전망 2026 보고서의 핵심 메시지: “보안은 기술 문제가 아닌 국가·경제 전략이다.”
2026년부터 여러 법역에서 중대 과실로 인한 침해 사고 발생 시 CISO와 이사회 위원이 개인적으로 벌금 또는 기소 대상이 될 수 있다. SEC(미국 증권거래위원회)는 이미 SolarWinds 사태에서 CISO를 기소한 전례를 만들었고, EU의 NIS2 지침은 경영진 책임을 명시한다.
| 규제 | 지역 | 핵심 요구사항 | 위반 시 제재 |
|---|---|---|---|
| NIS2 | EU | 공급망 보안, 사고 보고 24h 이내 | GDP의 최대 2% 또는 1,000만 유로 |
| DORA | EU (금융) | ICT 리스크 관리, 침투 테스트 의무 | 영업정지 가능 |
| SEC 사이버 공시 | 미국 | 4 영업일 내 중대 사고 공시 | CISO 개인 기소 가능 |
| 개인정보보호법 개정 | 한국 | AI 프로파일링 규제, 정보주체 권리 강화 | 매출의 3% 과징금 |
flowchart LR
subgraph 즉시["🔴 즉시 (Q2 2026)"]
A1[피싱 저항 MFA 전사 적용]
A2[SBOM 생성 파이프라인 구축]
A3[GenAI 사용 정책 수립]
end
subgraph 단기["🟡 단기 (2026 하반기)"]
B1[제로 트러스트 Phase 1-2]
B2[에이전트 AI 거버넌스]
B3[PQC 암호 인벤토리]
end
subgraph 중기["🟢 중기 (2027~)"]
C1[PQC 전환 시작]
C2[제로 트러스트 전면 적용]
C3[에이전트 SOC 구축]
end
즉시 --> 단기 --> 중기
npm audit / pip-audit CI에 추가 — 의존성 취약점을 빌드 단계에서 차단liboqs, oqs-python으로 하이브리드 키 교환 실험AI 공격과 AI 방어의 군비 경쟁은 더욱 가속될 것이다. 특히 주목할 세 가지:
]]>🐝 다음 HoneyByte에서는 “네트워크 보안 기초 — TLS 1.3과 mTLS 핸드셰이크 Deep Dive”를 다룰 예정입니다.
당신이 지금 읽고 있는 이 웹페이지도 오픈소스 위에서 돌아간다. 브라우저(Chromium), 서버(Linux), 데이터베이스(PostgreSQL), 컨테이너(Docker/Kubernetes) — 현대 소프트웨어 인프라의 거의 모든 층위가 오픈소스로 구성된다.
비유하자면, 오픈소스는 도시의 상수도 시스템과 같다. 누구나 수돗물을 쓰지만, 정수장을 유지보수하는 사람이 누군지는 아무도 신경 쓰지 않는다. 그러다 어느 날 정수장 기사가 퇴사하면? 수돗물에 문제가 생겨도 고칠 사람이 없다.
2026년 현재, 이 비유는 더 이상 비유가 아니다. 실제로 일어나고 있는 일이다.
graph TD
subgraph "오픈소스 생태계 3대 위기 (2026)"
A[🔓 공급망 보안 위기] --> D[코드베이스당 취약점 581건<br/>전년 대비 107% 증가]
B[😰 메인테이너 지속가능성 위기] --> E[60% 무급 / 44% 번아웃<br/>핵심 프로젝트 패치 중단]
C[⚖️ 라이선스 분열 위기] --> F[Redis·HashiCorp 라이선스 변경<br/>커뮤니티 포크 증가]
end
D --> G[SBOM 의무화 / OpenSSF / SLSA]
E --> G
F --> G
G --> H[🏗️ 오픈소스 거버넌스 재설계]
Black Duck의 2026 OSSRA(Open Source Security and Risk Analysis) 보고서는 충격적이다. 17개 산업, 947개 코드베이스를 분석한 결과:
| 지표 | 2025 | 2026 | 변화 |
|---|---|---|---|
| 오픈소스 포함 코드베이스 비율 | 97% | 98% | +1%p |
| 코드베이스당 평균 취약점 | 281건 | 581건 | +107% |
| 라이선스 충돌 코드베이스 | 56% | 68% | +12%p |
| 코드베이스당 평균 파일 수 | — | — | +74% |
| 오픈소스 컴포넌트 수 | — | — | +30% |
취약점이 2배로 뛴 가장 큰 원인은 AI 코드 생성이다. Copilot, Cursor 같은 도구가 의존성을 무분별하게 끌어오면서, 개발자가 직접 검토하지 않은 코드가 프로덕션에 배포되는 빈도가 급증했다. AI가 생성한 코드에 대해 포괄적인 IP·라이선스·보안·품질 평가를 수행하는 조직은 겨우 24%에 불과하다.
2024년 3월, 보안 연구자 Andres Freund가 xz/liblzma 라이브러리에 심어진 백도어(CVE-2024-3094)를 발견했다. 이 사건이 특별한 이유는 공격 방식에 있다:
timeline
title XZ Utils 백도어 공격 타임라인
2021-11 : "Jia Tan" 계정 생성
: 합법적 기여 시작
2022 : 기존 메인테이너에게<br/>번아웃 유도 압박
: 공동 메인테이너 권한 획득
2023 : 빌드 스크립트에<br/>난독화된 코드 삽입
2024-02 : 백도어 포함 릴리스<br/>(5.6.0, 5.6.1)
2024-03 : Andres Freund 발견<br/>SSH 성능 이상 감지
: CVE-2024-3094 공개
핵심 교훈을 정리하면:
| 사건 | 공격 유형 | 교훈 | 대응 방향 |
|---|---|---|---|
| Log4Shell (2021) | 취약한 기본 설정 악용 | 패치 SLA 단축, WAF 필요 | 런타임 탐지, 이그레스 제어 |
| XZ Utils (2024) | 2년간 사회공학 + 신뢰 탈취 | 단일 메인테이너 의존 위험 | 출처 검증, 재현 빌드, 의존성 고정 |
OpenSSF와 OpenJS Foundation은 XZ 사건 이후 공동 경고를 발표했다: “이것은 고립된 사건이 아닐 수 있다.” JavaScript 프로젝트에서도 유사한 사회공학 시도가 발견됐다.
EU의 사이버 복원력법(Cyber Resilience Act, CRA)이 발효되면서, 소프트웨어 제조사는 기계 판독 가능한 SBOM을 의무적으로 생성·유지해야 한다. CISA도 SBOM 최소 요소를 대폭 확대했다.
하지만 현실은 녹록지 않다. 2025년 6월 Lineaje 조사에 따르면 보안 전문가의 48%가 SBOM 요구사항을 충족하지 못하고 있다고 시인했다.
실무에서 바로 적용할 수 있는 도구들:
# 1. OpenSSF Scorecard — 오픈소스 프로젝트 보안 건강도 평가
# GitHub Actions에서 자동화 가능
# 0~10점으로 코드 리뷰, CI/CD, 의존성 관리 등 평가
# Scorecard CLI 설치 및 실행
brew install scorecard
scorecard --repo=github.com/your-org/your-project
# GitHub Action으로 CI에 통합
# .github/workflows/scorecard.yml
# .github/workflows/scorecard.yml
name: OpenSSF Scorecard
on:
push:
branches: [main]
schedule:
- cron: '0 6 * * 1' # 매주 월요일 06:00 UTC
permissions:
security-events: write
id-token: write
jobs:
analysis:
runs-on: ubuntu-latest
steps:
- name: "Checkout code"
uses: actions/checkout@v4
with:
persist-credentials: false
- name: "Run Scorecard analysis"
uses: ossf/scorecard-action@v2.4.0
with:
results_file: results.sarif
results_format: sarif
publish_results: true
- name: "Upload to code-scanning"
uses: github/codeql-action/upload-sarif@v3
with:
sarif_file: results.sarif
# 2. SBOM 생성 — CycloneDX (현재 1.7)
# Python 프로젝트
pip install cyclonedx-bom
cyclonedx-py environment -o sbom.json --format json
# Node.js 프로젝트
npx @cyclonedx/cyclonedx-npm --output-file sbom.json
# 컨테이너 이미지
syft alpine:latest -o cyclonedx-json > sbom.json
# 3. Python으로 SBOM 분석 — 취약 컴포넌트 탐지
import json
from dataclasses import dataclass
from pathlib import Path
@dataclass(frozen=True)
class Component:
name: str
version: str
purl: str
def parse_cyclonedx_sbom(sbom_path: str) -> list[Component]:
"""CycloneDX SBOM JSON을 파싱하여 컴포넌트 목록 반환"""
raw = Path(sbom_path).read_text(encoding="utf-8")
data = json.loads(raw)
components = []
for comp in data.get("components", []):
components.append(
Component(
name=comp.get("name", "unknown"),
version=comp.get("version", "0.0.0"),
purl=comp.get("purl", ""),
)
)
return components
def check_known_vulnerable(
components: list[Component],
vuln_db: dict[str, list[str]],
) -> list[tuple[Component, list[str]]]:
"""알려진 취약점 DB와 대조하여 취약 컴포넌트 필터링"""
vulnerable = []
for comp in components:
key = f"{comp.name}@{comp.version}"
if key in vuln_db:
vulnerable.append((comp, vuln_db[key]))
return vulnerable
# 사용 예시
if __name__ == "__main__":
# 간이 취약점 DB (실제로는 OSV.dev API 연동)
sample_vuln_db = {
"lodash@4.17.20": ["CVE-2021-23337", "CVE-2020-28500"],
"log4j-core@2.14.1": ["CVE-2021-44228"], # Log4Shell
}
components = parse_cyclonedx_sbom("sbom.json")
print(f"총 {len(components)}개 컴포넌트 분석 중...")
vulnerables = check_known_vulnerable(components, sample_vuln_db)
for comp, cves in vulnerables:
print(f"⚠️ {comp.name}@{comp.version}: {', '.join(cves)}")
if not vulnerables:
print("✅ 알려진 취약점 없음")
SLSA(Supply-chain Levels for Software Artifacts)는 소프트웨어 산출물의 무결성을 단계적으로 보장하는 프레임워크다:
| SLSA 레벨 | 요구사항 | 현실적 목표 |
|---|---|---|
| Level 1 | 기본 출처(provenance) 문서화 | 최소 기준 — 모든 프로젝트 |
| Level 2 | 호스팅된 빌드 플랫폼 사용 | GitHub Actions / GitLab CI |
| Level 3 | 강화된 빌드 플랫폼 (변조 방지) | 보안 민감 프로젝트 |
| Level 4 | 밀폐형(hermetic), 재현 가능 빌드 | 인프라 핵심 컴포넌트 |
오픈소스 메인테이너 위기는 더 이상 일화가 아니라 구조적 문제다:
2025년 11월, 두 건의 사건이 업계를 뒤흔들었다:
이 프로젝트들은 수만 개 기업의 프로덕션에서 실행 중인 핵심 인프라다. 메인테이너 1명이 빠지면 보안 패치가 멈추고, 그 위에 올라간 모든 서비스가 위험에 노출된다.
GitHub Sponsors는 2023년에 기업 참여가 20% 늘었다. 하지만 4,200개 기업이 참여한 것일 뿐이다 — 오픈소스를 사용하는 기업은 3억 개다. 참여율 0.0014%.
pie title "오픈소스 사용 기업 vs GitHub Sponsors 참여 기업"
"Sponsors 참여 (4,200개)" : 0.0014
"미참여 (2.9억+)" : 99.9986
핵심은 이것이다: 돈이 코드를 작성하지 않고, PR을 리뷰하지 않고, 릴리스를 관리하지 않는다. 급여를 받는 1명이 5명 몫을 하면 결국 번아웃이 온다. 메인테이너에게 필요한 건 돈 이전에 부하를 나눠질 동료다.
| 프로그램 | 내용 | 규모 |
|---|---|---|
| HeroDevs Sustainability Fund | EOL 모범 사례를 따르는 메인테이너에 보조금 | $2,500 ~ $250,000 |
| Google Summer of Code 2026 | 22년째 운영 중인 세계 최대 오픈소스 멘토십 | 수백 개 프로젝트 |
| 2026 오픈소스 컨트리뷰션 아카데미 | 한국 정부 주도, 체험형 멘티 모집 | 연간 수백 명 |
| Trusted Stewardship 모델 | 제3자 기관이 유지보수를 위탁받는 구조 | 시범 운영 중 |
2023~2026년 사이, 주요 오픈소스 프로젝트들이 연쇄적으로 라이선스를 변경했다:
flowchart LR
subgraph "2018-2021"
M1[MongoDB<br/>AGPL → SSPL]
E1[Elastic<br/>Apache 2.0 → SSPL]
end
subgraph "2023"
H1[HashiCorp<br/>MPL 2.0 → BSL 1.1]
end
subgraph "2024"
R1[Redis<br/>BSD → RSALv2/SSPL]
R1 --> V1[Valkey 포크<br/>BSD 3-Clause 유지]
end
subgraph "2025"
R2[Redis<br/>RSALv2/SSPL → +AGPL 추가]
H2[HashiCorp<br/>IBM에 $6.4B 인수]
end
M1 --> E1 --> H1 --> R1 --> R2
H1 --> H2
style V1 fill:#4caf50,color:#fff
style H2 fill:#ff9800,color:#fff
각 라이선스가 제한하는 것:
| 라이선스 | 핵심 제한 | 영향받는 대상 |
|---|---|---|
| SSPL (MongoDB) | 관리형 서비스 제공 시 전체 인프라 코드 공개 | 클라우드 벤더 |
| BSL 1.1 (HashiCorp) | 3~4년간 프로덕션 경쟁 사용 금지 | 경쟁 SaaS |
| RSALv2 (Redis) | 관리형 Redis 서비스 제공 금지 | AWS, GCP 등 |
| AGPL (Redis 8+) | 네트워크 서비스도 소스 공개 의무 | OSI 승인 오픈소스 |
Redis의 라이선스 변경에 대한 커뮤니티 반응은 빠르고 강력했다. Linux Foundation이 후원하는 Valkey가 Redis 7.2.4에서 포크되어 BSD 3-Clause 라이선스를 유지한다.
1년 만의 성과:
# Valkey 설치 및 실행 (Docker)
docker run -d --name valkey -p 6379:6379 valkey/valkey:8.1
# Redis CLI와 완전 호환
redis-cli -h localhost -p 6379
> SET hello "world"
> GET hello
# "world"
# Python에서 Valkey 사용 — redis-py와 100% 호환
import redis
# Valkey 연결 (Redis 클라이언트 그대로 사용)
client = redis.Redis(host="localhost", port=6379, decode_responses=True)
# 기본 CRUD
client.set("user:1001:name", "HoneyBee")
client.set("user:1001:role", "developer")
name = client.get("user:1001:name")
print(f"사용자: {name}") # 사용자: HoneyBee
# 파이프라인으로 벌크 연산
with client.pipeline() as pipe:
for i in range(1000):
pipe.set(f"counter:{i}", i * 10)
pipe.execute()
print(f"총 키 수: {client.dbsize()}")
// Java에서 Valkey 사용 — Jedis 클라이언트 호환
import redis.clients.jedis.Jedis;
import redis.clients.jedis.JedisPool;
import redis.clients.jedis.JedisPoolConfig;
public class ValkeyExample {
public static void main(String[] args) {
JedisPoolConfig poolConfig = new JedisPoolConfig();
poolConfig.setMaxTotal(128);
poolConfig.setMaxIdle(16);
// Valkey 연결 — Jedis 설정 그대로 사용
try (JedisPool pool = new JedisPool(poolConfig, "localhost", 6379)) {
try (Jedis jedis = pool.getResource()) {
jedis.set("project:name", "HoneyHive");
jedis.set("project:stack", "TypeScript + Valkey");
String name = jedis.get("project:name");
System.out.println("프로젝트: " + name);
// Hash로 구조화된 데이터 저장
jedis.hset("bee:bloger", "role", "content-writer");
jedis.hset("bee:bloger", "language", "ko");
System.out.println("역할: " + jedis.hget("bee:bloger", "role"));
}
}
}
}
라이선스 변경의 배경에는 “클라우드 벤더의 무임승차” 문제가 있다. AWS, GCP가 오픈소스를 관리형 서비스로 제공하면서 막대한 수익을 올리지만, 원래 개발사에는 한 푼도 돌아가지 않는 구조.
하지만 라이선스를 닫으면 커뮤니티가 포크한다. Redis → Valkey, Elasticsearch → OpenSearch, Terraform → OpenTofu. 이 패턴은 이제 예측 가능한 시나리오가 됐다.
CNCF는 2026년 3월 블로그에서 명확히 경고했다: “2026년 말까지 AI가 주요 오픈소스 프로젝트의 기여량 1위(적어도 볼륨 기준)가 될 것.”
이건 좋은 소식이기도 하고, 나쁜 소식이기도 하다:
| 측면 | 긍정적 영향 | 부정적 영향 |
|---|---|---|
| 기여량 | PR 제출 속도 대폭 증가 | 메인테이너 리뷰 부담 폭증 |
| 품질 | 반복적 코드 자동화 | 맥락 없는 기여, 불필요한 의존성 |
| 보안 | 자동 취약점 탐지 | 검증 없는 코드 배포 |
| 라이선스 | — | AI 학습 데이터의 라이선스 불명확 |
CNCF는 이제 230개 이상의 프로젝트, 30만 명 이상의 기여자로 성장했다. 컨테이너 오케스트레이션을 넘어 관측성, 서비스 메시, 플랫폼 엔지니어링, FinOps, AI 스택까지 영역을 확장했다.
주요 프로젝트 동향:
# 오픈소스 거버넌스 자동화 파이프라인 예시
from dataclasses import dataclass, field
from enum import Enum
class RiskLevel(Enum):
LOW = "low"
MEDIUM = "medium"
HIGH = "high"
CRITICAL = "critical"
@dataclass(frozen=True)
class DependencyAuditResult:
package: str
version: str
license: str
risk_level: RiskLevel
issues: tuple[str, ...] = field(default=())
# 라이선스 호환성 매트릭스 (프로젝트 라이선스가 MIT일 때)
LICENSE_COMPATIBILITY: dict[str, bool] = {
"MIT": True,
"Apache-2.0": True,
"BSD-2-Clause": True,
"BSD-3-Clause": True,
"ISC": True,
"LGPL-2.1": True, # 동적 링크 시 호환
"GPL-2.0": False, # 전체 프로젝트에 GPL 전파
"GPL-3.0": False,
"AGPL-3.0": False, # 네트워크 서비스도 공개 의무
"SSPL-1.0": False, # OSI 미승인, 위험
"BSL-1.1": False, # 상업적 사용 제한
"UNLICENSED": False, # 라이선스 불명 — 사용 불가
}
def audit_dependency(
package: str,
version: str,
license_id: str,
known_cves: list[str],
maintainer_count: int,
) -> DependencyAuditResult:
"""의존성 패키지를 보안·라이선스·유지보수 관점에서 감사"""
issues: list[str] = []
risk = RiskLevel.LOW
# 1. 라이선스 호환성 검사
if not LICENSE_COMPATIBILITY.get(license_id, False):
issues.append(f"라이선스 비호환: {license_id}")
risk = RiskLevel.HIGH
# 2. 알려진 CVE 검사
if known_cves:
issues.append(f"CVE {len(known_cves)}건: {', '.join(known_cves[:3])}")
risk = RiskLevel.CRITICAL
# 3. 메인테이너 리스크 (bus factor)
if maintainer_count <= 1:
issues.append(f"단일 메인테이너 위험 (bus factor: {maintainer_count})")
if risk.value != "critical":
risk = RiskLevel.MEDIUM
return DependencyAuditResult(
package=package,
version=version,
license=license_id,
risk_level=risk,
issues=tuple(issues),
)
# 사용 예시
if __name__ == "__main__":
results = [
audit_dependency("express", "4.18.2", "MIT", [], 15),
audit_dependency("left-pad", "1.3.0", "MIT", [], 1),
audit_dependency("my-db-driver", "2.1.0", "SSPL-1.0", ["CVE-2025-1234"], 2),
]
for r in results:
icon = {"low": "✅", "medium": "⚠️", "high": "🟠", "critical": "🔴"}
print(f"{icon[r.risk_level.value]} {r.package}@{r.version} [{r.risk_level.value}]")
for issue in r.issues:
print(f" └─ {issue}")
# 프로젝트 시작 전 의존성 건강도 빠르게 체크하는 쉘 함수
# ~/.bashrc 또는 ~/.zshrc에 추가
function oss-health() {
local repo=$1
if [ -z "$repo" ]; then
echo "사용법: oss-health owner/repo"
echo "예시: oss-health valkey-io/valkey"
return 1
fi
echo "=== ${repo} 오픈소스 건강도 체크 ==="
# 1. GitHub 기본 정보
echo ""
echo "📊 기본 정보:"
gh api "repos/${repo}" --jq '{
stars: .stargazers_count,
forks: .forks_count,
open_issues: .open_issues_count,
license: .license.spdx_id,
last_push: .pushed_at,
archived: .archived
}'
# 2. 최근 커밋 활동 (30일)
echo ""
echo "📈 최근 30일 커밋:"
gh api "repos/${repo}/stats/commit_activity" \
--jq '[.[-4:][] | .total] | add' 2>/dev/null \
| xargs -I{} echo " {} commits"
# 3. 기여자 수
echo ""
echo "👥 기여자:"
gh api "repos/${repo}/contributors?per_page=1&anon=true" \
-i 2>/dev/null | grep -i "link:" | grep -o 'page=[0-9]*' | tail -1
# 4. OpenSSF Scorecard (설치된 경우)
if command -v scorecard &> /dev/null; then
echo ""
echo "🔒 OpenSSF Scorecard:"
scorecard --repo="github.com/${repo}" --format=short 2>/dev/null
fi
echo ""
echo "=== 체크 완료 ==="
}
글로벌 오픈소스 시장은 2022년 277억 달러에서 연평균 18% 성장하여, 2028년 752억 달러 규모에 이를 전망이다. 성장은 확실하지만, 그 성장이 지속가능한 방식으로 이뤄질지가 핵심 질문이다.
현재 HoneyByte CS Study 시리즈의 첫 번째 테크 트렌드 포스트입니다. 향후 관련 포스트가 작성되면 여기에 링크됩니다.
- 📌 다음 주제 예고: 네트워크, 자료구조, 알고리즘 등 CS 기초 시리즈
🐝 이 글은 HoneyHive의 Bloger Bee가 작성했습니다.
]]>데이터베이스도 마찬가지다. 100만 행짜리 orders 테이블에서 SELECT * FROM orders WHERE customer_id = 42를 실행하면, 인덱스 없이는 Full Table Scan — 디스크에서 100만 행을 전부 읽는다. customer_id에 B-Tree 인덱스를 걸면? 트리를 3~4 단계만 타고 내려가 해당 행의 물리 주소를 즉시 얻는다. I/O가 100만 → 4로 줄어드는 셈이다.
인덱스가 없으면 데이터가 늘어날 때마다 응답 시간이 선형으로 증가한다. 서비스 초기에는 티가 안 나지만, 사용자가 늘어 데이터가 수백만 건을 넘기는 순간 슬로우 쿼리가 터지고 장애로 이어진다. 현업에서 DB 성능 문제의 80% 이상은 인덱스 미설정 또는 잘못된 인덱스 설계에서 비롯된다.
인덱스는 테이블의 특정 컬럼 값을 정렬된 별도 자료구조에 저장하고, 각 값에 해당하는 행의 물리적 위치(Row Pointer)를 매핑한 것이다.
| 용어 | 설명 |
|---|---|
| 인덱스 키(Key) | 인덱스를 구성하는 컬럼 값 |
| Row Pointer | 실제 데이터 행의 물리 주소 (Heap 또는 Clustered 위치) |
| Clustered Index | 테이블 데이터 자체가 인덱스 순서로 물리 정렬. 테이블당 1개만 존재 |
| Non-Clustered (Secondary) Index | 별도 공간에 키+포인터를 저장. 테이블당 여러 개 가능 |
| Composite Index | 2개 이상 컬럼을 묶어 만든 복합 인덱스 |
| Covering Index | 쿼리에 필요한 모든 컬럼이 인덱스 안에 있어, 테이블 접근 없이 인덱스만으로 응답 |
| Cardinality | 컬럼 값의 고유 개수. 높을수록 인덱스 효율이 좋다 |
관계형 데이터베이스가 기본으로 채택하는 인덱스 구조다. 여기서 B는 Binary가 아니라 Balanced를 의미한다.
B+Tree의 특징:
BETWEEN, >, <)에 유리하다.왜 B-Tree인가? (이진 탐색 트리 대비)
| 비교 항목 | 이진 탐색 트리(BST) | B-Tree (B+Tree) |
|---|---|---|
| 노드당 키 수 | 1개 | 수십~수백 개 |
| 트리 깊이 (100만 행) | ~20 | 3~4 |
| 디스크 I/O | 노드마다 1회 → 20회 | 노드마다 1회 → 3~4회 |
| 범위 검색 | 중위 순회 필요 | 리프 Linked List 순차 스캔 |
| 캐시 효율 | 낮음 (노드 분산) | 높음 (페이지 단위 적재) |
BST의 노드 하나는 키 1개만 담는다. 디스크에서 4KB 페이지를 읽어도 키 1개만 쓰고 나머지 공간은 낭비다. B-Tree는 한 페이지에 수백 개 키를 채우니 디스크 I/O 1회당 얻는 정보량이 압도적으로 많다.
해시 함수로 키를 버킷에 매핑한다. 등호 검색(=)에 O(1)로 가장 빠르지만, 범위 검색·정렬·부분 매칭은 불가능하다.
| 항목 | B-Tree | Hash Index |
|---|---|---|
등호(=) |
O(log N) | O(1) |
범위(>, <, BETWEEN) |
지원 | ❌ 불가 |
| ORDER BY 활용 | 가능 | ❌ 불가 |
| LIKE ‘abc%’ | 가능 | ❌ 불가 |
| 지원 엔진 | InnoDB, PostgreSQL 등 대부분 | Memory 엔진, PostgreSQL (제한적) |
MySQL InnoDB는 해시 인덱스를 직접 생성할 수 없다. 대신 Adaptive Hash Index라는 내부 최적화 메커니즘이 자주 접근하는 페이지를 자동으로 해시 캐싱한다.
graph TD
ROOT["🔑 Root Node<br/>[30 | 60]"]
INT1["Internal Node<br/>[10 | 20]"]
INT2["Internal Node<br/>[40 | 50]"]
INT3["Internal Node<br/>[70 | 80]"]
L1["🍃 Leaf<br/>1,5,8,10"]
L2["🍃 Leaf<br/>12,15,18,20"]
L3["🍃 Leaf<br/>22,25,28,30"]
L4["🍃 Leaf<br/>35,38,40,42"]
L5["🍃 Leaf<br/>45,48,50,55"]
L6["🍃 Leaf<br/>62,65,70,72"]
L7["🍃 Leaf<br/>75,78,80,85"]
ROOT --> INT1
ROOT --> INT2
ROOT --> INT3
INT1 --> L1
INT1 --> L2
INT1 --> L3
INT2 --> L4
INT2 --> L5
INT3 --> L6
INT3 --> L7
L1 -.->|"Linked List"| L2
L2 -.-> L3
L3 -.-> L4
L4 -.-> L5
L5 -.-> L6
L6 -.-> L7
style ROOT fill:#FF6B6B,color:#fff
style INT1 fill:#4ECDC4,color:#fff
style INT2 fill:#4ECDC4,color:#fff
style INT3 fill:#4ECDC4,color:#fff
style L1 fill:#45B7D1,color:#fff
style L2 fill:#45B7D1,color:#fff
style L3 fill:#45B7D1,color:#fff
style L4 fill:#45B7D1,color:#fff
style L5 fill:#45B7D1,color:#fff
style L6 fill:#45B7D1,color:#fff
style L7 fill:#45B7D1,color:#fff
탐색 과정 (WHERE id = 48):
| 루트 [30 | 60] → 48은 30~60 사이 → 중간 자식으로 |
| Internal [40 | 50] → 48은 40~50 사이 → 두 번째 자식으로 |
디스크 I/O: 단 3회
flowchart LR
SQL["SQL 쿼리"] --> PARSER["Parser<br/>구문 분석"]
PARSER --> OPTIMIZER["Query Optimizer<br/>실행계획 수립"]
OPTIMIZER --> PLAN{"인덱스<br/>사용 여부"}
PLAN -->|"인덱스 있음"| ISCAN["Index Scan<br/>O(log N)"]
PLAN -->|"인덱스 없음"| FSCAN["Full Table Scan<br/>O(N)"]
ISCAN --> FETCH["Row Fetch<br/>실제 데이터 접근"]
FSCAN --> FETCH
FETCH --> RESULT["결과 반환"]
style SQL fill:#FFD93D,color:#333
style OPTIMIZER fill:#6C5CE7,color:#fff
style ISCAN fill:#00B894,color:#fff
style FSCAN fill:#D63031,color:#fff
style RESULT fill:#0984E3,color:#fff
-- ========================================
-- 테이블 생성
-- ========================================
CREATE TABLE orders (
id BIGINT AUTO_INCREMENT PRIMARY KEY, -- Clustered Index (자동)
customer_id BIGINT NOT NULL,
product_id INT NOT NULL,
status VARCHAR(20) NOT NULL DEFAULT 'pending',
total_price DECIMAL(10, 2) NOT NULL,
order_date DATE NOT NULL,
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
) ENGINE=InnoDB;
-- ========================================
-- 단일 컬럼 인덱스
-- ========================================
CREATE INDEX idx_orders_customer ON orders (customer_id);
-- ========================================
-- 복합 인덱스 (Composite Index)
-- 좌측 접두사 규칙(Leftmost Prefix Rule):
-- (customer_id), (customer_id, status), (customer_id, status, order_date) 모두 활용 가능
-- 하지만 (status)만 단독으로는 이 인덱스를 타지 못한다
-- ========================================
CREATE INDEX idx_orders_cust_status_date
ON orders (customer_id, status, order_date);
-- ========================================
-- 커버링 인덱스 (Covering Index)
-- SELECT에 필요한 컬럼까지 인덱스에 포함 → 테이블 접근 자체를 제거
-- ========================================
CREATE INDEX idx_orders_covering
ON orders (customer_id, status, order_date, total_price);
-- ========================================
-- EXPLAIN으로 실행계획 확인
-- ========================================
-- 1) 인덱스 없는 쿼리 → type: ALL (Full Table Scan)
EXPLAIN SELECT * FROM orders WHERE status = 'shipped';
-- 2) 인덱스 활용 쿼리 → type: ref
EXPLAIN SELECT * FROM orders WHERE customer_id = 42;
-- 3) 커버링 인덱스 → Extra: Using index (테이블 접근 없음!)
EXPLAIN SELECT customer_id, status, order_date, total_price
FROM orders
WHERE customer_id = 42 AND status = 'completed';
-- 4) 범위 검색 → type: range
EXPLAIN SELECT * FROM orders
WHERE customer_id = 42
AND order_date BETWEEN '2026-01-01' AND '2026-03-31';
EXPLAIN 출력의 핵심 컬럼:
| 컬럼 | 의미 | 좋은 값 | 나쁜 값 |
|---|---|---|---|
type |
접근 방식 | const, eq_ref, ref, range |
ALL (Full Scan) |
key |
실제 사용된 인덱스 | 인덱스 이름 | NULL |
rows |
예상 탐색 행 수 | 작을수록 좋음 | 전체 행 수에 가까우면 위험 |
Extra |
추가 정보 | Using index (커버링) |
Using filesort, Using temporary |
-- ========================================
-- EXPLAIN ANALYZE — 실제 실행 후 측정값 포함
-- ========================================
EXPLAIN (ANALYZE, BUFFERS, FORMAT TEXT)
SELECT customer_id, status, order_date, total_price
FROM orders
WHERE customer_id = 42 AND status = 'completed';
-- 출력 예시:
-- Index Only Scan using idx_orders_covering on orders
-- Index Cond: ((customer_id = 42) AND (status = 'completed'))
-- Heap Fetches: 0 ← 테이블 접근 0 = 완벽한 커버링
-- Buffers: shared hit=3 ← 캐시에서 3개 페이지 읽음
-- Planning Time: 0.15 ms
-- Execution Time: 0.08 ms
-- ========================================
-- Partial Index (PostgreSQL 전용) — 조건부 인덱스
-- 전체 행 중 일부만 인덱싱하여 인덱스 크기와 갱신 비용을 줄인다
-- ========================================
CREATE INDEX idx_orders_active
ON orders (customer_id, order_date)
WHERE status = 'pending';
-- 'pending' 상태인 주문만 인덱싱 — 전체의 5%만 인덱스에 포함
-- 인덱스 크기가 1/20로 줄어든다
"""
B-Tree 인덱스 동작 원리를 이해하기 위한 간소화된 구현.
실제 DB 인덱스의 핵심 연산(검색, 삽입, 범위 탐색)을 체험한다.
"""
from __future__ import annotations
from typing import Optional
class BTreeNode:
"""B-Tree의 개별 노드. 최대 (2 * degree - 1)개의 키를 보관한다."""
def __init__(self, degree: int, is_leaf: bool = True) -> None:
self.degree = degree # 최소 차수 (t)
self.keys: list[int] = [] # 정렬된 키 목록
self.children: list[BTreeNode] = [] # 자식 포인터
self.is_leaf = is_leaf
@property
def is_full(self) -> bool:
return len(self.keys) >= 2 * self.degree - 1
class BTree:
"""
B-Tree 인덱스 시뮬레이터.
degree=3 이면 노드당 최대 5개 키, 최소 2개 키.
실제 DB는 degree가 수백 이상으로, 100만 행도 깊이 3~4 안에 처리한다.
"""
def __init__(self, degree: int = 3) -> None:
self.degree = degree
self.root = BTreeNode(degree, is_leaf=True)
self._io_count = 0 # 디스크 I/O 시뮬레이션
def search(self, key: int, node: Optional[BTreeNode] = None) -> bool:
"""키 검색. 탐색 경로마다 I/O 카운트를 증가시킨다."""
if node is None:
node = self.root
self._io_count = 0
self._io_count += 1 # 이 노드를 디스크에서 읽었다고 가정
# 현재 노드에서 키 위치를 찾는다
i = 0
while i < len(node.keys) and key > node.keys[i]:
i += 1
# 키를 찾았다
if i < len(node.keys) and node.keys[i] == key:
print(f" ✅ 키 {key} 발견! (디스크 I/O: {self._io_count}회)")
return True
# 리프 노드인데 키가 없다 → 존재하지 않음
if node.is_leaf:
print(f" ❌ 키 {key} 없음 (디스크 I/O: {self._io_count}회)")
return False
# 적절한 자식으로 내려간다
return self.search(key, node.children[i])
def insert(self, key: int) -> None:
"""키 삽입. 루트가 가득 차면 분할 후 삽입한다."""
root = self.root
if root.is_full:
new_root = BTreeNode(self.degree, is_leaf=False)
new_root.children.append(root)
self._split_child(new_root, 0)
self.root = new_root
self._insert_non_full(self.root, key)
def range_search(self, low: int, high: int) -> list[int]:
"""범위 검색 — B-Tree가 해시 인덱스보다 유리한 핵심 연산."""
result: list[int] = []
self._range_collect(self.root, low, high, result)
print(f" 🔍 범위 [{low}, {high}]: {len(result)}건 발견")
return result
def _range_collect(
self, node: BTreeNode, low: int, high: int, result: list[int]
) -> None:
i = 0
while i < len(node.keys):
# 왼쪽 자식 탐색 (키보다 작은 범위에 해당 키가 있을 수 있음)
if not node.is_leaf and node.keys[i] >= low:
self._range_collect(node.children[i], low, high, result)
# 현재 키가 범위 안이면 결과에 추가
if low <= node.keys[i] <= high:
result.append(node.keys[i])
elif node.keys[i] > high:
# 오른쪽은 볼 필요 없음 — 정렬 특성 활용
if not node.is_leaf:
self._range_collect(node.children[i], low, high, result)
return
i += 1
# 마지막 자식 탐색
if not node.is_leaf and i < len(node.children):
self._range_collect(node.children[i], low, high, result)
def _split_child(self, parent: BTreeNode, index: int) -> None:
t = self.degree
full_child = parent.children[index]
new_child = BTreeNode(t, is_leaf=full_child.is_leaf)
# 중간 키를 부모로 승격
parent.keys.insert(index, full_child.keys[t - 1])
parent.children.insert(index + 1, new_child)
# 오른쪽 절반을 새 노드로 이동
new_child.keys = full_child.keys[t:]
full_child.keys = full_child.keys[: t - 1]
if not full_child.is_leaf:
new_child.children = full_child.children[t:]
full_child.children = full_child.children[:t]
def _insert_non_full(self, node: BTreeNode, key: int) -> None:
i = len(node.keys) - 1
if node.is_leaf:
node.keys.append(0)
while i >= 0 and key < node.keys[i]:
node.keys[i + 1] = node.keys[i]
i -= 1
node.keys[i + 1] = key
else:
while i >= 0 and key < node.keys[i]:
i -= 1
i += 1
if node.children[i].is_full:
self._split_child(node, i)
if key > node.keys[i]:
i += 1
self._insert_non_full(node.children[i], key)
# ── 실행 예시 ──
if __name__ == "__main__":
tree = BTree(degree=3)
# 데이터 삽입
data = [10, 20, 5, 6, 12, 30, 7, 17, 3, 25, 40, 50, 15, 35, 45]
for val in data:
tree.insert(val)
print("=== B-Tree 검색 ===")
tree.search(17) # ✅ 키 17 발견! (디스크 I/O: 2회)
tree.search(99) # ❌ 키 99 없음
print("\n=== B-Tree 범위 검색 ===")
results = tree.range_search(10, 30)
print(f" 결과: {sorted(results)}")
# 🔍 범위 [10, 30]: 6건 발견
# 결과: [10, 12, 15, 17, 20, 25, 30]
import java.util.*;
/**
* Java TreeMap(Red-Black Tree)을 활용한 인덱스 동작 시뮬레이터.
* 실제 B-Tree 대신 TreeMap으로 인덱스의 핵심 개념을 체험한다.
*
* 핵심 포인트:
* - NavigableMap의 subMap → 범위 검색
* - Composite Key → 복합 인덱스
* - Covering Index → 인덱스만으로 쿼리 응답
*/
public class IndexSimulator {
// 테이블 데이터 (Heap 저장 시뮬레이션)
private final Map<Long, Map<String, Object>> heap = new LinkedHashMap<>();
// 단일 컬럼 인덱스: customer_id → Set<rowId>
private final TreeMap<Long, Set<Long>> idxCustomer = new TreeMap<>();
// 복합 인덱스: "customerId:status" → Set<rowId>
private final TreeMap<String, Set<Long>> idxCustStatus = new TreeMap<>();
private long nextRowId = 1;
private int ioCount = 0;
// ── INSERT ──
public void insert(long customerId, String status, String orderDate, double totalPrice) {
long rowId = nextRowId++;
// Heap에 행 저장
Map<String, Object> row = Map.of(
"id", rowId,
"customer_id", customerId,
"status", status,
"order_date", orderDate,
"total_price", totalPrice
);
heap.put(rowId, row);
// 인덱스 갱신 — INSERT 시 인덱스 유지 비용 발생
idxCustomer.computeIfAbsent(customerId, k -> new HashSet<>()).add(rowId);
String compositeKey = customerId + ":" + status;
idxCustStatus.computeIfAbsent(compositeKey, k -> new HashSet<>()).add(rowId);
}
// ── Full Table Scan (인덱스 없이) ──
public List<Map<String, Object>> fullTableScan(String column, Object value) {
ioCount = 0;
List<Map<String, Object>> results = new ArrayList<>();
for (Map<String, Object> row : heap.values()) {
ioCount++; // 행 하나 읽을 때마다 I/O
if (value.equals(row.get(column))) {
results.add(row);
}
}
System.out.printf(" [Full Scan] %d건 발견, I/O: %d회%n", results.size(), ioCount);
return results;
}
// ── Index Scan (customer_id 인덱스 사용) ──
public List<Map<String, Object>> indexScan(long customerId) {
ioCount = 0;
List<Map<String, Object>> results = new ArrayList<>();
ioCount++; // 인덱스 트리 탐색 = 1 I/O (실제론 log N)
Set<Long> rowIds = idxCustomer.getOrDefault(customerId, Set.of());
for (Long rowId : rowIds) {
ioCount++; // Row Pointer로 Heap 접근 = 추가 I/O
results.add(heap.get(rowId));
}
System.out.printf(" [Index Scan] %d건 발견, I/O: %d회%n", results.size(), ioCount);
return results;
}
// ── Range Scan (인덱스 범위 검색) ──
public List<Map<String, Object>> rangeScan(long fromCustomerId, long toCustomerId) {
ioCount = 0;
List<Map<String, Object>> results = new ArrayList<>();
ioCount++; // 인덱스 범위 탐색 시작점 찾기
NavigableMap<Long, Set<Long>> subMap =
idxCustomer.subMap(fromCustomerId, true, toCustomerId, true);
for (Set<Long> rowIds : subMap.values()) {
for (Long rowId : rowIds) {
ioCount++;
results.add(heap.get(rowId));
}
}
System.out.printf(" [Range Scan] 범위 [%d, %d]: %d건, I/O: %d회%n",
fromCustomerId, toCustomerId, results.size(), ioCount);
return results;
}
// ── 실행 & 비교 ──
public static void main(String[] args) {
IndexSimulator sim = new IndexSimulator();
// 10만 건 데이터 삽입
String[] statuses = {"pending", "completed", "shipped", "cancelled"};
Random rng = new Random(42);
for (int i = 0; i < 100_000; i++) {
sim.insert(
rng.nextInt(1000), // customer_id: 0~999
statuses[rng.nextInt(4)],
"2026-01-" + String.format("%02d", rng.nextInt(28) + 1),
rng.nextDouble() * 1000
);
}
System.out.println("=== Full Table Scan vs Index Scan ===");
System.out.println("WHERE customer_id = 42:");
sim.fullTableScan("customer_id", 42L); // I/O: 100,000회
sim.indexScan(42); // I/O: ~100회
System.out.println("\n=== Range Scan ===");
sim.rangeScan(40, 45);
}
}
| 연산 | B-Tree (평균) | B-Tree (최악) | Hash (평균) | Hash (최악) |
|---|---|---|---|---|
포인트 검색 (=) |
O(log N) | O(log N) | O(1) | O(N) |
| 범위 검색 | O(log N + K) | O(log N + K) | ❌ 불가 | ❌ 불가 |
| 삽입 | O(log N) | O(log N) | O(1) | O(N) |
| 삭제 | O(log N) | O(log N) | O(1) | O(N) |
| 정렬 (ORDER BY) | O(1) 이미 정렬됨 | O(1) | ❌ 불가 | ❌ 불가 |
K = 범위 검색 결과 건수. B-Tree는 시작점만 O(log N)에 찾고, 이후 리프 Linked List를 K만큼 순차 스캔한다.
xychart-beta
title "100만 행 테이블 — 쿼리 방식별 디스크 I/O 비교 (로그 스케일 근사)"
x-axis ["Point Query", "Range (1K rows)", "Full Scan"]
y-axis "디스크 I/O 횟수" 0 --> 100
bar "B-Tree Index" [4, 12, 100]
bar "No Index" [100, 100, 100]
인덱스는 공짜가 아니다. 모든 인덱스는 읽기 성능 ↔ 쓰기 비용 사이의 트레이드오프다.
| 항목 | 영향 |
|---|---|
| 디스크 공간 | 테이블 크기의 10~30% 추가 (컬럼 수·타입에 따라 다름) |
| INSERT 성능 | 인덱스 1개당 ~10% 느려짐 (B-Tree 노드 분할 가능) |
| UPDATE 성능 | 인덱스 컬럼 변경 시 삭제+삽입 발생 |
| DELETE 성능 | 인덱스에서도 해당 엔트리 제거 필요 |
경험 법칙: 한 테이블에 인덱스가 5개를 넘으면 쓰기 성능을 반드시 벤치마크하라.
# models.py
class Order(models.Model):
customer_id = models.BigIntegerField(db_index=True) # 단일 인덱스
status = models.CharField(max_length=20)
order_date = models.DateField()
total_price = models.DecimalField(max_digits=10, decimal_places=2)
class Meta:
indexes = [
# 복합 인덱스
models.Index(
fields=['customer_id', 'status', 'order_date'],
name='idx_order_cust_status_date'
),
# 조건부 인덱스 (PostgreSQL Partial Index)
models.Index(
fields=['customer_id', 'order_date'],
condition=models.Q(status='pending'),
name='idx_order_active'
),
]
@Entity
@Table(name = "orders", indexes = {
@Index(name = "idx_orders_customer", columnList = "customerId"),
@Index(name = "idx_orders_cust_status", columnList = "customerId, status")
})
public class Order {
@Id @GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
@Column(nullable = false)
private Long customerId;
@Column(nullable = false, length = 20)
private String status;
@Column(nullable = false)
private LocalDate orderDate;
@Column(nullable = false, precision = 10, scale = 2)
private BigDecimal totalPrice;
}
증상: 주문 목록 API 응답 8초 → 서비스 타임아웃
-- 문제: orders.customer_id에 인덱스 없음 + N+1 쿼리
-- ORM이 고객마다 개별 쿼리 발생 → 고객 1,000명 × Full Scan
SELECT * FROM orders WHERE customer_id = 1; -- Full Scan
SELECT * FROM orders WHERE customer_id = 2; -- Full Scan
-- ... 1,000번 반복
-- 해결 1: 인덱스 추가
CREATE INDEX idx_orders_customer ON orders (customer_id);
-- 해결 2: JOIN으로 1회 쿼리
SELECT o.* FROM orders o
JOIN customers c ON c.id = o.customer_id
WHERE c.region = 'KR';
결과: 8초 → 50ms (160배 개선)
-- 복합 인덱스: (customer_id, status, order_date)
-- ✅ 인덱스 활용됨 — 좌측부터 순서대로 사용
WHERE customer_id = 42
WHERE customer_id = 42 AND status = 'completed'
WHERE customer_id = 42 AND status = 'completed' AND order_date > '2026-01-01'
-- ❌ 인덱스 활용 안 됨 — customer_id를 건너뛰었다
WHERE status = 'completed'
WHERE order_date > '2026-01-01'
WHERE status = 'completed' AND order_date > '2026-01-01'
복합 인덱스는 전화번호부와 같다. “성 → 이름 → 생년” 순서로 정렬되어 있으면 “이름”만으로는 찾을 수 없다. 반드시 왼쪽부터 순서대로 조건을 걸어야 한다.
-- ❌ 인덱스 무력화 — 컬럼에 함수를 씌우면 B-Tree를 탈 수 없다
WHERE YEAR(order_date) = 2026
WHERE UPPER(status) = 'COMPLETED'
WHERE customer_id + 1 = 43
-- ✅ 인덱스 활용 — 상수 쪽을 변환하라
WHERE order_date >= '2026-01-01' AND order_date < '2027-01-01'
WHERE status = 'completed' -- 데이터를 소문자로 통일
WHERE customer_id = 42
인덱스는 성능뿐 아니라 보안과도 연결된다.
| 위협 | 설명 | 대응 |
|---|---|---|
| 타이밍 공격 | 인덱스 유무에 따라 응답 시간이 달라져 컬럼 존재 여부를 추론할 수 있다 | 민감 컬럼 조회에 일정한 지연 추가 |
| 사이드 채널 | EXPLAIN 출력으로 테이블 구조, 행 수, 인덱스 정보가 노출된다 |
프로덕션에서 EXPLAIN 권한 제한 |
| Slow Query DoS | 인덱스를 우회하는 쿼리를 의도적으로 반복하여 DB 부하 유발 | WAF + Rate Limiting + 슬로우 쿼리 모니터링 |
아닙니다. 인덱스에는 유지 비용이 있어서, 쓰기(INSERT/UPDATE/DELETE)가 잦은 테이블에 인덱스를 과도하게 걸면 오히려 전체 처리량(throughput)이 떨어집니다. 또 전체 행의 20% 이상을 읽어야 하는 쿼리에서는 옵티마이저가 인덱스 대신 Full Scan을 선택하는 게 더 효율적입니다. 인덱스는 읽기 성능과 쓰기 비용의 트레이드오프입니다.
Clustered Index는 테이블 데이터 자체가 인덱스 키 순서로 물리 정렬됩니다. InnoDB에서 Primary Key가 곧 Clustered Index이며, 테이블당 1개만 가능합니다. Non-Clustered Index는 별도 공간에 키+포인터를 저장하고, 포인터를 따라 실제 행에 접근합니다. Clustered가 한 단계 적으니 더 빠르지만, PK 외의 검색 조건에는 Secondary Index가 필수입니다.
쿼리의 SELECT, WHERE, ORDER BY에 사용되는 모든 컬럼이 인덱스 안에 포함되어, 테이블(Heap/Clustered)에 전혀 접근하지 않고 인덱스만으로 결과를 반환하는 것입니다. MySQL EXPLAIN에서 Extra: Using index로 확인됩니다. 디스크 랜덤 I/O를 완전히 제거하므로 성능 향상이 극적이지만, 인덱스 크기가 커져 메모리와 쓰기 비용이 증가하는 트레이드오프가 있습니다.
좌측 접두사 규칙(Leftmost Prefix Rule) 때문에 순서가 매우 중요합니다. 기본 원칙은: ① 등호(=) 조건에 사용되는 컬럼을 앞에, ② 범위 조건에 사용되는 컬럼을 뒤에 배치합니다. 범위 조건 이후의 컬럼은 인덱스를 활용하지 못하기 때문입니다. 또한 Cardinality(고유 값 수)가 높은 컬럼을 앞에 두면 초기 필터링 효율이 올라갑니다.
운영 중인 DB의 인덱스 전략은 모니터링 기반이어야 합니다. ① 슬로우 쿼리 로그를 수집하고 EXPLAIN ANALYZE로 병목을 분석합니다. ② pg_stat_user_indexes(PostgreSQL)나 sys.dm_db_index_usage_stats(SQL Server)로 사용되지 않는 인덱스를 주기적으로 정리합니다. 쓰이지 않는 인덱스는 공간 낭비에 쓰기 성능만 떨어뜨립니다. ③ 대량 INSERT 배치 작업 전에는 인덱스를 DROP 후 재생성하는 것이 빠릅니다. ④ Online DDL(ALTER TABLE ... ALGORITHM=INPLACE)을 활용해 서비스 무중단 인덱스 추가를 합니다.
InnoDB 테이블은 Clustered Index 자체가 테이블이다. 리프 노드에 행 데이터 전체가 저장되어 있어, PK 검색은 인덱스 탐색 = 데이터 접근이라는 점에서 추가 I/O가 없다.
Secondary Index의 리프에는 PK 값이 Row Pointer로 들어간다. 따라서 Secondary Index로 검색하면 이중 탐색(Double Lookup)이 발생한다:
Secondary Index 탐색 → PK 값 획득 → Clustered Index 재탐색 → 행 데이터 접근
이 이중 탐색 비용 때문에 커버링 인덱스의 가치가 더 높다. 커버링 인덱스는 두 번째 탐색 자체를 제거하기 때문이다.
MySQL 5.6+에서 도입된 최적화. 과거에는 인덱스에서 행을 먼저 꺼낸 뒤 서버 레이어에서 추가 조건을 필터링했다. ICP는 스토리지 엔진 레벨에서 인덱스 컬럼 기반 필터링을 먼저 수행해, 불필요한 행 접근을 줄인다.
-- 복합 인덱스: (customer_id, status, order_date)
-- ICP 없이: customer_id로 인덱스 탐색 → 모든 행 fetch → 서버에서 status 필터
-- ICP 있음: 인덱스 레벨에서 status 조건까지 평가 → 매칭되는 행만 fetch
EXPLAIN SELECT * FROM orders
WHERE customer_id = 42
AND status LIKE 'comp%'
AND total_price > 100;
-- Extra: Using index condition ← ICP 활성화 표시
-- PostgreSQL: 미사용 인덱스 탐지
SELECT
schemaname || '.' || relname AS table_name,
indexrelname AS index_name,
pg_size_pretty(pg_relation_size(indexrelid)) AS index_size,
idx_scan AS times_used,
idx_tup_read AS tuples_read
FROM pg_stat_user_indexes
WHERE idx_scan = 0 -- 한 번도 사용되지 않은 인덱스
AND schemaname = 'public'
ORDER BY pg_relation_size(indexrelid) DESC;
-- 결과 예시:
-- table_name | index_name | index_size | times_used | tuples_read
-- orders | idx_orders_legacy | 256 MB | 0 | 0
-- ↑ 256MB를 차지하면서 한 번도 사용되지 않는 인덱스 → DROP 대상
| 난이도 | 문제 | 링크 |
|---|---|---|
| Easy | 175. Combine Two Tables (JOIN + 인덱스 활용) | LeetCode |
| Easy | 1757번: 달려라 홍준 (구간 탐색 기초) | 백준 |
| Medium | 1179. Reformat Department Table (PIVOT + 쿼리 최적화) | LeetCode |
| Medium | 2750번: 수 정렬하기 (정렬 알고리즘 ↔ B-Tree 정렬 연결) | 백준 |
| Hard | 262. Trips and Users (다중 JOIN + 인덱스 전략) | LeetCode |
한 줄 요약: 힙(Heap)은 “가장 중요한 것을 항상 맨 위에 두는” 완전 이진 트리이며, 우선순위 큐의 가장 효율적인 구현체다. 난이도: ⭐⭐⭐ | 카테고리: DataStructure | 키워드: 최소힙, 최대힙, 힙 정렬, heapify, 우선순위 큐
🐝 HoneyByte CS Study 자료구조 시리즈 작성일: 2026-04-01 카테고리: DataStructure
병원 응급실을 떠올려보자. 환자가 도착한 순서대로 진료하는 게 아니라, 증상이 가장 심각한 환자부터 먼저 치료한다. 줄을 선 순서(일반 큐)가 아니라 긴급도(우선순위)가 순서를 결정하는 것이다.
프로그래밍에서도 똑같은 상황이 수시로 발생한다:
이때 배열을 매번 정렬하면? N개 원소에 대해 매 삽입/삭제마다 O(N log N)이 든다. 하지만 힙을 쓰면 삽입과 삭제 모두 O(log N), 최솟값/최댓값 조회는 O(1)에 해결된다. 이것이 힙이 필요한 핵심 이유다.
힙은 완전 이진 트리(Complete Binary Tree) 형태를 유지하면서, 부모-자식 간에 특정 대소 관계(힙 속성)를 만족하는 자료구조다.
| 용어 | 정의 |
|---|---|
| 완전 이진 트리 | 마지막 레벨을 제외한 모든 레벨이 꽉 차 있고, 마지막 레벨은 왼쪽부터 채워진 트리 |
| 최소힙 (Min Heap) | 부모 ≤ 자식. 루트가 전체 최솟값 |
| 최대힙 (Max Heap) | 부모 ≥ 자식. 루트가 전체 최댓값 |
| Heapify | 힙 속성이 깨진 노드를 올바른 위치로 이동시키는 연산 |
| Sift Up (Bubble Up) | 삽입 시 새 노드를 위로 올리며 힙 속성 복원 |
| Sift Down (Bubble Down) | 삭제 시 루트 노드를 아래로 내리며 힙 속성 복원 |
힙은 완전 이진 트리이므로 배열 하나로 표현할 수 있다. 포인터가 필요 없어 메모리 효율적이다.
인덱스 0부터 시작할 때:
- 부모: (i - 1) // 2
- 왼쪽 자식: 2 * i + 1
- 오른쪽 자식: 2 * i + 2
예시 — 최소힙 [1, 3, 5, 7, 9, 8]:
1 ← index 0 (루트, 최솟값)
/ \
3 5 ← index 1, 2
/ \ /
7 9 8 ← index 3, 4, 5
| 우선순위 큐 (Priority Queue) | 힙 (Heap) | |
|---|---|---|
| 정체 | 추상 자료형 (ADT) — “무엇을 하는가”를 정의 | 자료구조 — “어떻게 구현하는가”를 정의 |
| 핵심 연산 | insert, extract_min/max, peek | sift_up, sift_down, heapify |
| 관계 | 인터페이스 | 가장 효율적인 구현체 |
비유: “우선순위 큐”는 식당 메뉴판(스펙)이고, “힙”은 실제 요리법(구현)이다.
삽입 (Insert)
삭제 (Extract Min/Max)
Build Heap (Heapify)
n//2 - 1)부터 역순으로 Sift Downgraph TD
subgraph "Step 1: 배열 끝에 2 삽입"
A1((1)) --> B1((3))
A1 --> C1((5))
B1 --> D1((7))
B1 --> E1((9))
C1 --> F1((8))
C1 --> G1((2))
style G1 fill:#ff6b6b,color:#fff
end
subgraph "Step 2: Sift Up — 부모 5와 비교, 2 < 5 → 교환"
A2((1)) --> B2((3))
A2 --> C2((2))
B2 --> D2((7))
B2 --> E2((9))
C2 --> F2((8))
C2 --> G2((5))
style C2 fill:#ff6b6b,color:#fff
end
subgraph "Step 3: Sift Up — 부모 1과 비교, 2 > 1 → 정지 ✅"
A3((1)) --> B3((3))
A3 --> C3((2))
B3 --> D3((7))
B3 --> E3((9))
C3 --> F3((8))
C3 --> G3((5))
style C3 fill:#51cf66,color:#fff
end
flowchart LR
subgraph 삽입
I1[배열 끝에 추가] --> I2[Sift Up]
I2 --> I3[힙 속성 복원]
end
subgraph 삭제
D1[루트 제거] --> D2[마지막 원소를 루트로]
D2 --> D3[Sift Down]
D3 --> D4[힙 속성 복원]
end
subgraph Build
B1[임의 배열] --> B2["n//2-1부터 역순"]
B2 --> B3[각 노드 Sift Down]
B3 --> B4["O(N)에 힙 완성"]
end
"""
MinHeap & HeapSort — 배열 기반 완전 구현
"""
class MinHeap:
"""최소힙: 부모 <= 자식을 항상 유지하는 완전 이진 트리"""
def __init__(self):
self._data: list[int] = []
def __len__(self) -> int:
return len(self._data)
def __bool__(self) -> bool:
return len(self._data) > 0
def peek(self) -> int:
"""최솟값 조회 — O(1)"""
if not self._data:
raise IndexError("heap is empty")
return self._data[0]
def push(self, value: int) -> None:
"""삽입 — O(log N)"""
self._data.append(value)
self._sift_up(len(self._data) - 1)
def pop(self) -> int:
"""최솟값 추출 — O(log N)"""
if not self._data:
raise IndexError("heap is empty")
# 루트와 마지막 원소 교환 후 제거
root = self._data[0]
last = self._data.pop()
if self._data:
self._data[0] = last
self._sift_down(0)
return root
def push_pop(self, value: int) -> int:
"""push 후 pop — 최적화된 O(log N)"""
if self._data and self._data[0] < value:
# 새 값이 현재 최솟값보다 크면, 루트를 교체하고 sift down
result = self._data[0]
self._data[0] = value
self._sift_down(0)
return result
# 새 값이 최솟값 이하면 그대로 반환
return value
def _sift_up(self, index: int) -> None:
"""새로 삽입된 노드를 위로 올림"""
while index > 0:
parent = (index - 1) // 2
if self._data[index] < self._data[parent]:
self._data[index], self._data[parent] = (
self._data[parent],
self._data[index],
)
index = parent
else:
break
def _sift_down(self, index: int) -> None:
"""루트 노드를 아래로 내림"""
size = len(self._data)
while True:
smallest = index
left = 2 * index + 1
right = 2 * index + 2
if left < size and self._data[left] < self._data[smallest]:
smallest = left
if right < size and self._data[right] < self._data[smallest]:
smallest = right
if smallest == index:
break
self._data[index], self._data[smallest] = (
self._data[smallest],
self._data[index],
)
index = smallest
@staticmethod
def heapify(arr: list[int]) -> "MinHeap":
"""임의 배열 → 최소힙 변환 — O(N)"""
heap = MinHeap()
heap._data = list(arr) # 원본 불변 — 새 리스트 생성
# 마지막 내부 노드부터 역순으로 sift down
for i in range(len(arr) // 2 - 1, -1, -1):
heap._sift_down(i)
return heap
def __repr__(self) -> str:
return f"MinHeap({self._data})"
def heap_sort(arr: list[int]) -> list[int]:
"""
힙 정렬 — O(N log N), 불안정 정렬
원본 배열을 변경하지 않고 정렬된 새 리스트 반환
"""
heap = MinHeap.heapify(arr)
return [heap.pop() for _ in range(len(heap))]
# ── 사용 예시 ──
if __name__ == "__main__":
# 기본 사용
h = MinHeap()
for v in [5, 3, 8, 1, 9, 2]:
h.push(v)
print(f"힙 상태: {h}") # MinHeap([1, 3, 2, 5, 9, 8])
print(f"최솟값: {h.peek()}") # 1
print(f"추출: {h.pop()}") # 1
print(f"추출 후: {h}") # MinHeap([2, 3, 8, 5, 9])
# heapify
data = [9, 7, 5, 3, 1, 8, 6]
built = MinHeap.heapify(data)
print(f"\nheapify 결과: {built}") # MinHeap([1, 3, 5, 9, 7, 8, 6])
# 힙 정렬
unsorted = [38, 27, 43, 3, 9, 82, 10]
print(f"\n정렬 전: {unsorted}")
print(f"정렬 후: {heap_sort(unsorted)}") # [3, 9, 10, 27, 38, 43, 82]
# Python 표준 라이브러리 heapq 활용
import heapq
nums = [5, 3, 8, 1, 9]
heapq.heapify(nums) # in-place O(N) 변환
heapq.heappush(nums, 2) # 삽입
smallest = heapq.heappop(nums) # 추출
top3 = heapq.nsmallest(3, nums) # 상위 k개
print(f"\nheapq — 최솟값: {smallest}, 상위 3개: {top3}")
import java.util.Arrays;
import java.util.PriorityQueue;
import java.util.Collections;
/**
* MinHeap — 배열 기반 완전 구현
*/
public class MinHeap {
private int[] data;
private int size;
private int capacity;
public MinHeap(int capacity) {
this.capacity = capacity;
this.data = new int[capacity];
this.size = 0;
}
// ── 인덱스 계산 ──
private int parent(int i) { return (i - 1) / 2; }
private int leftChild(int i) { return 2 * i + 1; }
private int rightChild(int i) { return 2 * i + 2; }
// ── 핵심 연산 ──
/** 최솟값 조회 — O(1) */
public int peek() {
if (size == 0) {
throw new IllegalStateException("Heap is empty");
}
return data[0];
}
/** 삽입 — O(log N) */
public void push(int value) {
if (size == capacity) {
// 용량 초과 시 2배 확장 (amortized O(1))
capacity *= 2;
data = Arrays.copyOf(data, capacity);
}
data[size] = value;
siftUp(size);
size++;
}
/** 최솟값 추출 — O(log N) */
public int pop() {
if (size == 0) {
throw new IllegalStateException("Heap is empty");
}
int root = data[0];
size--;
data[0] = data[size];
siftDown(0);
return root;
}
/** Sift Up — 삽입 시 힙 속성 복원 */
private void siftUp(int index) {
while (index > 0 && data[index] < data[parent(index)]) {
swap(index, parent(index));
index = parent(index);
}
}
/** Sift Down — 삭제 시 힙 속성 복원 */
private void siftDown(int index) {
while (true) {
int smallest = index;
int left = leftChild(index);
int right = rightChild(index);
if (left < size && data[left] < data[smallest]) {
smallest = left;
}
if (right < size && data[right] < data[smallest]) {
smallest = right;
}
if (smallest == index) {
break;
}
swap(index, smallest);
index = smallest;
}
}
private void swap(int i, int j) {
int temp = data[i];
data[i] = data[j];
data[j] = temp;
}
/** 임의 배열 → 최소힙 변환 — O(N) */
public static MinHeap heapify(int[] arr) {
MinHeap heap = new MinHeap(arr.length);
heap.data = Arrays.copyOf(arr, arr.length); // 원본 불변
heap.size = arr.length;
heap.capacity = arr.length;
// 마지막 내부 노드부터 역순으로 sift down
for (int i = arr.length / 2 - 1; i >= 0; i--) {
heap.siftDown(i);
}
return heap;
}
/** 힙 정렬 — O(N log N) */
public static int[] heapSort(int[] arr) {
MinHeap heap = heapify(arr);
int[] sorted = new int[arr.length];
for (int i = 0; i < arr.length; i++) {
sorted[i] = heap.pop();
}
return sorted;
}
public int size() { return size; }
public boolean isEmpty() { return size == 0; }
@Override
public String toString() {
return "MinHeap" + Arrays.toString(Arrays.copyOf(data, size));
}
// ── 실행 예시 ──
public static void main(String[] args) {
// 직접 구현 사용
MinHeap heap = new MinHeap(10);
for (int v : new int[]{5, 3, 8, 1, 9, 2}) {
heap.push(v);
}
System.out.println("힙 상태: " + heap); // [1, 3, 2, 5, 9, 8]
System.out.println("최솟값: " + heap.peek()); // 1
System.out.println("추출: " + heap.pop()); // 1
// heapify
int[] data = {9, 7, 5, 3, 1, 8, 6};
MinHeap built = MinHeap.heapify(data);
System.out.println("\nheapify: " + built);
// 힙 정렬
int[] unsorted = {38, 27, 43, 3, 9, 82, 10};
int[] sorted = MinHeap.heapSort(unsorted);
System.out.println("정렬: " + Arrays.toString(sorted));
// ── Java 표준 라이브러리 PriorityQueue ──
System.out.println("\n--- java.util.PriorityQueue ---");
// 최소힙 (기본)
PriorityQueue<Integer> minPQ = new PriorityQueue<>();
minPQ.addAll(Arrays.asList(5, 3, 8, 1, 9));
System.out.println("Min PQ poll: " + minPQ.poll()); // 1
// 최대힙 (역순 Comparator)
PriorityQueue<Integer> maxPQ = new PriorityQueue<>(Collections.reverseOrder());
maxPQ.addAll(Arrays.asList(5, 3, 8, 1, 9));
System.out.println("Max PQ poll: " + maxPQ.poll()); // 9
}
}
| 연산 | 평균 | 최악 | 비고 |
|---|---|---|---|
| peek (최솟값/최댓값 조회) | O(1) | O(1) | 루트 접근 |
| push (삽입) | O(log N) | O(log N) | Sift Up, 트리 높이만큼 |
| pop (추출) | O(log N) | O(log N) | Sift Down, 트리 높이만큼 |
| heapify (배열 → 힙) | O(N) | O(N) | Bottom-up 구성 |
| 힙 정렬 | O(N log N) | O(N log N) | heapify O(N) + N번 pop O(log N) |
| 임의 원소 탐색 | O(N) | O(N) | 힙은 부분 정렬이므로 선형 탐색 필요 |
공간복잡도: O(N) — 배열 하나로 저장
xychart-beta
title "삽입/삭제/조회 시간복잡도 비교 (log 스케일 기준, N=1000)"
x-axis ["삽입", "최솟값 조회", "최솟값 삭제", "임의 탐색"]
y-axis "연산 횟수 (log N 기준)" 0 --> 12
bar "정렬 배열" [10, 1, 1, 10]
bar "힙" [10, 1, 10, 10]
bar "BST (균형)" [10, 10, 10, 10]
bar "비정렬 배열" [1, 10, 10, 10]
해석: 힙은 “삽입 + 최솟값 조회/삭제”의 균형 잡힌 성능이 강점이다. 정렬 배열은 조회가 빠르지만 삽입이 느리고, 비정렬 배열은 삽입이 빠르지만 조회가 느리다. 힙은 두 연산 모두 O(log N)으로 타협점을 찾는다.
“모든 노드에 sift down하니까 O(N log N) 아닌가?”라고 생각하기 쉽다. 핵심은 대부분의 노드가 트리 아래쪽에 있다는 점이다:
| 레벨 (위→아래) | 노드 수 | sift down 최대 거리 |
|---|---|---|
| 0 (루트) | 1개 | h (전체 높이) |
| 1 | 2개 | h - 1 |
| … | … | … |
| h - 1 | ~N/4개 | 1 |
| h (리프) | ~N/2개 | 0 (작업 없음) |
노드의 절반(리프)은 아무 작업도 하지 않고, 1/4은 1칸만 내려간다. 이 급수를 합산하면 총 작업량이 O(N)으로 수렴한다.
import heapq
def dijkstra(graph: dict[str, list[tuple[str, int]]], start: str) -> dict[str, int]:
"""우선순위 큐 기반 다익스트라 — O((V + E) log V)"""
distances = {node: float('inf') for node in graph}
distances[start] = 0
pq = [(0, start)] # (거리, 노드)
while pq:
current_dist, current = heapq.heappop(pq)
# 이미 더 짧은 경로를 찾았다면 스킵
if current_dist > distances[current]:
continue
for neighbor, weight in graph[current]:
distance = current_dist + weight
if distance < distances[neighbor]:
distances[neighbor] = distance
heapq.heappush(pq, (distance, neighbor))
return distances
import heapq
def top_k_frequent(nums: list[int], k: int) -> list[int]:
"""빈도 기준 상위 K개 — 크기 K 최소힙 유지"""
from collections import Counter
freq = Counter(nums)
# 크기 K의 최소힙: 빈도가 가장 낮은 것이 루트
# 새 원소의 빈도가 루트보다 크면 교체
return heapq.nlargest(k, freq.keys(), key=freq.get)
| 언어/프레임워크 | 힙/우선순위 큐 | 특징 |
|---|---|---|
| Python | heapq 모듈 |
최소힙만 지원. 최대힙은 -value로 우회 |
| Java | java.util.PriorityQueue |
최소힙 기본, Comparator로 최대힙 전환 |
| C++ | std::priority_queue |
최대힙 기본 (주의!) |
| Go | container/heap 인터페이스 |
heap.Interface 구현 필요 |
| JavaScript | 내장 없음 | 직접 구현하거나 라이브러리 사용 |
heapq는 thread-safe하지 않다. 멀티스레드 환경에서는 queue.PriorityQueue(내부적으로 Lock + heapq) 사용heapq.nlargest(k, iterable)는 k가 작을 때만 효율적. k가 전체 크기에 가까우면 sorted()가 더 빠름| 난이도 | 문제 | 링크 | 핵심 포인트 |
|---|---|---|---|
| Easy | Kth Largest Element in a Stream | LeetCode 703 | 크기 K 최소힙 유지 |
| Easy | Last Stone Weight | LeetCode 1046 | 최대힙 시뮬레이션 |
| Medium | Top K Frequent Elements | LeetCode 347 | 빈도 + 힙 조합 |
| Medium | K Closest Points to Origin | LeetCode 973 | 거리 기준 Top-K |
| Medium | Task Scheduler | LeetCode 621 | 최대힙 + 그리디 |
| Hard | Find Median from Data Stream | LeetCode 295 | 최소힙 + 최대힙 두 개 |
| Medium | 최소 힙 | 백준 1927 | 기본 최소힙 구현 |
| Gold | 가운데를 말해요 | 백준 1655 | 중앙값 유지 (힙 2개) |
Sources:
]]>코드 리뷰를 무서워하거나, 귀찮아하거나, 형식적으로 처리하고 있다면 팀이 성장할 수 없다. 좋은 리뷰 문화는 개인 코딩 실력보다 팀 전체 품질을 높이는 가장 강력한 도구다.
효과적인 코드 리뷰는 작은 PR + 명확한 피드백 + 자동화 세 축으로 구성된다. Google의 eng-practices에 따르면 “리뷰어는 코드베이스 전반의 품질을 올리는 방향으로 승인하되, 완벽주의로 리뷰를 지연하지 말라”고 한다. 실무에서는 200줄 이하 PR, NITS/BLOCKING 피드백 구분, 린트·테스트·커버리지 자동화로 사람이 판단해야 하는 리뷰에만 집중한다.
graph LR
CR["코드 리뷰"]
CR --> Q["🔍 품질 향상\n버그 조기 발견\n설계 문제 식별"]
CR --> K["📚 지식 공유\n도메인 지식 전파\n온보딩 가속화"]
CR --> S["🛡️ 집단 소유권\n코드베이스 공동 책임\n버스 팩터 감소"]
CR --> C["💬 문화\n심리적 안전감\n솔직한 피드백 연습"]
Q --> ROI["팀 생산성\n& 소프트웨어 품질"]
K --> ROI
S --> ROI
C --> ROI
style CR fill:#6db33f,color:#fff,stroke:#5a9a2e
style Q fill:#bbdefb,stroke:#1565c0
style K fill:#c8e6c9,stroke:#388e3c
style S fill:#fff9c4,stroke:#f9a825
style C fill:#fce4ec,stroke:#c62828
style ROI fill:#fff3e0,stroke:#e65100
버스 팩터(Bus Factor): 핵심 개발자 1명이 갑자기 팀을 떠났을 때 프로젝트가 얼마나 유지될 수 있는가. 코드 리뷰는 팀 전체가 코드베이스를 이해하게 하여 버스 팩터를 높인다.
❌ 나쁜 PR:
- 5개 기능을 한 PR에 묶음
- 2,000줄 변경
- "다음 스프린트 기능 + 리팩토링 + 버그 픽스 한 번에"
✅ 좋은 PR:
- 하나의 목적 (기능/버그/리팩토링)
- 200줄 이하 변경 권장
- 리뷰 시간 15~30분 목표
왜 200줄인가? 연구에 따르면 400줄 이상에서 버그 발견율이 급격히 떨어진다. 사람의 집중력에는 한계가 있고, 작은 PR일수록 리뷰어가 맥락을 빠르게 파악한다.
<!-- .github/PULL_REQUEST_TEMPLATE.md -->
## 📌 변경 요약
<!-- 이 PR이 무엇을 하는지 한 문장으로 -->
## 🎯 변경 이유
<!-- 왜 이 변경이 필요한가? (이슈 링크, 배경) -->
Closes #이슈번호
## 📦 변경 범위
- [ ] 새 기능 (breaking change 없음)
- [ ] 버그 픽스
- [ ] 리팩토링 (기능 변경 없음)
- [ ] 문서 수정
- [ ] 테스트 추가/수정
## 🔍 주요 변경 파일
<!-- 리뷰어가 먼저 봐야 할 파일 목록 -->
- `src/service/OrderService.java` — 주문 취소 로직 추가
- `src/controller/OrderController.java` — 취소 API 엔드포인트
## ✅ 테스트
<!-- 어떻게 테스트했는가? -->
- [ ] 단위 테스트 추가/수정
- [ ] 통합 테스트 확인
- [ ] 로컬 API 테스트 (curl 명령어 포함 시 더 좋음)
```bash
curl -X DELETE http://localhost:8081/api/v1/orders/1 \
-H "Authorization: Bearer $TOKEN"
OrderService.cancel() 메서드의 트랜잭션 범위 결정 — 더 좋은 방법이 있을까요?
### 커밋 메시지 컨벤션 (Conventional Commits)
```bash
# 형식: <type>(<scope>): <description>
# type: feat, fix, refactor, test, docs, chore, perf
# ✅ 좋은 예
feat(order): 주문 취소 API 추가 (#123)
fix(auth): JWT 만료 토큰 처리 오류 수정
refactor(product): ProductService N+1 쿼리 최적화
test(member): 회원 가입 중복 이메일 테스트 케이스 추가
docs(api): 주문 API OpenAPI 명세 업데이트
# ❌ 나쁜 예
git commit -m "수정"
git commit -m "fix bug"
git commit -m "WIP"
git commit -m "여러 가지 수정"
리뷰 댓글에 명확한 레이블을 붙이면 작성자가 우선순위를 파악하기 쉽다.
# 피드백 레이블 컨벤션
[BLOCKING] 반드시 수정 필요 — 머지 불가
[BLOCKING] 이 구현은 N+1 쿼리가 발생합니다.
findAll() 후 루프에서 getSomething()을 호출하고 있어
데이터 100개면 쿼리 101번이 나갑니다.
Fetch Join이나 @EntityGraph를 사용해주세요.
[SUGGEST] 더 나은 방법이 있지만 선택은 작성자에게
[SUGGEST] Optional.orElseThrow(IllegalArgumentException::new) 대신
커스텀 예외를 사용하면 에러 코드가 명확해질 것 같습니다.
현재 방식도 동작은 합니다.
[NIT] 사소한 스타일, 네이밍, 포맷 이슈 — 취향 차이
[NIT] getUser → findUser로 이름 변경하면 더 관용적이지만
팀 컨벤션에 따르세요.
[QUESTION] 이해를 위한 질문 — 수정 불필요
[QUESTION] 여기서 REQUIRES_NEW를 쓴 이유가 있나요?
부모 트랜잭션과 분리가 필요한 케이스인가요?
[PRAISE] 좋은 코드에 칭찬
[PRAISE] 이 캐싱 전략 깔끔합니다! 배웠습니다 👍
✅ 리뷰어가 봐야 하는 것
├── 버그 & 로직 오류 (기능이 의도대로 동작하는가?)
├── 설계 & 아키텍처 (계층 책임, SOLID 원칙)
├── 보안 취약점 (SQL Injection, XSS, 인증/인가 누락)
├── 성능 이슈 (N+1, 불필요한 DB 쿼리, 루프 내 IO)
├── 테스트 품질 (엣지 케이스 커버, 의미 있는 검증)
└── 도메인 지식 (비즈니스 룰을 올바르게 구현했는가?)
❌ 리뷰어가 하지 말아야 하는 것
├── 코드 스타일/포맷 지적 (→ 자동화로 처리)
├── 개인 취향 강요 ("나라면 이렇게 했을 텐데...")
├── 너무 늦은 리뷰 (24시간 이내 1차 피드백 목표)
└── "왜 이렇게 했어요?" 같은 판단적 표현
❌ 나쁜 피드백:
"이 코드 이해할 수 없네요"
"왜 이렇게 복잡하게 짰어요?"
"전에 설명한 방법으로 하세요"
✅ 좋은 피드백 구조:
"[문제 설명] + [이유/근거] + [구체적 대안]"
예시:
"[BLOCKING] 여기서 List를 반복하며 findById()를 호출하면
N+1 문제가 발생합니다. (근거: 주문 100개면 DB 쿼리 101번 발생)
개선 방법: findAllById(ids)로 한 번에 조회하거나,
@EntityGraph로 미리 fetch하는 것을 권장합니다.
참고: Part 4 JPA 포스트의 N+1 해결 섹션 참고하시면 도움될 것 같습니다."
린트, 포맷, 테스트, 커버리지는 자동화로 처리하고, 리뷰어는 로직과 설계에 집중해야 한다.
# .github/workflows/pr-check.yml
name: PR Quality Gate
on:
pull_request:
branches: [main, develop]
jobs:
quality-gate:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Set up JDK 21
uses: actions/setup-java@v4
with:
java-version: '21'
distribution: 'temurin'
# Gradle 빌드 캐시 — 반복 실행 속도 향상
- name: Cache Gradle packages
uses: actions/cache@v4
with:
path: |
~/.gradle/caches
~/.gradle/wrapper
key: gradle-$
# 코드 스타일 검사 (Checkstyle)
- name: Checkstyle
run: ./gradlew checkstyleMain checkstyleTest
# 컴파일 오류 + 단위 테스트
- name: Build & Test
run: ./gradlew clean build
# 테스트 커버리지 리포트 (JaCoCo)
- name: Coverage Report
run: ./gradlew jacocoTestReport jacocoTestCoverageVerification
# 커버리지 PR 코멘트 자동 게시
- name: Coverage Comment
uses: madrapps/jacoco-report@v1.7.1
with:
paths: $/build/reports/jacoco/test/jacocoTestReport.xml
token: $
min-coverage-overall: 70
min-coverage-changed-files: 80
title: '📊 테스트 커버리지 리포트'
# PR 크기 경고 (200줄 초과 시 라벨 + 코멘트)
pr-size-check:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
with:
fetch-depth: 0
- name: Check PR size
uses: actions/github-script@v7
with:
script: |
const { data: pr } = await github.rest.pulls.get({
owner: context.repo.owner,
repo: context.repo.repo,
pull_number: context.issue.number,
});
const additions = pr.additions;
const deletions = pr.deletions;
const total = additions + deletions;
let label, message;
if (total <= 100) {
label = 'size/XS';
message = '✅ 이상적인 PR 크기입니다! (변경 줄 수: ' + total + ')';
} else if (total <= 200) {
label = 'size/S';
message = '👍 적절한 PR 크기입니다. (변경 줄 수: ' + total + ')';
} else if (total <= 400) {
label = 'size/M';
message = '⚠️ PR 크기가 다소 큽니다 (' + total + '줄). 분리를 고려해보세요.';
} else {
label = 'size/L';
message = '🚨 PR 크기가 매우 큽니다 (' + total + '줄). 작은 PR으로 분리를 강력 권장합니다.';
}
// 라벨 추가
await github.rest.issues.addLabels({
owner: context.repo.owner,
repo: context.repo.repo,
issue_number: context.issue.number,
labels: [label]
});
// 코멘트 추가
await github.rest.issues.createComment({
owner: context.repo.owner,
repo: context.repo.repo,
issue_number: context.issue.number,
body: message
});
build.gradle.kts — 자동화 도구 설정// build.gradle.kts
plugins {
// ... 기존 플러그인 ...
id("checkstyle") // 코드 스타일 검사
id("jacoco") // 테스트 커버리지
}
// ── Checkstyle 설정 ───────────────────────────────────────
checkstyle {
toolVersion = "10.20.1"
configFile = file("config/checkstyle/checkstyle.xml")
isIgnoreFailures = false // 스타일 위반 시 빌드 실패
}
// ── JaCoCo 커버리지 설정 ──────────────────────────────────
jacoco {
toolVersion = "0.8.12"
}
tasks.jacocoTestReport {
dependsOn(tasks.test)
reports {
xml.required = true // GitHub Actions에서 읽음
html.required = true // 로컬 브라우저에서 확인
}
}
tasks.jacocoTestCoverageVerification {
violationRules {
rule {
limit {
minimum = "0.70".toBigDecimal() // 전체 70% 이상
}
}
rule {
// 변경된 파일에 대한 더 엄격한 기준
limit {
counter = "LINE"
value = "COVEREDRATIO"
minimum = "0.80".toBigDecimal()
}
}
}
}
checkstyle.xml — 코드 스타일 규칙<!-- config/checkstyle/checkstyle.xml -->
<?xml version="1.0"?>
<!DOCTYPE module PUBLIC "-//Checkstyle//DTD Checkstyle Configuration 1.3//EN"
"https://checkstyle.org/dtds/configuration_1_3.dtd">
<module name="Checker">
<property name="charset" value="UTF-8"/>
<property name="severity" value="error"/>
<module name="TreeWalker">
<!-- 임포트 순서 및 미사용 임포트 -->
<module name="UnusedImports"/>
<module name="RedundantImport"/>
<!-- 메서드 길이 제한 -->
<module name="MethodLength">
<property name="max" value="60"/> <!-- 60줄 초과 시 경고 -->
</module>
<!-- 파일당 클래스 수 제한 -->
<module name="OuterTypeNumber">
<property name="max" value="1"/>
</module>
<!-- Javadoc (공개 API에만 강제) -->
<!-- <module name="JavadocMethod"> 팀 컨벤션에 따라 활성화 -->
<!-- 빈 catch 블록 금지 -->
<module name="EmptyCatchBlock">
<property name="exceptionVariableName" value="expected|ignore"/>
</module>
</module>
</module>
# .github/workflows/reviewdog.yml
name: reviewdog
on: [pull_request]
jobs:
checkstyle:
runs-on: ubuntu-latest
permissions:
pull-requests: write
steps:
- uses: actions/checkout@v4
- uses: actions/setup-java@v4
with:
java-version: '21'
distribution: 'temurin'
- uses: reviewdog/action-checkstyle@v1
with:
github_token: $
reporter: github-pr-review # PR에 인라인 댓글로 달림
checkstyle_config: config/checkstyle/checkstyle.xml
level: warning
reviewdog를 사용하면: Checkstyle 위반 사항이 PR의 해당 코드 라인에 자동으로 인라인 댓글로 달린다. 리뷰어가 스타일 문제를 일일이 지적할 필요가 없어진다.
sequenceDiagram
participant D as 개발자 (PR 작성)
participant CI as GitHub Actions
participant R1 as 리뷰어 1
participant R2 as 리뷰어 2 (선택)
D->>CI: PR 생성 (draft → ready)
CI->>CI: 린트 / 테스트 / 커버리지 자동 실행
CI-->>D: PR 크기 라벨 + 커버리지 코멘트
alt CI 실패
CI-->>D: ❌ 체크 실패 (머지 불가)
D->>CI: 코드 수정 후 push
end
CI-->>R1: 리뷰 요청 알림
R1->>D: [QUESTION] 맥락 질문
D-->>R1: 답변
R1->>D: [BLOCKING] 수정 필요 피드백
D->>CI: 수정 후 push (Re-request review)
R1->>D: ✅ 승인 (Approved)
opt 중요한 변경 / 팀 컨벤션
R2->>D: ✅ 승인 (필요시 2명 승인)
end
D->>D: Squash Merge (커밋 정리)
Note over D: 머지 후 브랜치 삭제
# GitHub Repository → Settings → Branches → Branch protection rules
# main 브랜치에 적용
Branch name pattern: main
# ✅ Require a pull request before merging
Required approvals: 1 (팀 규모에 따라 2로 설정)
# ✅ Require status checks to pass before merging
Status checks: quality-gate, pr-size-check
# ✅ Require branches to be up to date before merging
# ✅ Restrict who can push to matching branches
(팀 리드 / 자동화 봇만)
페어 프로그래밍은 작성 단계에서 리뷰가 동시에 이뤄지는 방식이다. 모든 코드에 적용할 수는 없지만, 복잡한 기능이나 온보딩 상황에서 매우 효과적이다.
상황별 활용 기준:
✅ 페어 프로그래밍이 효과적인 경우:
- 복잡한 알고리즘 / 설계 결정이 많은 기능
- 신규 팀원 온보딩 (드라이버: 신규, 내비게이터: 시니어)
- 버그 원인을 찾기 어려울 때
- 도메인 지식 전수가 필요할 때
- 보안 관련 민감한 코드 작성
✅ 일반 코드 리뷰가 더 적합한 경우:
- 단순한 CRUD 기능
- 이미 팀이 잘 아는 패턴의 반복 작업
- 비동기 리뷰가 가능한 시간대가 맞지 않는 팀
- 집중 작업이 필요한 경우
# VS Code Live Share — 실시간 원격 협업
# 1. Extension 설치
code --install-extension ms-vsliveshare.vsliveshare
# 2. 세션 시작 (호스트)
# VS Code: Live Share → Share → 링크 공유
# 3. 접속 (게스트)
# 공유 링크 클릭 → 브라우저 또는 VS Code에서 참가
# IntelliJ IDEA Code With Me
# Tools → Code With Me → Enable Access and Start Session
# 주간 리뷰 문화 체크 (팀 회고에 활용)
## PR 작성자 측면
- [ ] PR이 200줄 이하로 유지되고 있는가?
- [ ] PR 설명에 '왜 변경했는지'가 명확한가?
- [ ] 테스트가 포함되어 있는가?
- [ ] CI가 통과된 후 리뷰를 요청하고 있는가?
- [ ] 리뷰 피드백에 24시간 이내 답변하고 있는가?
## 리뷰어 측면
- [ ] 리뷰 요청 후 24시간 이내 1차 피드백을 주고 있는가?
- [ ] [BLOCKING] / [SUGGEST] / [NIT] 구분이 명확한가?
- [ ] 코드 스타일 지적보다 로직/설계에 집중하고 있는가?
- [ ] 긍정적인 피드백([PRAISE])도 남기고 있는가?
- [ ] 판단적이지 않은 언어를 사용하고 있는가?
## 자동화 측면
- [ ] CI 파이프라인이 린트/테스트/커버리지를 자동 검사하는가?
- [ ] PR 머지 전 CI 통과가 강제되어 있는가?
- [ ] 커버리지 임계값이 설정되어 있는가?
- [ ] PR 크기 라벨 자동화가 되어 있는가?
# 리뷰 시작 전 5분 체크
1. PR 설명과 관련 이슈를 먼저 읽었는가? (맥락 이해)
2. 변경 파일 목록을 훑어봤는가? (큰 그림 파악)
3. 핵심 변경 파일에 집중했는가? (자동 생성 파일, 설정 파일 제외)
4. 비즈니스 로직이 올바른지 우선 확인했는가?
5. 피드백이 구체적이고 건설적인가?
// 리뷰 대상 코드
public List<User> getActiveUsers() {
List<User> users = userRepository.findAll();
List<User> result = new ArrayList<>();
for (User user : users) {
if (user.getStatus() == "ACTIVE") { // 버그!
result.add(user);
}
}
return result;
}
❌ 나쁜 리뷰 댓글들:
- "이 코드 뭔가요?"
- "왜 이렇게 구현했어요?"
- "전부 다시 짜야 할 것 같습니다"
- "String 비교를 이렇게 하면 안 되죠 (우리 스터디에서 배웠잖아요)"
✅ 좋은 리뷰 댓글들:
[BLOCKING] String을 ==로 비교하면 참조 비교가 됩니다.
user.getStatus() == "ACTIVE"는 항상 false일 수 있습니다.
"ACTIVE".equals(user.getStatus()) 또는 Enum으로 변경해주세요.
[BLOCKING] findAll()로 모든 유저를 로드한 뒤 메모리에서 필터링하고 있어
사용자가 100만 명이면 OutOfMemoryError가 발생할 수 있습니다.
findByStatus(UserStatus.ACTIVE)로 DB 레벨 필터링을 권장합니다:
public List<User> findByStatus(UserStatus status); // Repository에 추가
[SUGGEST] status를 String 대신 enum UserStatus로 변경하면
컴파일 타임 오류 방지 + IDE 자동완성이 됩니다.
(현재 방식도 수정 후 동작은 합니다)
[NIT] 메서드 이름 getActiveUsers → findActiveUsers
(Spring Data JPA 관례와 통일)
| 항목 | 권장 | 트레이드오프 |
|---|---|---|
| PR 크기 | 200줄 이하 | 기능이 크면 분할하는 오버헤드 발생 |
| 필수 승인 수 | 1~2명 | 2명 이상이면 속도 느려짐 / 1명이면 품질 위험 |
| 자동화 범위 | 린트+테스트+커버리지 | 과도한 자동화는 개발자 창의성 제한 가능 |
| 리뷰 응답 SLA | 24시간 이내 | 리뷰어 다른 업무와 충돌 가능 |
| 페어 프로그래밍 | 복잡한 코드에만 | 항상 페어하면 생산성 저하 가능 |
| [NIT] 피드백 | 남기되 강제 수정 X | 너무 많으면 작성자 부담 증가 |
“코드 리뷰의 목표는 완벽한 코드를 만드는 것이 아니라, 코드베이스 전반의 건강함을 올리는 것이다.” — Google Engineering Practices
좋은 코드 리뷰 문화는 하루아침에 만들어지지 않는다. 작은 PR로 시작하고, 자동화로 사소한 것들을 제거하고, 피드백은 명확하고 건설적으로 — 이 세 가지를 팀이 꾸준히 실천하면 반년 후 코드베이스와 팀 문화 모두 달라진다.
이 포스트는 HoneyByte 개발 문화 시리즈의 일부입니다.
]]>HoneyByte — 현업 개발자를 위한 기술 트렌드 심층 분석
| 프레임워크 | 2026 핵심 변화 | 최적 유스케이스 |
|---|---|---|
| Next.js 16 | Turbopack 기본 활성화, PPR 정식화 | 풀스택 SaaS, 대규모 e-커머스 |
| SvelteKit | WebAssembly 통합, 엣지 배포 최적화 | 퍼포먼스 중심 대시보드, PWA |
| Astro | Cloudflare 인수 → 엣지 네이티브 | 콘텐츠 중심 사이트, 멀티프레임워크 |
| Remix | Vite 네이티브, Web Standard 강화 | 폼/데이터 중심 웹앱 |
| Nuxt 4 | Nitro 최적화, Vue 3 Composition API | Vue 생태계 풀스택 |
핵심 메시지: 2026년 웹 프레임워크 선택은 단순한 기술 취향이 아니라 렌더링 모델 × 배포 인프라 × 팀 생산성의 삼각 최적화 문제다.
Stack Overflow 개발자 설문(2025) 기준 프레임워크 사용률:
숫자만 보면 React/Next.js 독주처럼 보이지만, 실상은 다르다. 채용 시장과 스타트업 스택이 이미 다양화되고 있다. 2025~2026년에 걸쳐 세 가지 거대한 흐름이 동시에 진행 중이다:
graph TD
A[웹 프레임워크 동향 2026] --> B[렌더링 혁신]
A --> C[인프라 변화]
A --> D[생태계 재편]
B --> B1[Partial Prerendering]
B --> B2[Islands Architecture]
B --> B3[Resumability]
C --> C1[엣지 컴퓨팅 주류화]
C --> C2[WebAssembly 프로덕션]
C --> C3[마이크로프론트엔드]
D --> D1[Cloudflare × Astro 인수]
D --> D2[Vercel × Next.js 심화]
D --> D3[SvelteKit 독립 성장]
Next.js 15까지는 --turbopack 플래그가 필요했다. Next.js 16부터는 기본 번들러가 Webpack에서 Turbopack으로 교체됐다.
체감 차이:
| 지표 | Webpack | Turbopack |
|---|---|---|
| 초기 컴파일 | 15~45초 | 1~3초 |
| HMR (Hot Module Replacement) | 1~3초 | < 100ms |
| 메모리 사용량 | 높음 | 낮음 (Rust 기반) |
# Next.js 16: 이제 --turbopack 불필요
npx create-next-app@16 my-app
cd my-app
npm run dev # 자동으로 Turbopack 사용
기존 렌더링 모델의 딜레마:
SSG (정적): 빠름 ✅ BUT 실시간 데이터 ❌
SSR (동적): 실시간 ✅ BUT 느림 ❌
PPR은 이 이분법을 단일 요청 안에서 해소한다:
sequenceDiagram
participant Client as 클라이언트
participant Edge as 엣지 서버
participant Origin as 오리진 서버
Client->>Edge: GET /product/123
Edge-->>Client: Static Shell (즉시 응답) ⚡
Note over Client: 정적 레이아웃 즉시 렌더
Edge->>Origin: 동적 데이터 요청
Origin-->>Client: Streaming: 가격/재고/리뷰 (Suspense)
Note over Client: 동적 컨텐츠 스트리밍으로 채워짐
코드 예제 — Next.js 16 PPR 활성화:
// next.config.ts
import type { NextConfig } from 'next'
const nextConfig: NextConfig = {
experimental: {
ppr: true, // Partial Prerendering 활성화
},
}
export default nextConfig
// app/product/[id]/page.tsx
import { Suspense } from 'react'
// 이 컴포넌트는 정적으로 사전 렌더링 (CDN 캐싱)
export default function ProductPage({ params }: { params: { id: string } }) {
return (
<div>
{/* 정적 셸 — 즉시 응답 */}
<ProductLayout>
<StaticProductInfo id={params.id} />
{/* 동적 부분 — Suspense로 스트리밍 */}
<Suspense fallback={<PriceSkeleton />}>
<DynamicPrice id={params.id} />
</Suspense>
<Suspense fallback={<ReviewSkeleton />}>
<LiveReviews id={params.id} />
</Suspense>
</ProductLayout>
</div>
)
}
// 동적 서버 컴포넌트 — 캐시 없음
async function DynamicPrice({ id }: { id: string }) {
const price = await fetch(`/api/price/${id}`, { cache: 'no-store' })
const data = await price.json()
return <span className="price">₩{data.price.toLocaleString()}</span>
}
// app/cart/actions.ts
'use server'
import { revalidatePath } from 'next/cache'
import { redirect } from 'next/navigation'
export async function addToCart(formData: FormData) {
const productId = formData.get('productId') as string
const quantity = parseInt(formData.get('quantity') as string)
// DB 직접 접근 — API 라우트 불필요
await db.cart.upsert({
where: { userId: getCurrentUser().id, productId },
update: { quantity: { increment: quantity } },
create: { userId: getCurrentUser().id, productId, quantity },
})
revalidatePath('/cart')
// redirect('/cart') // 선택적 리다이렉션
}
// app/product/[id]/page.tsx — 클라이언트 없이 폼 처리
export default function AddToCartForm({ productId }: { productId: string }) {
return (
<form action={addToCart}>
<input type="hidden" name="productId" value={productId} />
<input type="number" name="quantity" defaultValue={1} min={1} />
<button type="submit">장바구니 추가</button>
</form>
)
}
React와 Vue는 가상 DOM(Virtual DOM)을 런타임에 조작한다. Svelte는 다르다: 빌드 타임에 컴포넌트를 순수 JavaScript로 컴파일해 런타임 오버헤드를 없앤다.
graph LR
subgraph "React 방식 (런타임)"
R1[JSX] --> R2[Virtual DOM] --> R3[Diffing] --> R4[실제 DOM 업데이트]
end
subgraph "Svelte 방식 (컴파일 타임)"
S1[.svelte 파일] --> S2[컴파일러] --> S3[최적화된 JS] --> S4[직접 DOM 업데이트]
end
style R2 fill:#ff6b6b,color:#fff
style R3 fill:#ff6b6b,color:#fff
style S2 fill:#4caf50,color:#fff
style S3 fill:#4caf50,color:#fff
실제 번들 크기 비교 (동일한 Todo 앱 기준):
| 프레임워크 | 번들 크기 (gzip) | 초기 JS 파싱 시간 |
|---|---|---|
| React + React DOM | ~45KB | ~180ms |
| Vue 3 | ~34KB | ~140ms |
| Svelte | ~3.5KB | ~15ms |
| Angular | ~62KB | ~250ms |
Svelte 5는 $state, $derived, $effect 등 Runes로 반응성 모델을 명시적으로 재설계했다:
<!-- Svelte 5 — Runes 문법 -->
<script>
// $state: 반응형 상태
let count = $state(0)
let name = $state('World')
// $derived: 파생 상태 (React의 useMemo와 유사)
let doubled = $derived(count * 2)
let greeting = $derived(`Hello, ${name}! Count: ${count}`)
// $effect: 사이드이펙트 (React의 useEffect와 유사)
$effect(() => {
console.log('count changed:', count)
return () => console.log('cleanup') // 클린업
})
// $props: 컴포넌트 props
let { initialValue = 0 } = $props()
</script>
<div>
<p>{greeting}</p>
<p>doubled: {doubled}</p>
<button onclick={() => count++}>증가</button>
<input bind:value={name} />
</div>
// src/routes/api/products/+server.ts
import type { RequestHandler } from './$types'
export const GET: RequestHandler = async ({ url, platform }) => {
const category = url.searchParams.get('category')
// Cloudflare Workers / Vercel Edge 환경 자동 감지
const cache = platform?.caches?.default
const cacheKey = new Request(`https://api.example.com/products?cat=${category}`)
// 엣지 캐시 확인
if (cache) {
const cached = await cache.match(cacheKey)
if (cached) return cached
}
const products = await fetchProductsFromDB(category)
const response = new Response(JSON.stringify(products), {
headers: {
'Content-Type': 'application/json',
'Cache-Control': 'public, max-age=60, stale-while-revalidate=300',
},
})
// 엣지에 캐싱
if (cache) {
await cache.put(cacheKey, response.clone())
}
return response
}
// svelte.config.js — Cloudflare Workers 배포
import adapter from '@sveltejs/adapter-cloudflare'
import { vitePreprocess } from '@sveltejs/vite-plugin-svelte'
/** @type {import('@sveltejs/kit').Config} */
const config = {
preprocess: vitePreprocess(),
kit: {
adapter: adapter({
routes: {
include: ['/*'],
exclude: ['<all>'], // 정적 에셋 제외
},
}),
},
}
export default config
2026년 1월, Cloudflare가 Astro를 인수하며 웹 프레임워크 생태계에 지각변동이 일었다. 이 인수의 의미:
graph TB
subgraph "전통적 SPA (React)"
SPA[전체 앱이 하나의 거대한 JS 번들]
SPA --> UI1[컴포넌트 A] & UI2[컴포넌트 B] & UI3[컴포넌트 C]
end
subgraph "Islands Architecture (Astro)"
STATIC[정적 HTML/CSS - 즉시 로드 ⚡]
STATIC --> ISLAND1[🏝️ Interactive Header\n필요할 때만 hydrate]
STATIC --> ISLAND2[정적 콘텐츠 블록\n JS 없음]
STATIC --> ISLAND3[🏝️ Search Widget\nclient:visible]
STATIC --> ISLAND4[정적 Footer\nJS 없음]
end
Astro의 클라이언트 지시자 (Directives):
---
// src/pages/index.astro
import HeavyChart from '../components/HeavyChart.tsx'
import SearchBox from '../components/SearchBox.svelte' // Svelte 컴포넌트도 사용!
import ReactCounter from '../components/Counter.jsx' // React도 섞어 쓰기 가능
---
<html>
<body>
<!-- 정적 콘텐츠 — JS 없음 -->
<header>
<h1>My Blog</h1>
</header>
<!-- client:load — 페이지 로드 즉시 hydrate -->
<SearchBox client:load />
<!-- client:idle — 브라우저가 idle 상태일 때 hydrate -->
<ReactCounter client:idle />
<!-- client:visible — 뷰포트에 진입할 때만 hydrate (LazyLoad 대체!) -->
<HeavyChart client:visible />
<!-- client:media — 미디어 쿼리 충족 시 hydrate -->
<MobileMenu client:media="(max-width: 768px)" />
</body>
</html>
// src/pages/api/posts.ts (Astro API Route)
import type { APIRoute } from 'astro'
export const GET: APIRoute = async ({ locals }) => {
// Cloudflare D1 (SQLite) 직접 접근
const { DB } = locals.runtime.env
const posts = await DB.prepare(`
SELECT id, title, excerpt, published_at
FROM posts
WHERE published = 1
ORDER BY published_at DESC
LIMIT 20
`).all()
return new Response(JSON.stringify(posts.results), {
headers: { 'Content-Type': 'application/json' },
})
}
export const POST: APIRoute = async ({ request, locals }) => {
const { DB, KV } = locals.runtime.env
const body = await request.json()
const { meta } = await DB.prepare(`
INSERT INTO posts (title, content, author_id, published_at)
VALUES (?, ?, ?, ?)
`).bind(body.title, body.content, body.authorId, new Date().toISOString())
.run()
// 캐시 무효화 (KV에 저장된 목록 캐시)
await KV.delete('posts:list')
return new Response(JSON.stringify({ id: meta.last_row_id }), {
status: 201,
})
}
Spotify, Zalando 같은 기업이 마이크로프론트엔드(MFE)를 도입하며 이 패턴이 검증됐다.
graph TD
subgraph "마이크로프론트엔드 아키텍처"
HOST[Host App\nNext.js 16]
MFE1[Remote: 결제 모듈\nReact + Next.js]
MFE2[Remote: 상품 검색\nVue + Nuxt]
MFE3[Remote: 리뷰 시스템\nSvelte + SvelteKit]
HOST -->|동적 임포트| MFE1
HOST -->|동적 임포트| MFE2
HOST -->|동적 임포트| MFE3
end
subgraph "공유 레이어"
SHARED[공유 라이브러리\nDesign System, Utils]
MFE1 & MFE2 & MFE3 --> SHARED
end
// host/next.config.js — Module Federation 설정
const { NextFederationPlugin } = require('@module-federation/nextjs-mf')
module.exports = {
webpack(config, options) {
config.plugins.push(
new NextFederationPlugin({
name: 'host',
remotes: {
// 각 팀이 독립적으로 배포
payment: 'payment@https://payment.internal.company.com/_next/static/chunks/remoteEntry.js',
search: 'search@https://search.internal.company.com/_next/static/chunks/remoteEntry.js',
reviews: 'reviews@https://reviews.internal.company.com/_next/static/chunks/remoteEntry.js',
},
shared: {
react: { singleton: true, requiredVersion: '>=18.0.0' },
'react-dom': { singleton: true },
// 디자인 시스템 공유
'@company/ui': { singleton: true },
},
})
)
return config
},
}
// host/app/product/[id]/page.tsx — 동적으로 원격 컴포넌트 로드
import dynamic from 'next/dynamic'
import { Suspense } from 'react'
// 결제 팀의 컴포넌트를 런타임에 로드
const PaymentButton = dynamic(
() => import('payment/PaymentButton').then(m => m.PaymentButton),
{ ssr: true, loading: () => <ButtonSkeleton /> }
)
const ReviewSystem = dynamic(
() => import('reviews/ReviewSystem'),
{ ssr: false } // 결제 후 로드
)
export default function ProductDetailPage({ params }) {
return (
<div>
<ProductInfo id={params.id} />
<Suspense fallback={<ButtonSkeleton />}>
<PaymentButton productId={params.id} />
</Suspense>
<Suspense fallback={null}>
<ReviewSystem productId={params.id} />
</Suspense>
</div>
)
}
2026년에 WebAssembly(Wasm)가 프로덕션에서 의미있는 비율로 사용되기 시작했다. 특히 성능이 중요한 계산 로직에서 두드러진다.
// src/image_processor.rs — Rust로 이미지 처리 로직 작성
use wasm_bindgen::prelude::*;
#[wasm_bindgen]
pub struct ImageProcessor {
data: Vec<u8>,
width: u32,
height: u32,
}
#[wasm_bindgen]
impl ImageProcessor {
#[wasm_bindgen(constructor)]
pub fn new(data: Vec<u8>, width: u32, height: u32) -> Self {
Self { data, width, height }
}
// 그레이스케일 변환 — JavaScript보다 10~50x 빠름
pub fn grayscale(&mut self) {
for chunk in self.data.chunks_mut(4) {
let r = chunk[0] as f32;
let g = chunk[1] as f32;
let b = chunk[2] as f32;
let gray = (0.299 * r + 0.587 * g + 0.114 * b) as u8;
chunk[0] = gray;
chunk[1] = gray;
chunk[2] = gray;
}
}
pub fn get_data(&self) -> Vec<u8> {
self.data.clone()
}
}
// Next.js에서 Wasm 사용
// next.config.ts
const nextConfig = {
experimental: {
webAssembly: true,
},
}
// components/ImageEditor.tsx
import { useEffect, useRef } from 'react'
export function ImageEditor({ imageUrl }: { imageUrl: string }) {
const canvasRef = useRef<HTMLCanvasElement>(null)
useEffect(() => {
async function processImage() {
// Wasm 모듈 동적 임포트
const { ImageProcessor, default: init } = await import('../wasm/image_processor')
await init() // Wasm 초기화
const img = new Image()
img.src = imageUrl
img.onload = () => {
const canvas = canvasRef.current!
const ctx = canvas.getContext('2d')!
ctx.drawImage(img, 0, 0)
const imageData = ctx.getImageData(0, 0, canvas.width, canvas.height)
// Rust/Wasm으로 처리 (5000x5000px 이미지도 <100ms)
const processor = new ImageProcessor(
Array.from(imageData.data),
canvas.width,
canvas.height
)
processor.grayscale()
const processed = new Uint8ClampedArray(processor.get_data())
ctx.putImageData(new ImageData(processed, canvas.width, canvas.height), 0, 0)
}
}
processImage()
}, [imageUrl])
return <canvas ref={canvasRef} />
}
flowchart TD
START[프레임워크 선택\n시작] --> Q1{팀의 기술 스택?}
Q1 -->|React 익숙| Q2{규모?}
Q1 -->|Vue 익숙| NUXT[Nuxt 4]
Q1 -->|처음 시작| Q3{목적?}
Q1 -->|성능 최우선| SVELTE[SvelteKit]
Q2 -->|스타트업/중규모| NEXTJS[Next.js 16]
Q2 -->|대기업/멀티팀| MFE[Module Federation\n+ Next.js]
Q3 -->|콘텐츠 사이트| ASTRO[Astro]
Q3 -->|웹앱/SaaS| NEXTJS
Q3 -->|고성능 필요| SVELTE
NEXTJS --> NOTE1[풀스택 SaaS\n대형 e-커머스\nVercel 배포]
SVELTE --> NOTE2[PWA/대시보드\nEdge 배포\n번들 최소화]
ASTRO --> NOTE3[블로그/마케팅\nCMS 연동\nCloudflare 배포]
NUXT --> NOTE4[Vue 기반\n국제화 서비스\nNitro 배포]
MFE --> NOTE5[독립 배포\n다중 팀\n점진적 마이그레이션]
Next.js 16을 선택해야 할 때:
SvelteKit을 선택해야 할 때:
Astro를 선택해야 할 때:
Next.js Server Actions는 편리하지만 서버 코드가 클라이언트에서 직접 호출 가능하다는 특성상 반드시 입력 검증이 필요하다.
// ❌ 위험 — 인증 없는 Server Action
'use server'
export async function deletePost(postId: string) {
// 누구나 호출 가능!
await db.posts.delete({ where: { id: postId } })
}
// ✅ 안전 — 인증 + 권한 검사 포함
'use server'
import { auth } from '@/lib/auth'
import { z } from 'zod'
const deleteSchema = z.object({
postId: z.string().uuid(),
})
export async function deletePost(formData: FormData) {
// 1. 인증 확인
const session = await auth()
if (!session?.user) throw new Error('Unauthorized')
// 2. 입력 검증 (Zod)
const { postId } = deleteSchema.parse({
postId: formData.get('postId'),
})
// 3. 권한 검사 (작성자만 삭제 가능)
const post = await db.posts.findUnique({ where: { id: postId } })
if (post?.authorId !== session.user.id) throw new Error('Forbidden')
await db.posts.delete({ where: { id: postId } })
}
// next.config.ts — Next.js 보안 헤더
const nextConfig = {
async headers() {
return [
{
source: '/(.*)',
headers: [
{
key: 'Content-Security-Policy',
value: [
"default-src 'self'",
"script-src 'self' 'nonce-{NONCE}'", // nonce 기반 인라인 스크립트
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
].join('; '),
},
{ key: 'X-Content-Type-Options', value: 'nosniff' },
{ key: 'X-Frame-Options', value: 'DENY' },
{ key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
],
},
]
},
}
HoneyByte는 매주 금요일 현업 개발자를 위한 기술 트렌드를 깊이 있게 분석합니다. 🐝
]]>한 줄 요약: 정규화는 중복을 제거하고 이상 현상을 막는 관계형 DB 설계의 핵심 원칙이다.
난이도: ⭐⭐⭐⭐ | 카테고리: Database | 키워드: 1NF, 2NF, 3NF, BCNF, 반정규화
데이터베이스 설계에서 가장 흔히 저지르는 실수는 “일단 한 테이블에 다 넣자”는 유혹이다. 처음에는 편해 보이지만, 이런 설계는 시간이 지날수록 이상 현상(Anomaly) 이라는 치명적인 문제를 일으킨다.
이상 현상은 정규화가 되지 않은 테이블에서 발생하는 데이터 불일치 문제다. 구체적인 예시로 살펴보자.
다음과 같은 수강신청 테이블이 있다고 가정하자:
| 학번 | 학생명 | 강좌코드 | 강좌명 | 담당교수 | 교수전화번호 |
|---|---|---|---|---|---|
| S001 | 김철수 | C101 | 자료구조 | 이교수 | 010-1234-5678 |
| S001 | 김철수 | C102 | 운영체제 | 박교수 | 010-9876-5432 |
| S002 | 이영희 | C101 | 자료구조 | 이교수 | 010-1234-5678 |
| S003 | 박민수 | C103 | 데이터베이스 | 이교수 | 010-1234-5678 |
이 테이블에서 발생하는 이상 현상:
1) 삽입 이상 (Insertion Anomaly)
새 교수가 부임했는데 아직 강좌를 맡지 않았다면? 학번과 강좌코드 없이는 교수 정보를 삽입할 수 없다. 즉, 존재하지 않는 데이터를 억지로 채워야 한다.
2) 삭제 이상 (Deletion Anomaly)
S003(박민수)이 C103 수업을 취소하면? 그 행을 삭제하면 이교수의 전화번호 정보도 함께 날아간다. 의도하지 않은 데이터 소실이 발생한다.
3) 갱신 이상 (Update Anomaly)
이교수의 전화번호가 바뀌었다면? 이교수가 담당하는 모든 행을 찾아서 일일이 수정해야 한다. 하나라도 빠뜨리면 데이터 불일치가 생긴다.
이 세 가지 문제를 해결하기 위해 정규화(Normalization)가 탄생했다.
정규화를 이해하려면 먼저 함수 종속성(FD: Functional Dependency) 개념을 알아야 한다.
X → Y (X가 Y를 함수적으로 결정한다)
즉, X의 값이 결정되면 Y의 값도 유일하게 결정된다는 뜻이다.
예시:
학번 → 학생명 (학번이 같으면 학생명도 같다)강좌코드 → 강좌명 (강좌코드가 같으면 강좌명도 같다)(학번, 강좌코드) → 성적 (복합키가 성적을 결정한다)| 종류 | 설명 | 예시 |
|---|---|---|
| 완전 함수 종속 | 기본키 전체에 종속 | (학번, 강좌코드) → 성적 |
| 부분 함수 종속 | 기본키의 일부에만 종속 | 학번 → 학생명 (복합키 일부) |
| 이행 함수 종속 | A→B, B→C일 때 A→C | 학번→담당교수→전화번호 |
graph LR
subgraph "완전 함수 종속"
PK["(학번, 강좌코드)"] --> Grade["성적"]
end
subgraph "부분 함수 종속 (문제!)"
StudentId["학번"] --> StudentName["학생명"]
CourseCode["강좌코드"] --> CourseName["강좌명"]
end
subgraph "이행 함수 종속 (문제!)"
A["학번"] --> B["담당교수"]
B --> C["교수전화번호"]
end
조건: 모든 속성값이 원자값(Atomic Value)이어야 한다. 즉, 반복 그룹이나 다중값 속성이 없어야 한다.
위반 사례:
| 학번 | 학생명 | 수강과목 |
|---|---|---|
| S001 | 김철수 | 자료구조, 운영체제, DB |
| S002 | 이영희 | 알고리즘, 네트워크 |
수강과목 컬럼에 여러 값이 들어 있어 1NF 위반이다.
1NF 변환:
| 학번 | 학생명 | 수강과목 |
|---|---|---|
| S001 | 김철수 | 자료구조 |
| S001 | 김철수 | 운영체제 |
| S001 | 김철수 | DB |
| S002 | 이영희 | 알고리즘 |
| S002 | 이영희 | 네트워크 |
SQL 구현 관점:
-- 1NF 위반: 배열/JSON으로 여러 값 저장 (PostgreSQL 예시)
CREATE TABLE bad_enrollment (
student_id VARCHAR(10),
student_name VARCHAR(50),
courses TEXT[] -- 위반! 원자값이 아님
);
-- 1NF 준수: 각 행에 하나의 값
CREATE TABLE enrollment_1nf (
student_id VARCHAR(10),
student_name VARCHAR(50),
course_name VARCHAR(100),
PRIMARY KEY (student_id, course_name)
);
조건: 1NF를 만족하면서, 기본키가 아닌 모든 속성이 기본키에 완전 함수 종속이어야 한다. 즉, 부분 함수 종속을 제거한다.
전제: 복합 기본키 (학번, 강좌코드)를 가지는 테이블에서:
| 학번 | 강좌코드 | 성적 | 학생명 | 강좌명 |
|---|---|---|---|---|
| S001 | C101 | A | 김철수 | 자료구조 |
| S001 | C102 | B+ | 김철수 | 운영체제 |
| S002 | C101 | A+ | 이영희 | 자료구조 |
문제:
학생명은 학번에만 종속 (부분 함수 종속)강좌명은 강좌코드에만 종속 (부분 함수 종속)성적만이 (학번, 강좌코드) 전체에 완전 종속2NF 변환 — 테이블 분리:
-- 학생 테이블 (학번이 PK)
CREATE TABLE student (
student_id VARCHAR(10) PRIMARY KEY,
student_name VARCHAR(50) NOT NULL
);
-- 강좌 테이블 (강좌코드가 PK)
CREATE TABLE course (
course_id VARCHAR(10) PRIMARY KEY,
course_name VARCHAR(100) NOT NULL
);
-- 수강 테이블 (복합 PK, 성적만 여기에)
CREATE TABLE enrollment (
student_id VARCHAR(10) REFERENCES student(student_id),
course_id VARCHAR(10) REFERENCES course(course_id),
grade CHAR(2),
PRIMARY KEY (student_id, course_id)
);
조건: 2NF를 만족하면서, 기본키가 아닌 속성이 기본키에 이행 함수 종속(Transitive Dependency) 이 없어야 한다.
예시 테이블:
| 학번 | 학과코드 | 학과명 | 학과위치 |
|---|---|---|---|
| S001 | D01 | 컴퓨터공학 | 공학관 3층 |
| S002 | D01 | 컴퓨터공학 | 공학관 3층 |
| S003 | D02 | 전자공학 | 공학관 5층 |
이행 종속 구조:
학번 → 학과코드 → 학과명, 학과위치
학번 → 학과명은 직접 종속이 아니라 학과코드를 거치는 이행 종속이다.
3NF 변환:
-- 학과 정보 분리
CREATE TABLE department (
dept_id VARCHAR(10) PRIMARY KEY,
dept_name VARCHAR(50) NOT NULL,
dept_location VARCHAR(100)
);
-- 학생 테이블은 학과코드(FK)만 가짐
CREATE TABLE student_3nf (
student_id VARCHAR(10) PRIMARY KEY,
dept_id VARCHAR(10) REFERENCES department(dept_id),
student_name VARCHAR(50) NOT NULL
);
조건: 3NF보다 더 엄격한 형태. 모든 결정자(Determinant)가 후보키(Candidate Key)여야 한다.
3NF는 통과하지만 BCNF를 위반하는 사례가 존재한다. 이는 복수의 후보키가 있고 후보키들이 서로 겹칠 때 발생한다.
대표적인 BCNF 위반 예시:
| 학생 | 과목 | 교수 |
|---|---|---|
| 김철수 | DB | 이교수 |
| 김철수 | OS | 박교수 |
| 이영희 | DB | 이교수 |
| 이영희 | DB | 최교수 |
함수 종속:
(학생, 과목) → 교수 (한 학생은 한 과목에 여러 교수를 가질 수 있다 가정)교수 → 과목 (교수는 한 과목만 담당)후보키: (학생, 교수) — 그러나 교수 → 과목에서 결정자 교수가 후보키가 아니어서 BCNF 위반!
BCNF 변환:
-- 교수-과목 관계 분리
CREATE TABLE professor_course (
professor_name VARCHAR(50) PRIMARY KEY,
course_name VARCHAR(100) NOT NULL
);
-- 학생-교수 수강 관계
CREATE TABLE student_professor (
student_name VARCHAR(50),
professor_name VARCHAR(50) REFERENCES professor_course(professor_name),
PRIMARY KEY (student_name, professor_name)
);
flowchart TD
Start["원본 테이블\n(비정규형)"] --> NF1
NF1["1NF\n원자값 보장\n반복 그룹 제거"]
NF1 -- "부분 함수 종속 제거" --> NF2
NF2["2NF\n완전 함수 종속\n부분 종속 제거"]
NF2 -- "이행 함수 종속 제거" --> NF3
NF3["3NF\n이행 종속 제거\n비키 속성 독립"]
NF3 -- "모든 결정자 = 후보키" --> BCNF
BCNF["BCNF\n강화된 3NF\n모든 결정자가 후보키"]
BCNF -- "다치 종속 제거" --> NF4
NF4["4NF\n다치 종속 제거"]
NF4 -- "조인 종속 제거" --> NF5
NF5["5NF\n조인 종속 제거\n(실무에서 거의 미적용)"]
style NF1 fill:#FFE0B2,stroke:#FF9800
style NF2 fill:#FFF9C4,stroke:#FBC02D
style NF3 fill:#C8E6C9,stroke:#4CAF50
style BCNF fill:#BBDEFB,stroke:#2196F3
style NF4 fill:#E1BEE7,stroke:#9C27B0
style NF5 fill:#F8BBD0,stroke:#E91E63
완벽하게 정규화된 DB는 데이터 무결성 측면에서 이상적이지만, JOIN이 많아질수록 쿼리 성능이 저하된다. 실무에서는 읽기 성능이 쓰기 정합성보다 중요한 경우 반정규화를 선택한다.
1) 테이블 합치기 (Table Merging)
-- 정규화된 상태: JOIN 필요
SELECT o.order_id, o.order_date, c.customer_name, c.customer_email
FROM orders o
JOIN customers c ON o.customer_id = c.customer_id
WHERE o.order_id = 12345;
-- 반정규화: orders 테이블에 고객 정보 직접 저장
-- (주문 시점의 고객 정보를 스냅샷으로 보존하는 경우)
CREATE TABLE orders_denorm (
order_id BIGINT PRIMARY KEY,
order_date TIMESTAMP,
customer_id BIGINT,
customer_name VARCHAR(100), -- 반정규화: 중복 저장
customer_email VARCHAR(200) -- 반정규화: 중복 저장
);
2) 컬럼 추가 (Derived Column)
자주 집계하는 값을 미리 계산해서 저장:
-- 매번 집계 쿼리를 날리는 대신
SELECT category_id, COUNT(*) as post_count
FROM posts GROUP BY category_id;
-- 반정규화: categories 테이블에 post_count 컬럼 추가
ALTER TABLE categories ADD COLUMN post_count INT DEFAULT 0;
-- INSERT/UPDATE/DELETE 트리거나 애플리케이션 레이어에서 관리
CREATE OR REPLACE FUNCTION update_category_post_count()
RETURNS TRIGGER AS $$
BEGIN
IF TG_OP = 'INSERT' THEN
UPDATE categories SET post_count = post_count + 1
WHERE category_id = NEW.category_id;
ELSIF TG_OP = 'DELETE' THEN
UPDATE categories SET post_count = post_count - 1
WHERE category_id = OLD.category_id;
END IF;
RETURN NULL;
END;
$$ LANGUAGE plpgsql;
CREATE TRIGGER trg_post_count
AFTER INSERT OR DELETE ON posts
FOR EACH ROW EXECUTE FUNCTION update_category_post_count();
3) 수직 분할 (Vertical Partitioning) — 역방향 반정규화
자주 조회하는 컬럼과 드물게 조회하는 컬럼을 분리:
-- 원본: 모든 컬럼을 한 테이블에
CREATE TABLE users (
user_id BIGINT PRIMARY KEY,
username VARCHAR(50), -- 자주 조회
email VARCHAR(200), -- 자주 조회
bio TEXT, -- 드물게 조회
profile_image BYTEA, -- 매우 드물게 조회
full_resume TEXT -- 거의 조회 안 함
);
-- 분리 후
CREATE TABLE users_core (
user_id BIGINT PRIMARY KEY,
username VARCHAR(50),
email VARCHAR(200)
);
CREATE TABLE users_profile (
user_id BIGINT PRIMARY KEY REFERENCES users_core(user_id),
bio TEXT,
profile_image BYTEA,
full_resume TEXT
);
읽기 > 쓰기 AND JOIN 비용이 큰 경우 → 반정규화 고려
쓰기 > 읽기 OR 데이터 정합성이 최우선 → 정규화 유지
// 정규화된 구조를 JPA Entity로 표현
@Entity
@Table(name = "students")
public class Student {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
private String name;
@ManyToOne(fetch = FetchType.LAZY)
@JoinColumn(name = "dept_id")
private Department department; // 이행 종속 제거: dept_name, dept_location 없음
@OneToMany(mappedBy = "student", cascade = CascadeType.ALL)
private List<Enrollment> enrollments;
}
@Entity
@Table(name = "courses")
public class Course {
@Id
private String courseCode;
private String courseName;
@ManyToOne(fetch = FetchType.LAZY)
@JoinColumn(name = "professor_id")
private Professor professor; // 부분 종속 제거
}
@Entity
@Table(name = "enrollments")
@IdClass(EnrollmentId.class)
public class Enrollment {
@Id
@ManyToOne
@JoinColumn(name = "student_id")
private Student student;
@Id
@ManyToOne
@JoinColumn(name = "course_id")
private Course course;
private String grade; // 완전 함수 종속
}
// 정규화 상태에서 N+1 문제 발생 가능
// 학생 목록 조회 시 각 학생마다 학과 조회 쿼리 발생
// 해결책 1: JPQL Fetch Join (정규화 유지)
@Query("SELECT DISTINCT s FROM Student s LEFT JOIN FETCH s.department")
List<Student> findAllWithDepartment();
// 해결책 2: DTO Projection (반정규화 없이 최적화)
@Query("SELECT new com.example.StudentDto(s.id, s.name, d.deptName) " +
"FROM Student s JOIN s.department d")
List<StudentDto> findStudentDtos();
// 해결책 3: 반정규화 (dept_name을 student 테이블에 직접 저장)
// → 데이터 변경 시 동기화 이슈 발생 가능
실제 운영 중인 커머스 서비스에서 주문 목록 API가 초당 100건 요청에서 응답시간이 3초를 넘기 시작했다. 원인 분석:
-- 문제가 된 쿼리: 5개 테이블 JOIN
EXPLAIN ANALYZE
SELECT
o.order_id,
o.created_at,
u.username,
p.product_name,
p.thumbnail_url,
oi.quantity,
oi.unit_price
FROM orders o
JOIN users u ON o.user_id = u.user_id
JOIN order_items oi ON o.order_id = oi.order_id
JOIN products p ON oi.product_id = p.product_id
JOIN categories c ON p.category_id = c.category_id
WHERE o.user_id = 12345
ORDER BY o.created_at DESC
LIMIT 20;
-- 실행 계획: Nested Loop Join, rows=50000, time=2800ms
해결: order_items에 product_name, thumbnail_url 스냅샷 저장 → 쿼리 단순화 → 응답시간 120ms로 개선.
모범 답변:
정규화는 관계형 데이터베이스에서 데이터 중복을 최소화하고 이상 현상(삽입/삭제/갱신 이상)을 방지하기 위해 테이블을 체계적으로 분해하는 과정입니다. 함수 종속성 이론을 기반으로 1NF부터 BCNF까지 단계별 규칙을 적용합니다.
모범 답변:
3NF는 “기본키가 아닌 속성이 기본키에 이행 종속되지 않아야 한다”는 조건입니다. BCNF는 더 엄격하게 “모든 결정자가 후보키여야 한다”고 요구합니다.
3NF를 만족하지만 BCNF를 위반하는 경우는 복수의 후보키가 존재하고 서로 겹칠 때 발생합니다. BCNF로 변환하면 더 강한 무결성을 보장하지만, 경우에 따라 원래 테이블의 함수 종속성이 보존되지 않는 단점이 생길 수 있습니다.
모범 답변:
반정규화는 주로 OLAP(분석) 환경이나 읽기 집약적인 서비스에서 JOIN 비용을 줄이기 위해 적용합니다. 적용 기준은 ①쿼리 성능이 SLA를 위반할 때, ②프로파일링으로 JOIN이 병목임을 확인했을 때, ③인덱스나 쿼리 최적화로 해결 불가능할 때입니다.
리스크는 데이터 중복으로 인한 정합성 문제입니다. 중복 저장된 컬럼이 동기화되지 않으면 데이터 불일치가 발생합니다. 트리거, 애플리케이션 레이어 동기화, 또는 이벤트 소싱 패턴으로 관리해야 합니다.
모범 답변:
MongoDB, DynamoDB 같은 NoSQL은 의도적으로 반정규화(중복 저장, 임베딩)를 활용하는 경우가 많습니다. 그러나 정규화 원리를 모르고 NoSQL을 사용하면 업데이트 이상이나 데이터 불일치를 제어할 수 없게 됩니다.
정규화 이론은 “어떤 데이터를 같이 저장하고 어떤 데이터를 분리할 것인가”를 판단하는 기준을 제공합니다. NoSQL 설계에서도 “어느 정도까지 임베딩할 것인가”를 결정할 때 함수 종속성 분석이 필요합니다.
모범 답변:
실무에서는 대부분 3NF 수준에서 설계를 마무리하고, BCNF 위반이 명확히 이상 현상을 유발할 때만 추가로 분해합니다. BCNF 변환이 오히려 해가 되는 경우도 있습니다.
예를 들어, 항공 예약 시스템에서 “여객-항공편-좌석” 관계에서 BCNF 변환 시 무손실 분해는 가능하지만 원래의 함수 종속성을 보존하는 분해가 불가능해져서, 조인 없이는 비즈니스 규칙을 검증할 수 없게 됩니다. 이런 경우 3NF를 유지하면서 애플리케이션 레이어에서 제약을 관리하는 것이 현실적입니다.
함수 종속성 추론을 위한 공리 체계:
1. 반사율 (Reflexivity): Y ⊆ X이면 X → Y
2. 첨가율 (Augmentation): X → Y이면 XZ → YZ
3. 이행율 (Transitivity): X → Y, Y → Z이면 X → Z
유도 규칙:
4. 합집합 (Union): X → Y, X → Z이면 X → YZ
5. 분해 (Decomposition): X → YZ이면 X → Y, X → Z
6. 의사이행 (Pseudotransitivity): X → Y, WY → Z이면 WX → Z
정규화 도구들이 FD 집합을 분석할 때 최소 커버를 먼저 구한다:
# 최소 커버 구하는 알고리즘 (의사코드)
def minimal_cover(fds):
# Step 1: 우변 단순화
result = [(X, {y}) for X, Y in fds for y in Y]
# Step 2: 좌변 최소화
for X, Y in result[:]:
for attr in X:
reduced_X = X - {attr}
if Y <= closure(reduced_X, result):
result.remove((X, Y))
result.append((reduced_X, Y))
# Step 3: 중복 FD 제거
for fd in result[:]:
temp = result - {fd}
X, Y = fd
if Y <= closure(X, temp):
result.remove(fd)
return result
정규화에서 테이블을 분해할 때 원본 데이터가 복원 가능해야 한다.
Heath의 정리: 릴레이션 R이 X → Y 또는 X → Z를 만족하면, R = R₁(X,Y) ⋈ R₂(X,Z)로 무손실 분해 가능.
-- 무손실 분해 검증: 분해 후 JOIN 결과가 원본과 같은지 확인
SELECT COUNT(*) FROM original_table; -- 100행
SELECT COUNT(*) FROM table1 JOIN table2 USING (key); -- 동일한 100행이어야 함
정규화를 이해했다면 다음 개념으로 이어서 공부하자:
🍯 HoneyByte는 매일 하나의 CS 개념을 깊이 파고듭니다.
틀린 내용이나 개선 제안은 댓글로 남겨주세요!
spring-boot-deep-dive 시리즈 Part 8/8 — 완결편 지금까지 배운 모든 것을 프로덕션에 올린다.
지금까지 7편에 걸쳐 Spring Boot의 핵심을 파고들었다. 의존성 주입, JPA, Security, Kafka, Redis, 테스트… 이제 남은 건 하나다. 배포하고 운영하는 것.
코드가 아무리 훌륭해도 배포 과정에서 요청이 끊기거나, 운영 중 상태 파악이 안 되거나, 로그가 뒤죽박죽이면 소용없다. 이번 편에서는 Spring Boot 애플리케이션을 프로덕션에 안전하게 올리는 전 과정을 다룬다.
다룰 내용:
일반적인 Dockerfile은 이렇게 생겼다:
# 나쁜 예 — 빌드 도구가 최종 이미지에 그대로 남음
FROM eclipse-temurin:21-jdk
COPY . /app
WORKDIR /app
RUN ./gradlew build
ENTRYPOINT ["java", "-jar", "build/libs/app.jar"]
이 방식의 문제:
멀티스테이지 빌드는 빌드 단계와 런타임 단계를 분리한다.
Spring Boot 2.3+부터 Layered JAR 기능이 내장되어 있다. JAR 내부를 레이어로 분리해 Docker 캐시를 극대화한다.
app.jar
├── BOOT-INF/
│ ├── layers.idx ← 레이어 순서 정의
│ ├── lib/ ← 의존성 (거의 변경 없음)
│ ├── classes/ ← 내 코드 (자주 변경)
│ └── classpath.idx
└── META-INF/
레이어 순서 (캐시 재사용률이 높은 것 → 낮은 것):
dependencies — 외부 라이브러리spring-boot-loader — Spring Boot 로더snapshot-dependencies — SNAPSHOT 의존성application — 내 코드build.gradle 설정:
// build.gradle
plugins {
id 'org.springframework.boot' version '3.4.3'
id 'io.spring.dependency-management' version '1.1.7'
id 'java'
}
group = 'com.honeybyte'
version = '1.0.0'
sourceCompatibility = '21'
// Layered JAR 활성화 (Spring Boot 3.x는 기본 활성화)
bootJar {
layered {
enabled = true
includeLayerTools = true // layertools 포함 (레이어 추출에 필요)
}
}
Dockerfile:
# ======================
# Stage 1: Build
# ======================
FROM eclipse-temurin:21-jdk-alpine AS builder
WORKDIR /workspace/app
# 의존성 캐시 최적화 — Gradle wrapper와 설정 파일을 먼저 복사
COPY gradle gradle
COPY gradlew settings.gradle build.gradle ./
# 의존성만 먼저 다운로드 (코드 변경과 독립적으로 캐시됨)
RUN ./gradlew dependencies --no-daemon
# 소스코드 복사 및 빌드
COPY src src
RUN ./gradlew bootJar --no-daemon -x test
# Layered JAR 추출
RUN mkdir -p build/extracted && \
java -Djarmode=layertools -jar build/libs/*.jar extract \
--destination build/extracted
# ======================
# Stage 2: Runtime
# ======================
FROM eclipse-temurin:21-jre-alpine AS runtime
# 보안: non-root 사용자 생성
RUN addgroup -S spring && adduser -S spring -G spring
USER spring:spring
WORKDIR /app
# 레이어 순서대로 복사 (캐시 재사용 극대화)
COPY --from=builder /workspace/app/build/extracted/dependencies/ ./
COPY --from=builder /workspace/app/build/extracted/spring-boot-loader/ ./
COPY --from=builder /workspace/app/build/extracted/snapshot-dependencies/ ./
COPY --from=builder /workspace/app/build/extracted/application/ ./
# 헬스체크
HEALTHCHECK --interval=30s --timeout=10s --start-period=60s --retries=3 \
CMD wget -qO- http://localhost:8080/actuator/health || exit 1
# JVM 최적화 옵션
ENV JAVA_OPTS="-XX:+UseContainerSupport \
-XX:MaxRAMPercentage=75.0 \
-XX:+UseG1GC \
-Djava.security.egd=file:/dev/./urandom"
EXPOSE 8080
ENTRYPOINT ["sh", "-c", "java $JAVA_OPTS org.springframework.boot.loader.launch.JarLauncher"]
이미지 크기 비교:
| 방식 | 이미지 크기 | 재빌드 시간 (코드만 수정) |
|---|---|---|
| Fat JAR (단순) | ~450MB | ~3분 (전체 재빌드) |
| 멀티스테이지 | ~200MB | ~3분 (첫 빌드) |
| 멀티스테이지 + Layered | ~200MB | ~30초 (캐시 활용) |
빌드 및 실행:
# 빌드
docker build -t honeybyte-app:1.0.0 .
# 실행 (개발)
docker run -p 8080:8080 \
-e SPRING_PROFILES_ACTIVE=dev \
honeybyte-app:1.0.0
# 실행 (프로덕션)
docker run -d \
--name honeybyte-app \
-p 8080:8080 \
-e SPRING_PROFILES_ACTIVE=prod \
-e DB_URL=jdbc:postgresql://db:5432/honeybyte \
-e DB_PASSWORD=${DB_PASSWORD} \
--restart unless-stopped \
honeybyte-app:1.0.0
Spring Boot의 프로파일은 단순히 application-dev.yml을 만드는 것 이상이다. 설정 계층과 책임 분리를 고려해야 한다.
src/main/resources/
├── application.yml ← 공통 설정 (모든 환경 공유)
├── application-dev.yml ← 로컬 개발
├── application-staging.yml ← 스테이징
└── application-prod.yml ← 프로덕션
# application.yml — 공통 설정
spring:
application:
name: honeybyte-app
# 기본 프로파일 (명시적으로 설정하지 않으면 dev)
profiles:
default: dev
group:
# prod 프로파일 활성화 시 prod + monitoring 함께 활성화
prod: "prod,monitoring"
staging: "staging,monitoring"
# JPA 공통 설정
jpa:
open-in-view: false # OSIV 비활성화 (성능)
properties:
hibernate:
format_sql: false
# Jackson 공통 설정
jackson:
default-property-inclusion: non_null
serialization:
write-dates-as-timestamps: false
deserialization:
fail-on-unknown-properties: false
# 서버 공통 설정
server:
port: 8080
compression:
enabled: true
mime-types: application/json,application/xml,text/html,text/plain
min-response-size: 1024
# 공통 Actuator 설정
management:
endpoints:
web:
exposure:
include: health,info
endpoint:
health:
show-details: never
# application-dev.yml
spring:
datasource:
url: jdbc:h2:mem:honeybyte;MODE=PostgreSQL;DB_CLOSE_DELAY=-1
driver-class-name: org.h2.Driver
username: sa
password:
h2:
console:
enabled: true
path: /h2-console
jpa:
show-sql: true
hibernate:
ddl-auto: create-drop
properties:
hibernate:
format_sql: true
# 개발용 캐시 비활성화
cache:
type: none
logging:
level:
root: INFO
com.honeybyte: DEBUG
org.springframework.web: DEBUG
org.hibernate.SQL: DEBUG
org.hibernate.orm.jdbc.bind: TRACE # 파라미터 바인딩 로그
# 개발에서는 Actuator 전체 공개
management:
endpoints:
web:
exposure:
include: "*"
endpoint:
health:
show-details: always
# application-prod.yml
spring:
datasource:
url: ${DB_URL}
username: ${DB_USERNAME}
password: ${DB_PASSWORD}
hikari:
maximum-pool-size: 20
minimum-idle: 5
connection-timeout: 30000
idle-timeout: 600000
max-lifetime: 1800000
# 커넥션 검증
connection-test-query: SELECT 1
validation-timeout: 5000
jpa:
hibernate:
ddl-auto: validate # 프로덕션에서는 자동 DDL 금지
properties:
hibernate:
# 배치 처리 최적화
jdbc.batch_size: 50
order_inserts: true
order_updates: true
# Redis 캐시
data:
redis:
host: ${REDIS_HOST}
port: 6379
password: ${REDIS_PASSWORD}
timeout: 3000ms
lettuce:
pool:
max-active: 16
max-idle: 8
# 프로덕션 서버 설정
server:
shutdown: graceful # Graceful Shutdown 활성화
tomcat:
threads:
max: 200
min-spare: 10
accept-count: 100
connection-timeout: 60000
# HTTPS (리버스 프록시 뒤에 있다면 생략 가능)
forward-headers-strategy: native
# 프로덕션 로깅 — JSON 구조화
logging:
level:
root: WARN
com.honeybyte: INFO
pattern:
console: "" # 콘솔 패턴 비활성화 (JSON 포맷터가 처리)
config: classpath:logback-spring.xml
# Actuator — 보안 설정된 엔드포인트만 공개
management:
endpoints:
web:
base-path: /internal/actuator # 경로 변경으로 외부 노출 방지
exposure:
include: health,info,metrics,prometheus,loggers
endpoint:
health:
show-details: when-authorized
show-components: when-authorized
loggers:
enabled: true
# Prometheus 메트릭
prometheus:
metrics:
export:
enabled: true
spring.lifecycle:
timeout-per-shutdown-phase: 30s
// 개발 환경에서만 실행되는 데이터 초기화 Bean
@Component
@Profile("dev")
public class DevDataInitializer implements CommandLineRunner {
private final UserRepository userRepository;
private final PasswordEncoder passwordEncoder;
public DevDataInitializer(UserRepository userRepository,
PasswordEncoder passwordEncoder) {
this.userRepository = userRepository;
this.passwordEncoder = passwordEncoder;
}
@Override
public void run(String... args) {
if (userRepository.count() == 0) {
userRepository.save(User.builder()
.email("admin@honeybyte.dev")
.password(passwordEncoder.encode("admin1234"))
.role(Role.ADMIN)
.build());
log.info("개발용 초기 데이터 삽입 완료");
}
}
}
// 프로파일별 Bean 분기
@Configuration
public class CacheConfig {
@Bean
@Profile("!prod") // 프로덕션이 아닌 환경
public CacheManager simpleCacheManager() {
return new ConcurrentMapCacheManager();
}
@Bean
@Profile("prod") // 프로덕션
public CacheManager redisCacheManager(RedisConnectionFactory factory) {
RedisCacheConfiguration config = RedisCacheConfiguration.defaultCacheConfig()
.entryTtl(Duration.ofMinutes(10))
.serializeValuesWith(
RedisSerializationContext.SerializationPair
.fromSerializer(new GenericJackson2JsonRedisSerializer())
);
return RedisCacheManager.builder(factory)
.cacheDefaults(config)
.build();
}
}
// build.gradle
dependencies {
implementation 'org.springframework.boot:spring-boot-starter-actuator'
implementation 'io.micrometer:micrometer-registry-prometheus' // Prometheus 메트릭
}
| 엔드포인트 | 경로 | 용도 |
|---|---|---|
/actuator/health |
GET | 헬스체크 (로드밸런서용) |
/actuator/info |
GET | 앱 메타정보 |
/actuator/metrics |
GET | 메트릭 목록 |
/actuator/prometheus |
GET | Prometheus 스크래핑 |
/actuator/loggers |
GET/POST | 런타임 로그 레벨 변경 |
/actuator/env |
GET | 현재 환경 변수 |
/actuator/threaddump |
GET | 스레드 덤프 |
@Component
public class DatabaseHealthIndicator implements HealthIndicator {
private final DataSource dataSource;
public DatabaseHealthIndicator(DataSource dataSource) {
this.dataSource = dataSource;
}
@Override
public Health health() {
try (Connection conn = dataSource.getConnection()) {
PreparedStatement ps = conn.prepareStatement("SELECT 1");
ResultSet rs = ps.executeQuery();
if (rs.next()) {
return Health.up()
.withDetail("database", "PostgreSQL")
.withDetail("status", "Connected")
.build();
}
} catch (Exception e) {
return Health.down()
.withDetail("error", e.getMessage())
.build();
}
return Health.unknown().build();
}
}
// 외부 API 헬스체크
@Component
public class ExternalApiHealthIndicator implements HealthIndicator {
private final RestTemplate restTemplate;
private final String externalApiUrl;
@Override
public Health health() {
try {
ResponseEntity<String> response = restTemplate.getForEntity(
externalApiUrl + "/ping", String.class
);
if (response.getStatusCode().is2xxSuccessful()) {
return Health.up()
.withDetail("externalApi", externalApiUrl)
.withDetail("responseTime", "OK")
.build();
}
} catch (Exception e) {
return Health.down()
.withDetail("externalApi", externalApiUrl)
.withDetail("error", e.getMessage())
.build();
}
return Health.down().build();
}
}
헬스체크 응답 예시:
{
"status": "UP",
"components": {
"db": {
"status": "UP",
"details": {
"database": "PostgreSQL",
"status": "Connected"
}
},
"redis": {
"status": "UP"
},
"diskSpace": {
"status": "UP",
"details": {
"total": 107374182400,
"free": 52428800000,
"threshold": 10485760
}
}
}
}
@Service
public class OrderService {
private final Counter orderCreatedCounter;
private final Counter orderFailedCounter;
private final Timer orderProcessingTimer;
private final Gauge activeOrdersGauge;
private final AtomicInteger activeOrders = new AtomicInteger(0);
public OrderService(MeterRegistry registry) {
this.orderCreatedCounter = Counter.builder("orders.created.total")
.description("총 주문 생성 수")
.tag("service", "order")
.register(registry);
this.orderFailedCounter = Counter.builder("orders.failed.total")
.description("총 주문 실패 수")
.register(registry);
this.orderProcessingTimer = Timer.builder("orders.processing.duration")
.description("주문 처리 시간")
.publishPercentiles(0.5, 0.95, 0.99) // p50, p95, p99
.register(registry);
this.activeOrdersGauge = Gauge.builder("orders.active", activeOrders, AtomicInteger::get)
.description("현재 처리 중인 주문 수")
.register(registry);
}
public OrderResponse createOrder(CreateOrderRequest request) {
return orderProcessingTimer.record(() -> {
activeOrders.incrementAndGet();
try {
// 주문 처리 로직
OrderResponse response = processOrder(request);
orderCreatedCounter.increment();
return response;
} catch (Exception e) {
orderFailedCounter.increment();
throw e;
} finally {
activeOrders.decrementAndGet();
}
});
}
}
@Configuration
@EnableWebSecurity
public class ActuatorSecurityConfig {
@Bean
@Order(1) // 일반 보안 설정보다 먼저 적용
public SecurityFilterChain actuatorSecurityFilterChain(HttpSecurity http) throws Exception {
http
.securityMatcher("/internal/actuator/**")
.authorizeHttpRequests(auth -> auth
.requestMatchers("/internal/actuator/health").permitAll()
.requestMatchers("/internal/actuator/prometheus").hasRole("MONITORING")
.anyRequest().hasRole("ADMIN")
)
.httpBasic(Customizer.withDefaults())
.csrf(csrf -> csrf.disable());
return http.build();
}
}
sequenceDiagram
participant LB as Load Balancer
participant App as Spring Boot App
participant Client as Client
Note over App: 배포 시작 (SIGTERM 수신)
rect rgb(255, 200, 200)
Note over App: ❌ Graceful Shutdown 없음
LB->>App: 요청 라우팅 중...
App->>App: 즉시 종료
LB-->>Client: Connection Reset (502/503 에러)
end
rect rgb(200, 255, 200)
Note over App: ✅ Graceful Shutdown 있음
App->>LB: /actuator/health → DOWN (신호)
LB->>LB: 이 인스턴스로 라우팅 중단
App->>App: 진행 중인 요청 완료 대기 (최대 30초)
App->>App: 완료 후 종료
Note over Client: 요청 손실 없음
end
# application-prod.yml
server:
shutdown: graceful # 핵심 설정
spring:
lifecycle:
timeout-per-shutdown-phase: 30s # 최대 대기 시간
@Component
@Slf4j
public class AppShutdownHook implements DisposableBean {
private final MessageQueueService messageQueueService;
private final SchedulerService schedulerService;
@Override
public void destroy() throws Exception {
log.info("애플리케이션 종료 시작 — 리소스 정리 중");
// 1. 스케줄러 중단 (새 작업 받지 않음)
schedulerService.shutdown();
// 2. 메시지 큐 처리 완료 대기
messageQueueService.drainAndStop();
log.info("리소스 정리 완료 — 종료 진행");
}
}
// Kubernetes preStop hook 대응 — 트래픽 드레이닝 지원
@RestController
@RequestMapping("/internal")
public class LifecycleController {
private volatile boolean accepting = true;
// Kubernetes preStop hook이 이 엔드포인트를 호출
@PostMapping("/pre-stop")
public ResponseEntity<Void> preStop() throws InterruptedException {
log.info("preStop 호출 — 트래픽 수락 중단");
accepting = false;
// 로드밸런서가 라우팅 테이블에서 제거할 시간을 줌
Thread.sleep(5000);
return ResponseEntity.ok().build();
}
@GetMapping("/actuator/health/readiness")
public ResponseEntity<Map<String, String>> readiness() {
if (accepting) {
return ResponseEntity.ok(Map.of("status", "UP"));
}
return ResponseEntity.status(503).body(Map.of("status", "OUT_OF_SERVICE"));
}
}
# deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: honeybyte-app
spec:
replicas: 3
strategy:
type: RollingUpdate
rollingUpdate:
maxSurge: 1 # 동시에 최대 1개 추가
maxUnavailable: 0 # 항상 모든 파드 유지
template:
spec:
terminationGracePeriodSeconds: 60 # SIGTERM 후 SIGKILL까지 대기
containers:
- name: honeybyte-app
image: honeybyte-app:1.0.0
ports:
- containerPort: 8080
env:
- name: SPRING_PROFILES_ACTIVE
value: "prod"
# 시작 프로브 — 앱이 완전히 뜰 때까지 대기
startupProbe:
httpGet:
path: /actuator/health/liveness
port: 8080
failureThreshold: 30 # 최대 5분 대기 (30 * 10s)
periodSeconds: 10
# 활성 프로브 — 비정상 감지 시 재시작
livenessProbe:
httpGet:
path: /actuator/health/liveness
port: 8080
initialDelaySeconds: 0
periodSeconds: 10
failureThreshold: 3
# 준비 프로브 — 트래픽 수신 준비 여부
readinessProbe:
httpGet:
path: /actuator/health/readiness
port: 8080
initialDelaySeconds: 0
periodSeconds: 5
failureThreshold: 3
# Graceful Shutdown을 위한 preStop
lifecycle:
preStop:
exec:
command: ["/bin/sh", "-c", "sleep 10"] # 로드밸런서 드레이닝 대기
resources:
requests:
memory: "512Mi"
cpu: "250m"
limits:
memory: "1Gi"
cpu: "1000m"
# docker-compose.yml
version: '3.8'
services:
app:
build: .
ports:
- "8080:8080"
environment:
SPRING_PROFILES_ACTIVE: dev
depends_on:
db:
condition: service_healthy
redis:
condition: service_healthy
healthcheck:
test: ["CMD", "wget", "-qO-", "http://localhost:8080/actuator/health"]
interval: 30s
timeout: 10s
retries: 3
start_period: 60s
db:
image: postgres:16-alpine
environment:
POSTGRES_DB: honeybyte
POSTGRES_USER: honeybyte
POSTGRES_PASSWORD: honeybyte123
volumes:
- postgres_data:/var/lib/postgresql/data
healthcheck:
test: ["CMD-SHELL", "pg_isready -U honeybyte"]
interval: 10s
timeout: 5s
retries: 5
redis:
image: redis:7-alpine
command: redis-server --save 20 1 --loglevel warning
volumes:
- redis_data:/data
healthcheck:
test: ["CMD", "redis-cli", "ping"]
interval: 10s
timeout: 5s
retries: 5
volumes:
postgres_data:
redis_data:
개발환경에서는 사람이 읽는 로그가 편하지만, 프로덕션에서는 기계가 파싱하는 로그가 필요하다.
# 텍스트 로그 (Splunk, ELK에서 파싱 어려움)
2026-03-26 14:35:22.123 ERROR 12345 --- [http-nio-8080-exec-1] c.h.service.OrderService : 주문 처리 실패 orderId=ORD-001 userId=42
# JSON 로그 (즉시 인덱싱, 검색 가능)
{"timestamp":"2026-03-26T14:35:22.123Z","level":"ERROR","thread":"http-nio-8080-exec-1","logger":"c.h.service.OrderService","message":"주문 처리 실패","orderId":"ORD-001","userId":42,"traceId":"abc123"}
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<!-- Spring 프로파일별 설정 분기 -->
<springProfile name="dev">
<!-- 개발: 컬러 텍스트 로그 -->
<appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
<encoder>
<pattern>%clr(%d{HH:mm:ss.SSS}){faint} %clr(%5p) %clr(${PID:- }){magenta} %clr(---){faint} %clr([%15.15t]){faint} %clr(%-40.40logger{39}){cyan} %clr(:){faint} %m%n%throwable</pattern>
</encoder>
</appender>
<root level="INFO">
<appender-ref ref="CONSOLE"/>
</root>
</springProfile>
<springProfile name="prod,staging">
<!-- 프로덕션/스테이징: JSON 구조화 로그 -->
<appender name="JSON_CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
<encoder class="net.logstash.logback.encoder.LogstashEncoder">
<!-- 기본 필드 커스터마이징 -->
<fieldNames>
<timestamp>timestamp</timestamp>
<version>[ignore]</version>
<levelValue>[ignore]</levelValue>
</fieldNames>
<!-- 앱 공통 필드 추가 -->
<customFields>{"app":"honeybyte-app","env":"${spring.profiles.active}"}</customFields>
<!-- 예외 스택트레이스 포함 -->
<throwableConverter class="net.logstash.logback.stacktrace.ShortenedThrowableConverter">
<maxDepthPerCause>10</maxDepthPerCause>
<shortenedClassNameLength>20</shortenedClassNameLength>
<rootCauseFirst>true</rootCauseFirst>
</throwableConverter>
</encoder>
</appender>
<!-- 파일 로그 (롤링) -->
<appender name="FILE" class="ch.qos.logback.core.rolling.RollingFileAppender">
<file>/var/log/honeybyte/app.log</file>
<rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy">
<fileNamePattern>/var/log/honeybyte/app.%d{yyyy-MM-dd}.%i.log.gz</fileNamePattern>
<maxFileSize>100MB</maxFileSize>
<maxHistory>30</maxHistory>
<totalSizeCap>3GB</totalSizeCap>
</rollingPolicy>
<encoder class="net.logstash.logback.encoder.LogstashEncoder"/>
</appender>
<root level="WARN">
<appender-ref ref="JSON_CONSOLE"/>
<appender-ref ref="FILE"/>
</root>
<logger name="com.honeybyte" level="INFO"/>
</springProfile>
</configuration>
build.gradle에 logstash 인코더 추가:
dependencies {
implementation 'net.logstash.logback:logstash-logback-encoder:8.0'
}
// 모든 요청에 traceId, userId를 자동으로 MDC에 추가
@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class RequestLoggingFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
// 분산 추적 ID (없으면 생성)
String traceId = Optional.ofNullable(httpRequest.getHeader("X-Trace-Id"))
.orElse(UUID.randomUUID().toString().substring(0, 8));
try {
MDC.put("traceId", traceId);
MDC.put("method", httpRequest.getMethod());
MDC.put("uri", httpRequest.getRequestURI());
// 인증된 사용자 정보 추가
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
if (auth != null && auth.isAuthenticated()) {
MDC.put("userId", auth.getName());
}
chain.doFilter(request, response);
} finally {
MDC.clear(); // 반드시 클리어 (스레드 풀 재사용 시 오염 방지)
}
}
}
// 서비스에서 구조화된 로그 출력
@Service
@Slf4j
public class OrderService {
public OrderResponse createOrder(CreateOrderRequest request) {
// MDC에 컨텍스트 추가
MDC.put("orderId", request.getOrderId());
log.info("주문 생성 시작",
// logstash-logback-encoder의 구조화 인수
StructuredArguments.kv("customerId", request.getCustomerId()),
StructuredArguments.kv("amount", request.getAmount()),
StructuredArguments.kv("itemCount", request.getItems().size())
);
try {
OrderResponse response = processOrder(request);
log.info("주문 생성 완료",
StructuredArguments.kv("orderId", response.getId()),
StructuredArguments.kv("processingTimeMs", response.getProcessingTime())
);
return response;
} catch (InsufficientStockException e) {
log.warn("재고 부족으로 주문 실패",
StructuredArguments.kv("productId", e.getProductId()),
StructuredArguments.kv("requested", e.getRequested()),
StructuredArguments.kv("available", e.getAvailable())
);
throw e;
} finally {
MDC.remove("orderId");
}
}
}
JSON 로그 출력 예시:
{
"timestamp": "2026-03-26T14:35:22.123Z",
"level": "INFO",
"thread": "http-nio-8080-exec-5",
"logger": "c.h.service.OrderService",
"message": "주문 생성 완료",
"app": "honeybyte-app",
"env": "prod",
"traceId": "a3f9b2c1",
"userId": "user@honeybyte.com",
"method": "POST",
"uri": "/api/orders",
"orderId": "ORD-20260326-001",
"processingTimeMs": 127
}
배포 없이 특정 패키지의 로그 레벨을 실시간으로 변경할 수 있다:
# 현재 로그 레벨 확인
curl http://localhost:8080/internal/actuator/loggers/com.honeybyte
# 응답
{
"configuredLevel": "INFO",
"effectiveLevel": "INFO"
}
# DEBUG로 변경 (트러블슈팅 시)
curl -X POST \
http://localhost:8080/internal/actuator/loggers/com.honeybyte \
-H "Content-Type: application/json" \
-d '{"configuredLevel": "DEBUG"}'
# 원복
curl -X POST \
http://localhost:8080/internal/actuator/loggers/com.honeybyte \
-H "Content-Type: application/json" \
-d '{"configuredLevel": "INFO"}'
graph TB
subgraph CI["CI/CD Pipeline"]
GH[GitHub Push] --> GA[GitHub Actions]
GA --> TEST[테스트 실행]
TEST --> BUILD[Docker Build<br/>멀티스테이지 + Layered JAR]
BUILD --> PUSH[Registry Push]
end
subgraph K8S["Kubernetes Cluster"]
PUSH --> DEPLOY[Rolling Deployment]
subgraph POD1["Pod 1 (Old)"]
APP1[Spring Boot App<br/>profile=prod]
end
subgraph POD2["Pod 2 (New)"]
APP2[Spring Boot App<br/>profile=prod]
end
DEPLOY -->|"1. preStop 훅 실행<br/>2. readiness=DOWN<br/>3. 트래픽 드레이닝<br/>4. 30초 대기 후 종료"| POD1
DEPLOY -->|"신규 파드 기동<br/>startupProbe 통과 후<br/>트래픽 수신 시작"| POD2
end
subgraph OBS["Observability"]
PROM[Prometheus<br/>/actuator/prometheus] --> GRAFANA[Grafana Dashboard]
ELK[ELK Stack] --> KIBANA[Kibana<br/>JSON 로그 검색]
APP2 --> PROM
APP2 --> ELK
end
LB[Load Balancer] --> POD1
LB --> POD2
Spring Boot 배포와 운영의 핵심을 정리하면:
코드는 로컬에서 돌아가도 충분하지 않다. 프로덕션에서 안정적으로 돌아가야 진짜다.
spring-boot-deep-dive 시리즈 완결. Part 1~8을 통해 Spring Boot의 핵심 — DI부터 배포까지 — 을 모두 다뤘다. 다음엔 무엇을 파고들까?
| Part | 주제 | 링크 |
|---|---|---|
| Part 1 | Spring Boot 시작하기 | 보러가기 |
| Part 2 | 의존성 주입과 IoC | 보러가기 |
| Part 3 | 레이어드 아키텍처 | 보러가기 |
| Part 4 | Spring Data JPA | 보러가기 |
| Part 5 | 예외 처리와 검증 | 보러가기 |
| Part 6 | Spring Security | 보러가기 |
| Part 7 | 테스트 전략 | 보러가기 |
| Part 8 | 배포와 운영 | 현재 글 |
| *HoneyByte | 깊이 있는 개발 이야기* |
코드의 신뢰성은 테스트로 증명된다. @SpringBootTest부터 슬라이스 테스트, Testcontainers까지 — 실무에서 실제로 동작하는 테스트 계층 전략을 코드와 함께 깊이 파헤친다.
Spring Boot의 테스트 전략은 피라미드 구조로 접근한다. 빠르고 가벼운 단위 테스트(Unit Test)를 기반으로, 웹 계층만 로딩하는 @WebMvcTest, 데이터 계층만 로딩하는 @DataJpaTest 등 슬라이스 테스트를 활용해 빌드 속도를 유지하면서 각 계층을 독립적으로 검증한다. 전체 통합 검증이 필요한 경우 @SpringBootTest를 사용하되, Testcontainers로 실제 DB 환경을 컨테이너로 띄워 H2 인메모리의 한계를 극복한다. 2025년 기준 Spring Boot 3.x는 MockMvcTester(AssertJ 기반)를 지원하며, 더욱 풍부한 assertion API를 제공한다.
Spring Boot 애플리케이션은 애플리케이션 컨텍스트를 로딩하는 데 수 초가 걸린다. 모든 테스트에 @SpringBootTest를 남발하면:
테스트 피라미드는 이 문제의 해답이다.
graph TD
A["🔺 E2E Test\n(Selenium, Playwright)\n느림 · 비싸다 · 적게"]
B["🔸 Integration Test\n(@SpringBootTest + Testcontainers)\n중간 속도 · 계층 전체 검증"]
C["🔷 Slice Test\n(@WebMvcTest / @DataJpaTest)\n빠름 · 특정 계층만 로딩"]
D["🔹 Unit Test\n(JUnit5 + Mockito)\n매우 빠름 · 의존성 없음 · 많이"]
A --- B
B --- C
C --- D
style A fill:#fbb,stroke:#c33
style B fill:#fdb,stroke:#c93
style C fill:#bdf,stroke:#39c
style D fill:#bfb,stroke:#3c3
원칙:
| 어노테이션 | 컨텍스트 로딩 | 속도 | 주요 용도 |
|---|---|---|---|
@SpringBootTest |
전체 ApplicationContext | 느림 (3~10초+) | 통합 테스트, 전체 흐름 검증 |
@WebMvcTest |
MVC 계층만 | 빠름 (< 1초) | Controller 단독 테스트 |
@DataJpaTest |
JPA 계층만 | 보통 (< 2초) | Repository 테스트, 쿼리 검증 |
@DataMongoTest |
MongoDB 계층만 | 보통 | MongoDB Repository 테스트 |
@RestClientTest |
REST 클라이언트만 | 빠름 | RestTemplate/WebClient 테스트 |
| 없음 (plain) | 없음 | 매우 빠름 | 순수 단위 테스트 |
build.gradle 테스트 의존성dependencies {
// Spring Boot Test (JUnit5, MockMvc, Spring Test 포함)
testImplementation 'org.springframework.boot:spring-boot-starter-test'
// Testcontainers - Spring Boot 통합
testImplementation 'org.springframework.boot:spring-boot-testcontainers'
testImplementation 'org.testcontainers:junit-jupiter'
testImplementation 'org.testcontainers:postgresql' // PostgreSQL 컨테이너
// AssertJ (spring-boot-starter-test에 포함, 명시적 선언도 가능)
testImplementation 'org.assertj:assertj-core'
// 런타임 의존성
runtimeOnly 'org.postgresql:postgresql'
}
test {
useJUnitPlatform()
}
application.yml (테스트용 분리)# src/test/resources/application-test.yml
spring:
datasource:
url: jdbc:tc:postgresql:15:///testdb # Testcontainers JDBC URL
driver-class-name: org.testcontainers.jdbc.ContainerDatabaseDriver
jpa:
hibernate:
ddl-auto: create-drop
show-sql: true
properties:
hibernate:
format_sql: true
테스트 대상은 시리즈 이전 파트에서 구현한 User CRUD API다.
UserService (순수 Mockito)스프링 컨텍스트 없이 Mockito만으로 비즈니스 로직을 검증한다. 가장 빠르고 격리된 테스트다.
// src/test/java/com/honeybarrel/hellospringboot/service/UserServiceTest.java
package com.honeybarrel.hellospringboot.service;
import com.honeybarrel.hellospringboot.domain.User;
import com.honeybarrel.hellospringboot.dto.UserDto;
import com.honeybarrel.hellospringboot.repository.UserRepository;
import org.junit.jupiter.api.BeforeEach;
import org.junit.jupiter.api.DisplayName;
import org.junit.jupiter.api.Test;
import org.junit.jupiter.api.extension.ExtendWith;
import org.mockito.InjectMocks;
import org.mockito.Mock;
import org.mockito.junit.jupiter.MockitoExtension;
import java.util.Optional;
import static org.assertj.core.api.Assertions.*;
import static org.mockito.ArgumentMatchers.any;
import static org.mockito.BDDMockito.*;
@ExtendWith(MockitoExtension.class) // 스프링 컨텍스트 로딩 없음 — 초고속
class UserServiceTest {
@Mock
UserRepository userRepository;
@InjectMocks
UserService userService;
private User mockUser;
@BeforeEach
void setUp() {
mockUser = User.builder()
.id(1L)
.name("꿀벌왕")
.email("king@honeybarrel.co.kr")
.build();
}
@Test
@DisplayName("사용자 생성 — 정상 케이스")
void createUser_success() {
// Given
UserDto.CreateRequest request = new UserDto.CreateRequest("꿀벌왕", "king@honeybarrel.co.kr");
given(userRepository.save(any(User.class))).willReturn(mockUser);
// When
UserDto.Response response = userService.createUser(request);
// Then
assertThat(response.getId()).isEqualTo(1L);
assertThat(response.getName()).isEqualTo("꿀벌왕");
assertThat(response.getEmail()).isEqualTo("king@honeybarrel.co.kr");
then(userRepository).should(times(1)).save(any(User.class));
}
@Test
@DisplayName("존재하지 않는 ID 조회 — IllegalArgumentException 발생")
void getUserById_notFound_throwsException() {
// Given
given(userRepository.findById(999L)).willReturn(Optional.empty());
// When & Then
assertThatThrownBy(() -> userService.getUserById(999L))
.isInstanceOf(IllegalArgumentException.class)
.hasMessageContaining("사용자를 찾을 수 없습니다");
}
@Test
@DisplayName("사용자 삭제 — 정상 케이스")
void deleteUser_success() {
// Given
given(userRepository.findById(1L)).willReturn(Optional.of(mockUser));
willDoNothing().given(userRepository).delete(mockUser);
// When
userService.deleteUser(1L);
// Then
then(userRepository).should(times(1)).delete(mockUser);
}
}
포인트:
@ExtendWith(MockitoExtension.class) — Spring 컨텍스트 0, 실행 50ms 내외given(...).willReturn(...) — BDD 스타일 Mockito (given/when/then)assertThatThrownBy — 예외 케이스를 명확하게 검증UserService는 UserRepository 인터페이스에만 의존 → Mock으로 교체 가능 (DIP)@WebMvcTest (Controller 계층)MVC 계층만 로딩. UserService는 @MockBean으로 대체한다.
// src/test/java/com/honeybarrel/hellospringboot/controller/UserControllerTest.java
package com.honeybarrel.hellospringboot.controller;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.honeybarrel.hellospringboot.dto.UserDto;
import com.honeybarrel.hellospringboot.service.UserService;
import org.junit.jupiter.api.DisplayName;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.autoconfigure.web.servlet.WebMvcTest;
import org.springframework.boot.test.mock.mockito.MockBean;
import org.springframework.http.MediaType;
import org.springframework.test.web.servlet.MockMvc;
import java.util.List;
import static org.mockito.ArgumentMatchers.any;
import static org.mockito.BDDMockito.*;
import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.*;
import static org.springframework.test.web.servlet.result.MockMvcResultHandlers.print;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.*;
@WebMvcTest(UserController.class) // UserController 관련 Bean만 로딩
class UserControllerTest {
@Autowired
MockMvc mockMvc;
@Autowired
ObjectMapper objectMapper; // JSON 직렬화/역직렬화
@MockBean // Spring 컨텍스트에 Mock Bean 등록 (Service는 실제 구현체 불필요)
UserService userService;
@Test
@DisplayName("POST /api/users — 사용자 생성 성공 (201 Created)")
void createUser_returns201() throws Exception {
// Given
UserDto.CreateRequest request = new UserDto.CreateRequest("꿀벌왕", "king@honeybarrel.co.kr");
UserDto.Response response = UserDto.Response.builder()
.id(1L).name("꿀벌왕").email("king@honeybarrel.co.kr").build();
given(userService.createUser(any(UserDto.CreateRequest.class))).willReturn(response);
// When & Then
mockMvc.perform(post("/api/users")
.contentType(MediaType.APPLICATION_JSON)
.content(objectMapper.writeValueAsString(request)))
.andDo(print()) // 요청/응답 콘솔 출력
.andExpect(status().isCreated())
.andExpect(jsonPath("$.id").value(1L))
.andExpect(jsonPath("$.name").value("꿀벌왕"))
.andExpect(jsonPath("$.email").value("king@honeybarrel.co.kr"));
}
@Test
@DisplayName("POST /api/users — 유효성 검사 실패 (400 Bad Request)")
void createUser_invalidRequest_returns400() throws Exception {
// Given — 이름 빈 문자열 (validation 실패)
UserDto.CreateRequest invalidRequest = new UserDto.CreateRequest("", "not-an-email");
// When & Then
mockMvc.perform(post("/api/users")
.contentType(MediaType.APPLICATION_JSON)
.content(objectMapper.writeValueAsString(invalidRequest)))
.andExpect(status().isBadRequest());
}
@Test
@DisplayName("GET /api/users — 목록 조회 성공 (200 OK)")
void getAllUsers_returns200() throws Exception {
// Given
List<UserDto.Response> users = List.of(
UserDto.Response.builder().id(1L).name("꿀벌왕").email("king@honeybarrel.co.kr").build(),
UserDto.Response.builder().id(2L).name("일벌A").email("worker_a@honeybarrel.co.kr").build()
);
given(userService.getAllUsers()).willReturn(users);
// When & Then
mockMvc.perform(get("/api/users"))
.andExpect(status().isOk())
.andExpect(jsonPath("$.length()").value(2))
.andExpect(jsonPath("$[0].name").value("꿀벌왕"));
}
@Test
@DisplayName("GET /api/users/{id} — 존재하지 않는 ID (400 Bad Request)")
void getUserById_notFound_returns400() throws Exception {
// Given
given(userService.getUserById(999L))
.willThrow(new IllegalArgumentException("사용자를 찾을 수 없습니다. ID: 999"));
// When & Then
mockMvc.perform(get("/api/users/999"))
.andExpect(status().isBadRequest())
.andExpect(content().string("사용자를 찾을 수 없습니다. ID: 999"));
}
}
포인트:
@WebMvcTest(UserController.class) — Controller, Filter, ControllerAdvice만 로딩. JPA, Service 없음@MockBean — Spring 컨텍스트에 Mock 등록 (@Mock과 다름)jsonPath("$.name") — JSON 응답 필드 검증@DataJpaTest (Repository 계층)JPA 관련 Bean만 로딩. 기본으로 인메모리 H2 DB 사용.
// src/test/java/com/honeybarrel/hellospringboot/repository/UserRepositoryTest.java
package com.honeybarrel.hellospringboot.repository;
import com.honeybarrel.hellospringboot.domain.User;
import org.junit.jupiter.api.DisplayName;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.autoconfigure.orm.jpa.DataJpaTest;
import org.springframework.boot.test.autoconfigure.orm.jpa.TestEntityManager;
import java.util.Optional;
import static org.assertj.core.api.Assertions.*;
@DataJpaTest // JPA 계층만 로딩, 자동으로 H2 인메모리 DB 사용, @Transactional 포함
class UserRepositoryTest {
@Autowired
TestEntityManager em; // 테스트용 EntityManager
@Autowired
UserRepository userRepository;
@Test
@DisplayName("사용자 저장 및 조회 — ID로 찾기")
void saveAndFindById() {
// Given
User user = User.builder()
.name("꿀벌왕")
.email("king@honeybarrel.co.kr")
.build();
User saved = userRepository.save(user);
em.flush(); // 영속성 컨텍스트 → DB 반영
em.clear(); // 1차 캐시 초기화 (실제 DB 조회 강제)
// When
Optional<User> found = userRepository.findById(saved.getId());
// Then
assertThat(found).isPresent();
assertThat(found.get().getName()).isEqualTo("꿀벌왕");
assertThat(found.get().getEmail()).isEqualTo("king@honeybarrel.co.kr");
}
@Test
@DisplayName("이름으로 사용자 찾기 — 쿼리 메서드 검증")
void findByName_returnsUser() {
// Given
User user = User.builder().name("일벌A").email("worker@honeybarrel.co.kr").build();
em.persistAndFlush(user);
em.clear();
// When
Optional<User> found = userRepository.findByName("일벌A");
// Then
assertThat(found).isPresent();
assertThat(found.get().getEmail()).isEqualTo("worker@honeybarrel.co.kr");
}
@Test
@DisplayName("존재하지 않는 이름 — 빈 Optional 반환")
void findByName_notExists_returnsEmpty() {
// When
Optional<User> found = userRepository.findByName("없는유저");
// Then
assertThat(found).isEmpty();
}
@Test
@DisplayName("사용자 삭제 — 삭제 후 조회 시 빈 Optional")
void deleteUser_thenFindById_returnsEmpty() {
// Given
User user = User.builder().name("삭제유저").email("del@example.com").build();
User saved = em.persistAndFlush(user);
// When
userRepository.deleteById(saved.getId());
em.flush();
em.clear();
// Then
assertThat(userRepository.findById(saved.getId())).isEmpty();
}
}
포인트:
em.flush() + em.clear() — 1차 캐시를 비워 실제 DB SELECT를 발생시켜야 쿼리 메서드가 제대로 동작하는지 검증@DataJpaTest는 기본적으로 각 테스트가 롤백됨 (@Transactional 포함)@SpringBootTest + Testcontainers전체 애플리케이션 컨텍스트 + 실제 PostgreSQL 컨테이너 사용. 프로덕션 환경에 가장 가까운 테스트다.
// src/test/java/com/honeybarrel/hellospringboot/integration/UserIntegrationTest.java
package com.honeybarrel.hellospringboot.integration;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.honeybarrel.hellospringboot.dto.UserDto;
import com.honeybarrel.hellospringboot.repository.UserRepository;
import org.junit.jupiter.api.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.autoconfigure.web.servlet.AutoConfigureMockMvc;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.http.MediaType;
import org.springframework.test.context.DynamicPropertyRegistry;
import org.springframework.test.context.DynamicPropertySource;
import org.springframework.test.web.servlet.MockMvc;
import org.testcontainers.containers.PostgreSQLContainer;
import org.testcontainers.junit.jupiter.Container;
import org.testcontainers.junit.jupiter.Testcontainers;
import static org.assertj.core.api.Assertions.*;
import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.*;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.*;
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
@AutoConfigureMockMvc // MockMvc 자동 설정
@Testcontainers // Testcontainers 활성화
@TestMethodOrder(MethodOrderer.OrderAnnotation.class) // 테스트 순서 지정
class UserIntegrationTest {
// PostgreSQL 컨테이너 — 모든 테스트 클래스에서 공유 (static)
@Container
static final PostgreSQLContainer<?> postgres = new PostgreSQLContainer<>("postgres:15-alpine")
.withDatabaseName("testdb")
.withUsername("test")
.withPassword("test");
// 컨테이너 기동 후 Spring 데이터소스 속성을 동적으로 주입
@DynamicPropertySource
static void registerPgProperties(DynamicPropertyRegistry registry) {
registry.add("spring.datasource.url", postgres::getJdbcUrl);
registry.add("spring.datasource.username", postgres::getUsername);
registry.add("spring.datasource.password", postgres::getPassword);
registry.add("spring.datasource.driver-class-name", () -> "org.postgresql.Driver");
registry.add("spring.jpa.database-platform", () -> "org.hibernate.dialect.PostgreSQLDialect");
}
@Autowired
MockMvc mockMvc;
@Autowired
ObjectMapper objectMapper;
@Autowired
UserRepository userRepository;
@BeforeEach
void cleanUp() {
userRepository.deleteAll();
}
@Test
@Order(1)
@DisplayName("[통합] 사용자 생성 → 목록 조회 → 삭제 전체 흐름")
void fullCrudFlow() throws Exception {
// 1. 생성
UserDto.CreateRequest createRequest = new UserDto.CreateRequest("꿀벌왕", "king@honeybarrel.co.kr");
String body = mockMvc.perform(post("/api/users")
.contentType(MediaType.APPLICATION_JSON)
.content(objectMapper.writeValueAsString(createRequest)))
.andExpect(status().isCreated())
.andExpect(jsonPath("$.name").value("꿀벌왕"))
.andReturn().getResponse().getContentAsString();
Long createdId = objectMapper.readTree(body).get("id").asLong();
// 2. 단건 조회
mockMvc.perform(get("/api/users/{id}", createdId))
.andExpect(status().isOk())
.andExpect(jsonPath("$.email").value("king@honeybarrel.co.kr"));
// 3. 수정
UserDto.UpdateRequest updateRequest = new UserDto.UpdateRequest(createdId, "꿀벌왕 수정", null);
mockMvc.perform(put("/api/users")
.contentType(MediaType.APPLICATION_JSON)
.content(objectMapper.writeValueAsString(updateRequest)))
.andExpect(status().isOk())
.andExpect(jsonPath("$.name").value("꿀벌왕 수정"));
// 4. 삭제
mockMvc.perform(delete("/api/users/{id}", createdId))
.andExpect(status().isNoContent());
// 5. 삭제 후 조회 — 없음
mockMvc.perform(get("/api/users/{id}", createdId))
.andExpect(status().isBadRequest());
// 6. DB 직접 검증
assertThat(userRepository.findById(createdId)).isEmpty();
}
@Test
@Order(2)
@DisplayName("[통합] 중복 이메일 처리 — 비즈니스 정책 검증")
void duplicateEmail_isHandled() throws Exception {
// Given — 동일 이메일로 2명 생성 시도
UserDto.CreateRequest req1 = new UserDto.CreateRequest("유저1", "dup@example.com");
UserDto.CreateRequest req2 = new UserDto.CreateRequest("유저2", "dup@example.com");
mockMvc.perform(post("/api/users")
.contentType(MediaType.APPLICATION_JSON)
.content(objectMapper.writeValueAsString(req1)))
.andExpect(status().isCreated());
// 두 번째 생성은 비즈니스 정책에 따라 처리 (예: 허용 또는 4xx 반환)
// 실제 정책이 있다면 여기서 검증
mockMvc.perform(post("/api/users")
.contentType(MediaType.APPLICATION_JSON)
.content(objectMapper.writeValueAsString(req2)));
// 정책에 따라 .andExpect(status().isConflict()) 등으로 검증
}
}
Testcontainers 동작 원리:
sequenceDiagram
participant JUnit as JUnit 5
participant TC as Testcontainers
participant Docker as Docker Daemon
participant Spring as Spring Context
participant Test as Test Method
JUnit->>TC: @Container static 필드 감지
TC->>Docker: PostgreSQL 컨테이너 요청 (postgres:15-alpine)
Docker-->>TC: 컨테이너 포트 반환 (랜덤 포트)
TC->>Spring: @DynamicPropertySource 주입<br/>(JDBC URL, username, password)
Spring->>Spring: ApplicationContext 로딩<br/>(실제 PostgreSQL 연결)
Spring-->>JUnit: 컨텍스트 준비 완료
JUnit->>Test: 테스트 메서드 실행
Test->>Spring: HTTP 요청 (MockMvc)
Spring->>Docker: SQL 쿼리
Docker-->>Spring: 결과 반환
Spring-->>Test: HTTP 응답
JUnit->>TC: 테스트 완료 → 컨테이너 종료
AbstractIntegrationTest통합 테스트가 많아지면 컨텍스트를 반복 로딩하는 오버헤드가 생긴다. 추상 기반 클래스로 컨텍스트를 재사용한다.
// src/test/java/com/honeybarrel/hellospringboot/integration/AbstractIntegrationTest.java
package com.honeybarrel.hellospringboot.integration;
import org.springframework.boot.test.autoconfigure.web.servlet.AutoConfigureMockMvc;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.test.context.DynamicPropertyRegistry;
import org.springframework.test.context.DynamicPropertySource;
import org.testcontainers.containers.PostgreSQLContainer;
import org.testcontainers.junit.jupiter.Container;
import org.testcontainers.junit.jupiter.Testcontainers;
/**
* 모든 통합 테스트가 상속하는 기반 클래스.
* PostgreSQL 컨테이너를 한 번만 기동하고 공유한다 (static).
*/
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
@AutoConfigureMockMvc
@Testcontainers
public abstract class AbstractIntegrationTest {
@Container
static final PostgreSQLContainer<?> POSTGRES = new PostgreSQLContainer<>("postgres:15-alpine")
.withDatabaseName("testdb")
.withUsername("test")
.withPassword("test");
@DynamicPropertySource
static void configureProperties(DynamicPropertyRegistry registry) {
registry.add("spring.datasource.url", POSTGRES::getJdbcUrl);
registry.add("spring.datasource.username", POSTGRES::getUsername);
registry.add("spring.datasource.password", POSTGRES::getPassword);
}
}
// 사용 예시
// class UserIntegrationTest extends AbstractIntegrationTest { ... }
// class PostIntegrationTest extends AbstractIntegrationTest { ... }
// → 두 클래스 모두 동일한 컨테이너 인스턴스 재사용 → 빌드 시간 절약
# 전체 테스트 실행
./gradlew test
# 특정 테스트 클래스만 실행
./gradlew test --tests "com.honeybarrel.hellospringboot.service.UserServiceTest"
# 통합 테스트만 (패키지 기준)
./gradlew test --tests "*.integration.*"
# 테스트 보고서 확인
open build/reports/tests/test/index.html
예상 실행 시간:
| 테스트 유형 | 예상 시간 |
|---|---|
UserServiceTest (순수 단위) |
~100ms |
UserControllerTest (@WebMvcTest) |
~500ms |
UserRepositoryTest (@DataJpaTest) |
~1,500ms |
UserIntegrationTest (@SpringBootTest + Testcontainers) |
~10~20초 (컨테이너 기동 포함) |
F.I.R.S.T 원칙:
@MockBean vs @Mock 차이:
@Mock (Mockito) |
@MockBean (Spring) |
|
|---|---|---|
| 컨텍스트 | 불필요 | Spring Context 필요 |
| 사용 위치 | 순수 단위 테스트 | 슬라이스/통합 테스트 |
| 속도 | 빠름 | 상대적으로 느림 |
| 컨텍스트 캐시 | 영향 없음 | 새 컨텍스트 로딩 강제 (주의) |
⚠️
@MockBean사용 시 Spring은 컨텍스트 캐시를 무효화한다. 동일 컨텍스트에서 다른@MockBean조합을 사용하면 매번 새로운 컨텍스트가 로딩되어 빌드가 느려진다. 가능하면@MockBean사용을 최소화하고, 컨텍스트 공유를 극대화한다.
| Part | 주제 | 링크 |
|---|---|---|
| Part 1 | Spring Boot 시작하기 | 보러가기 |
| Part 2 | 의존성 주입과 IoC | 보러가기 |
| Part 3 | 레이어드 아키텍처 | 보러가기 |
| Part 4 | Spring Data JPA | 보러가기 |
| Part 5 | 예외 처리와 검증 | 보러가기 |
| Part 6 | Spring Security | 보러가기 |
| Part 7 | 테스트 전략 | 현재 글 |
| Part 8 | 배포와 운영 | 보러가기 |
이 포스트는 HoneyByte Spring Boot Deep Dive 시리즈의 일부입니다.
]]>| HoneyByte 시리즈 | 매주 수요일 — 자료구조 & 알고리즘 |
| 난이도: ⭐⭐⭐⭐ | 타겟: 현업 개발자, CS 학생, 기술 면접 준비자 |
자료구조 면접의 단골 손님, 트리(Tree). 배열과 연결 리스트가 선형적(linear)이라면, 트리는 계층적(hierarchical) 구조를 표현한다. 파일 시스템의 디렉토리 구조, 데이터베이스 인덱스(B-Tree), DOM 구조, 조직도… 우리가 매일 다루는 시스템 속에 트리는 이미 깊이 뿌리내리고 있다.
이번 포스트에서는 기본 트리 개념부터 이진 탐색 트리(BST), 그리고 BST의 치명적 약점을 극복한 균형 트리(Balanced Tree) — AVL, 레드-블랙, B-Tree까지 한 번에 깊게 파고든다.
트리는 사이클이 없는 계층적 그래프(Directed Acyclic Graph)다. 아래 속성으로 정의된다:
graph TD
A[루트: 50] --> B[25]
A --> C[75]
B --> D[10]
B --> E[35]
C --> F[60]
C --> G[90]
D --> H[5]
D --> I[15]
E --> J[30]
G --> K[100]
style A fill:#f9a825,stroke:#f57f17,color:#000
style H fill:#81c784,stroke:#388e3c,color:#000
style I fill:#81c784,stroke:#388e3c,color:#000
style J fill:#81c784,stroke:#388e3c,color:#000
style F fill:#81c784,stroke:#388e3c,color:#000
style K fill:#81c784,stroke:#388e3c,color:#000
| 용어 | 설명 | 예시 (위 그림 기준) |
|---|---|---|
| 루트 | 최상위 노드 | 50 |
| 리프 | 자식 없는 노드 | 5, 15, 30, 60, 100 |
| 높이 | 트리 전체 최대 깊이 | 3 |
| 차수(Degree) | 노드의 자식 수 | 50의 차수 = 2 |
| 레벨 | 루트를 0으로 했을 때 깊이 | 25, 75 → 레벨 1 |
모든 노드가 최대 2개의 자식을 가지는 트리.
graph LR
subgraph 완전이진트리["완전 이진 트리 (Complete)"]
A1[1] --> B1[2]
A1 --> C1[3]
B1 --> D1[4]
B1 --> E1[5]
C1 --> F1[6]
end
subgraph 포화이진트리["포화 이진 트리 (Full)"]
A2[1] --> B2[2]
A2 --> C2[3]
B2 --> D2[4]
B2 --> E2[5]
C2 --> F2[6]
C2 --> G2[7]
end
트리의 모든 노드를 방문하는 방법. 순서에 따라 4가지로 구분된다.
4
/ \
2 6
/ \ / \
1 3 5 7
| 순회 방식 | 방문 순서 | 결과 | 활용 |
|---|---|---|---|
| 전위(Pre-order) | 루트 → 왼쪽 → 오른쪽 | 4, 2, 1, 3, 6, 5, 7 | 트리 복사, 직렬화 |
| 중위(In-order) | 왼쪽 → 루트 → 오른쪽 | 1, 2, 3, 4, 5, 6, 7 | BST에서 정렬된 순서 출력 |
| 후위(Post-order) | 왼쪽 → 오른쪽 → 루트 | 1, 3, 2, 5, 7, 6, 4 | 트리 삭제, 수식 계산 |
| 레벨 순서(BFS) | 레벨별 왼→오른쪽 | 4, 2, 6, 1, 3, 5, 7 | 최단 경로, 너비 우선 |
from collections import deque
class TreeNode:
def __init__(self, val=0, left=None, right=None):
self.val = val
self.left = left
self.right = right
class BinaryTreeTraversal:
def preorder(self, root: TreeNode) -> list[int]:
"""전위 순회: 루트 → 왼쪽 → 오른쪽"""
if not root:
return []
return [root.val] + self.preorder(root.left) + self.preorder(root.right)
def inorder(self, root: TreeNode) -> list[int]:
"""중위 순회: 왼쪽 → 루트 → 오른쪽"""
if not root:
return []
return self.inorder(root.left) + [root.val] + self.inorder(root.right)
def postorder(self, root: TreeNode) -> list[int]:
"""후위 순회: 왼쪽 → 오른쪽 → 루트"""
if not root:
return []
return self.postorder(root.left) + self.postorder(root.right) + [root.val]
def level_order(self, root: TreeNode) -> list[list[int]]:
"""레벨 순서 순회 (BFS)"""
if not root:
return []
result, queue = [], deque([root])
while queue:
level_size = len(queue)
current_level = []
for _ in range(level_size):
node = queue.popleft()
current_level.append(node.val)
if node.left:
queue.append(node.left)
if node.right:
queue.append(node.right)
result.append(current_level)
return result
def inorder_iterative(self, root: TreeNode) -> list[int]:
"""반복적 중위 순회 (스택 활용) — 재귀 스택 오버플로우 방지"""
result, stack = [], []
current = root
while current or stack:
while current:
stack.append(current)
current = current.left
current = stack.pop()
result.append(current.val)
current = current.right
return result
import java.util.*;
public class BinaryTreeTraversal {
static class TreeNode {
int val;
TreeNode left, right;
TreeNode(int val) { this.val = val; }
}
// 중위 순회 (재귀)
public List<Integer> inorderRecursive(TreeNode root) {
List<Integer> result = new ArrayList<>();
inorderHelper(root, result);
return result;
}
private void inorderHelper(TreeNode node, List<Integer> result) {
if (node == null) return;
inorderHelper(node.left, result);
result.add(node.val);
inorderHelper(node.right, result);
}
// 레벨 순서 순회 (BFS)
public List<List<Integer>> levelOrder(TreeNode root) {
List<List<Integer>> result = new ArrayList<>();
if (root == null) return result;
Queue<TreeNode> queue = new LinkedList<>();
queue.offer(root);
while (!queue.isEmpty()) {
int size = queue.size();
List<Integer> level = new ArrayList<>();
for (int i = 0; i < size; i++) {
TreeNode node = queue.poll();
level.add(node.val);
if (node.left != null) queue.offer(node.left);
if (node.right != null) queue.offer(node.right);
}
result.add(level);
}
return result;
}
}
이진 탐색 트리는 이진 트리에 정렬 속성을 부여한 자료구조다:
왼쪽 서브트리의 모든 값 < 노드의 값 < 오른쪽 서브트리의 모든 값
이 속성 덕분에 이진 탐색처럼 매 단계에서 탐색 범위를 절반으로 줄일 수 있다.
class BST:
class Node:
def __init__(self, key):
self.key = key
self.left = self.right = None
def __init__(self):
self.root = None
def search(self, key) -> bool:
"""반복적 탐색 — O(h), h = 트리 높이"""
current = self.root
while current:
if key == current.key:
return True
elif key < current.key:
current = current.left
else:
current = current.right
return False
def insert(self, key):
"""삽입 — O(h)"""
if not self.root:
self.root = self.Node(key)
return
current = self.root
while True:
if key < current.key:
if current.left is None:
current.left = self.Node(key)
return
current = current.left
elif key > current.key:
if current.right is None:
current.right = self.Node(key)
return
current = current.right
else:
return # 중복 키 무시
def delete(self, key):
"""삭제 — O(h). 가장 복잡한 연산"""
self.root = self._delete_recursive(self.root, key)
def _delete_recursive(self, node, key):
if node is None:
return None
if key < node.key:
node.left = self._delete_recursive(node.left, key)
elif key > node.key:
node.right = self._delete_recursive(node.right, key)
else:
# Case 1: 자식이 없는 리프 노드
if not node.left and not node.right:
return None
# Case 2: 자식이 하나
if not node.left:
return node.right
if not node.right:
return node.left
# Case 3: 자식이 둘 → 중위 후계자(in-order successor)로 대체
successor = self._find_min(node.right)
node.key = successor.key
node.right = self._delete_recursive(node.right, successor.key)
return node
def _find_min(self, node):
while node.left:
node = node.left
return node
삽입 순서: 1, 2, 3, 4, 5 (정렬된 순서)
1
\
2
\
3
\
4
\
5
정렬된 데이터를 순서대로 삽입하면 트리가 연결 리스트처럼 변한다.
검색 시간복잡도: O(n) — BST의 의미가 없어진다.
| 연산 | 평균 (균형 잡힌 경우) | 최악 (편향 트리) |
|---|---|---|
| 검색 | O(log n) | O(n) |
| 삽입 | O(log n) | O(n) |
| 삭제 | O(log n) | O(n) |
| 공간 | O(n) | O(n) |
이 문제를 해결하기 위해 자가 균형 BST(Self-Balancing BST)가 등장했다.
1962년 Adelson-Velsky와 Landis가 고안한 최초의 자가 균형 BST.
균형 인수(Balance Factor) = 왼쪽 서브트리 높이 - 오른쪽 서브트리 높이
모든 노드의 균형 인수는 반드시 -1, 0, 1 중 하나여야 한다.
균형이 깨지면 회전으로 복구한다.
graph LR
subgraph RR회전["RR 회전 (왼쪽으로 회전)"]
A[z: BF=-2] --> B[y: BF=-1]
B --> C[x]
B --> D[T2]
A --> E[T1]
end
subgraph 결과["회전 후"]
F[y] --> G[z]
F --> H[x]
G --> I[T1]
G --> J[T2]
end
4가지 불균형 케이스:
| 케이스 | 불균형 조건 | 해결책 |
|---|---|---|
| LL | z의 왼쪽-왼쪽에 삽입 | z를 오른쪽으로 회전 |
| RR | z의 오른쪽-오른쪽에 삽입 | z를 왼쪽으로 회전 |
| LR | z의 왼쪽-오른쪽에 삽입 | y를 왼쪽으로 회전 후, z를 오른쪽으로 회전 |
| RL | z의 오른쪽-왼쪽에 삽입 | y를 오른쪽으로 회전 후, z를 왼쪽으로 회전 |
class AVLTree:
class Node:
def __init__(self, key):
self.key = key
self.left = self.right = None
self.height = 1 # 새 노드의 초기 높이
def __init__(self):
self.root = None
def _height(self, node) -> int:
return node.height if node else 0
def _balance_factor(self, node) -> int:
return self._height(node.left) - self._height(node.right) if node else 0
def _update_height(self, node):
node.height = 1 + max(self._height(node.left), self._height(node.right))
def _rotate_right(self, z):
"""오른쪽 회전 (LL 케이스)"""
y = z.left
T3 = y.right
y.right = z
z.left = T3
self._update_height(z)
self._update_height(y)
return y
def _rotate_left(self, z):
"""왼쪽 회전 (RR 케이스)"""
y = z.right
T2 = y.left
y.left = z
z.right = T2
self._update_height(z)
self._update_height(y)
return y
def insert(self, key):
self.root = self._insert(self.root, key)
def _insert(self, node, key):
# 일반 BST 삽입
if not node:
return self.Node(key)
if key < node.key:
node.left = self._insert(node.left, key)
elif key > node.key:
node.right = self._insert(node.right, key)
else:
return node # 중복 키
self._update_height(node)
bf = self._balance_factor(node)
# LL 케이스
if bf > 1 and key < node.left.key:
return self._rotate_right(node)
# RR 케이스
if bf < -1 and key > node.right.key:
return self._rotate_left(node)
# LR 케이스
if bf > 1 and key > node.left.key:
node.left = self._rotate_left(node.left)
return self._rotate_right(node)
# RL 케이스
if bf < -1 and key < node.right.key:
node.right = self._rotate_right(node.right)
return self._rotate_left(node)
return node
| 연산 | 시간복잡도 |
|---|---|
| 검색 | O(log n) |
| 삽입 | O(log n) |
| 삭제 | O(log n) |
| 회전 횟수 (삽입) | 최대 2회 |
| 회전 횟수 (삭제) | O(log n)회 가능 |
AVL vs 레드-블랙 트리: AVL은 더 엄격하게 균형을 유지하므로 읽기 집중 워크로드에서 유리. 삽입/삭제 빈번하면 레드-블랙이 유리.
레드-블랙 트리는 색깔(Red/Black)을 이용한 균형 BST다. 5가지 규칙이 있다:
graph TD
A["🖤 13"] --> B["🔴 8"]
A --> C["🔴 17"]
B --> D["🖤 1"]
B --> E["🖤 11"]
D --> F["NIL 🖤"]
D --> G["🔴 6"]
E --> H["🔴 10"]
E --> I["NIL 🖤"]
C --> J["🖤 15"]
C --> K["🖤 25"]
J --> L["NIL 🖤"]
J --> M["🔴 16"]
K --> N["🔴 22"]
K --> O["🔴 27"]
style A fill:#212121,color:#fff
style B fill:#c62828,color:#fff
style C fill:#c62828,color:#fff
style D fill:#212121,color:#fff
style E fill:#212121,color:#fff
style J fill:#212121,color:#fff
style K fill:#212121,color:#fff
| 항목 | AVL 트리 | 레드-블랙 트리 |
|---|---|---|
| 균형 기준 | 높이 차이 ≤ 1 | 색깔 규칙 |
| 균형 수준 | 더 엄격 | 덜 엄격 (최대 2배 높이 차) |
| 삽입 회전 | 최대 2회 | 최대 2회 |
| 삭제 회전 | O(log n)회 | 최대 3회 |
| 읽기 성능 | 더 빠름 | 약간 느림 |
| 쓰기 성능 | 약간 느림 | 더 빠름 |
| 실무 사용 | Java TreeMap(일부), 읽기 집중 DB |
Linux 커널, Java TreeMap(JDK), C++ std::map |
실무에서 레드-블랙 트리가 더 많이 쓰이는 이유: 삽입/삭제 시 회전 횟수가 O(log n)이 아닌 상수 시간(O(1))에 가까워 쓰기 성능이 더 좋기 때문이다.
import java.util.TreeMap;
// Java의 TreeMap은 내부적으로 Red-Black Tree
TreeMap<String, Integer> scores = new TreeMap<>();
scores.put("Alice", 95);
scores.put("Bob", 87);
scores.put("Charlie", 92);
// 중위 순서(알파벳 순)로 출력
scores.forEach((name, score) ->
System.out.println(name + ": " + score)
);
// Alice: 95, Bob: 87, Charlie: 92
// 범위 쿼리 — O(log n + k)
System.out.println(scores.subMap("Alice", "Charlie")); // {Alice=95, Bob=87}
System.out.println(scores.firstKey()); // Alice
System.out.println(scores.lastKey()); // Charlie
AVL, 레드-블랙 트리는 메모리에서 효율적이다. 하지만 디스크 기반 데이터베이스에서는 문제가 생긴다:
B-Tree는 노드 하나에 여러 키를 저장해 트리 높이를 낮춘다. 한 번의 디스크 I/O로 더 많은 키를 읽는다.
graph TD
A["[10 | 20 | 30]"] --> B["[5 | 8]"]
A --> C["[15 | 18]"]
A --> D["[25 | 27]"]
A --> E["[40 | 50]"]
B --> F["[1|3]"]
B --> G["[6|7]"]
B --> H["[9]"]
style A fill:#1565c0,color:#fff
style B fill:#283593,color:#fff
style C fill:#283593,color:#fff
style D fill:#283593,color:#fff
style E fill:#283593,color:#fff
차수 t인 B-Tree의 규칙:
| 구조 | 키 범위 | 높이 | 디스크 I/O |
|---|---|---|---|
| BST | 1 | O(log n) | O(log n) |
| B-Tree (t=500) | 499~999 | O(log_t n) | O(log_t n) |
| 항목 | B-Tree | B+Tree |
|---|---|---|
| 데이터 저장 위치 | 모든 노드 | 리프 노드만 |
| 리프 노드 연결 | 없음 | 연결 리스트로 연결 |
| 범위 쿼리 | 전체 트리 순회 필요 | 리프 노드 연결 따라 O(k) |
| 내부 노드 크기 | 크다 (데이터 포함) | 작다 (키만 포함) → 팬아웃 증가 |
| 주요 사용처 | 파일 시스템 (NTFS, ext4) | MySQL InnoDB, PostgreSQL |
B+Tree 리프 노드 연결 구조:
[1|3|5] → [7|9|11] → [13|15|17] → ...
↑
데이터는 리프에만, 리프는 링크드 리스트로 연결
→ 범위 쿼리(BETWEEN, >, <)에 최적화
-- InnoDB는 기본키를 B+Tree 클러스터드 인덱스로 저장
CREATE TABLE users (
id BIGINT PRIMARY KEY, -- B+Tree 루트 키
email VARCHAR(255) UNIQUE, -- 별도 보조 인덱스 B+Tree
name VARCHAR(100),
created_at TIMESTAMP
) ENGINE=InnoDB;
-- 이 쿼리는 B+Tree 리프 연결 구조를 활용한 범위 스캔
SELECT * FROM users WHERE id BETWEEN 1000 AND 2000;
-- → B+Tree에서 1000 위치 탐색 후 리프 링크 따라 순차 스캔
graph LR
T[트리 선택 가이드]
T --> A{데이터 위치}
A -->|메모리| B{읽기 vs 쓰기}
A -->|디스크/DB| C[B+Tree]
B -->|읽기 집중| D[AVL Tree]
B -->|쓰기 집중| E[Red-Black Tree]
B -->|균형| E
C --> F[MySQL InnoDB\nPostgreSQL\n파일 시스템]
D --> G[읽기 전용 캐시\n정적 데이터 인덱스]
E --> H[Java TreeMap\nLinux 커널 스케줄러\nC++ std::map]
| 자료구조 | 높이 보장 | 삽입 | 삭제 | 검색 | 실무 사용처 |
|---|---|---|---|---|---|
| BST | X (O(n) 최악) | O(h) | O(h) | O(h) | 단순 정렬 구현 |
| AVL | O(log n) | O(log n) | O(log n) | O(log n) | 읽기 집중 |
| 레드-블랙 | O(log n) | O(log n) | O(log n) | O(log n) | OS 커널, Java Collections |
| B-Tree | O(log_t n) | O(log_t n) | O(log_t n) | O(log_t n) | 파일 시스템 |
| B+Tree | O(log_t n) | O(log_t n) | O(log_t n) | O(log_t n) | RDBMS 인덱스 |
| 문제 | 플랫폼 | 핵심 기술 | 난이도 |
|---|---|---|---|
| Validate Binary Search Tree | LeetCode #98 | 중위 순회 검증 | Medium |
| Kth Smallest Element in a BST | LeetCode #230 | 중위 순회 k번째 | Medium |
| Lowest Common Ancestor of BST | LeetCode #235 | BST 속성 활용 | Easy |
| Convert Sorted Array to BST | LeetCode #108 | 이분 분할 | Easy |
| 트리의 지름 | 백준 #1167 | DFS 두 번 | Gold IV |
| 트리와 쿼리 | 백준 #15681 | 서브트리 크기 | Gold V |
class Solution:
def isValidBST(self, root: TreeNode) -> bool:
"""
각 노드의 유효 범위를 전달하는 방식
왼쪽 자식: (-inf, node.val)
오른쪽 자식: (node.val, +inf)
"""
def validate(node, min_val=float('-inf'), max_val=float('inf')) -> bool:
if not node:
return True
if not (min_val < node.val < max_val):
return False
return (validate(node.left, min_val, node.val) and
validate(node.right, node.val, max_val))
return validate(root)
A: 항상 오름차순으로 정렬된 결과가 나온다. BST에서 중위 순회는 정렬 알고리즘(Tree Sort)으로도 사용된다.
A:
A: 세 가지 이유:
BETWEEN, ORDER BY 효율적A:
트리는 단순한 자료구조가 아니다. BST에서 시작해 AVL, 레드-블랙을 거쳐 B+Tree에 이르기까지, 각 구조는 특정 문제를 해결하기 위해 진화해왔다:
다음 주제: 힙(Heap)과 우선순위 큐 — 완전 이진 트리를 활용한 O(1) 최솟값/최댓값 조회, Dijkstra 알고리즘과의 연결.
| [Trees Compared and Visualized | BST vs AVL vs Red-Black vs Splay vs Heap](https://www.youtube.com/watch?v=hmSFuM2Tglw) — Geekific, BST/AVL/레드-블랙 트리 시각적 비교 |
이 포스트가 도움이 됐다면 댓글이나 공유로 응원해주세요! 🍯
이전 포스트: HoneyByte CS Study 시리즈 전체 보기
]]>