[Effective Java] 8.finalizer와 cleaner 사용을 피하라

자바는 두 가지 객체 소멸자를 제공한다.

그 중 finalizer는 예측할 수  없고 상황에 따라 위험할 수 있어 일반적으로 불필요하다. 오동작, 낮은 성능, 이식성 문제의 원인이 되기도 한다.

finalizer는 나름의  쓰임새가 몇 가지 있긴 하지만 기본적으로 '쓰지 말아야' 한다.

그래서 자바 9에서는 finalizer를 deprecated API로 지정하고 cleaner를 그 대안으로 소개했다.

하지만 자바 라이브러리에서도 finalizer를 여전히 사용한다..

cleaner는 finalizer보다는 덜 위험하지만 여전히 예측할 수 없고 느리고 일반적으로 불필요하다.

 

finalizer와 cleaner는 즉시 수행된다는 보장이 없다.

객체에 접근할 수 없게 된 후 finalizer나 cleaner가 실행되기까지 얼마나 걸릴지 알 수 없다.

즉 finalizer와 cleaner로는 제때 실행되어야하는 작업은 절대 할 수 없다.

예컨대 파일 닫기를 finalizer나 cleaner에 맡기면 중대한 오류를 일으킬 수 있다.

시스템이 동시에 열 수 있는 파일 갯수에 한계가 있기 때문이다.

finalizer나 cleaner 실행을 게을리해서 파일을 계속 열어둔다면 새로운 파일을 열지 못해 프로그램이 실패할 수 있다.

 

finalizer나 cleaner를 얼마나 신속히 수행할지는 전적으로 가비지 컬렉터 알고리즘에 달렸으며 이는 가비지 컬렉터 구현 마다 천차만별이다.

finalizer나 cleaner 수행 시점에 의존하는 프로그램의 동작 또한 마찬가지다.

우리가 테스트한 JVM에서는 완벽하게 동작하던 프로그램이 가장 중요한 고객의 시스템에서는 엄청난 재앙을 일으킬지도 모른다.

 

굼뜬 finalizer 처리는 현업에서도 실제로 문제를 일으킨다.

클래스에 finalizer를 달아두면 그 인스턴스의 자원 회수가 제멋대로 지연될 수 있다.

finalizer 스레드는 다른 스레드보다 우선 순위가 낮다.

한편 cleaner는 자신이 수행할 스레드를 제어할 수 있다는 면에서 조금 낫다.

하지만 여전히 백그라운드에서 수행되며 가비지 컬렉터의 통제 하에 있으니 즉각 수행되리라는 보장이 없다.

 

자바 언어 명세는 finalizer나 cleaner의 수행 시점뿐만 아니라 수행 여부 조차 보장하지 않는다.

접근할 수 없는 일부 객체에 딸린 종료 작업을 전혀 수행하지 못한 채 프로그램이 중단될 수 있다는 얘기다.

따라서 프로그램 생애주기와 상관없는 상태를 영구적으로 수정하는 작업에서는 절대 finalizer나 cleaner에 의존해서는 안된다.

예를 들어 데이터베이스 같은 공유 자원의 영구 락 해제를 finalizer나 cleaner에 맡겨 놓으면 분산 시스템 전체가 서서히 멈출 것이다.

 

System.gc나 System.runFinalization 메서드에 현혹되지 말자.

finalizer와 cleaner가 실행될 가능성을 높여줄 수는 있으나 보장해주지는 않는다.

사실 이를 보장해주겠다는 메서드가 2개 있었다.

System.runFinalizersOnExit와 Runtime.runFinalizersOnExit이 그것이다.

하지만 두 메서드는 심각한 결함 때문에 수십 년간 지탄받아 왔다.

finalizer의 부작용은 여기서 끝이 아니다.

finalizer 동작 중 발생한 예외는 무시되며 처리할 작업이 남았더라도 그 순간 종료된다.

잡지 못한 예외 때문에 해당 객체는 자칫 마무리가 덜 된 상태로 남을 수 있다.

그리고 다른 스레드가 이처럼 훼손된 객체를 사용하려 한다면 어떻게 동작할지 예측할 수 없다.

보통의 경우엔 잡지 못한 예외가 스레드를 중단시키고 스택 추적 내역을 출력하겠지만 finalizer에서 일어난다면 경고조차 출력하지 않는다.

그나마 cleaner를 사용하는 라이브러리는 자신의 스레드를 통제하기 때문에 이러한 문제가 발생하지는 않는다.

 

finalizer와 cleaner는 심각한 성능 문제도 동반한다.

간단히 Autocloseable 객체를 생성하고 try-with-resources로 자신을 닫도록 한 것과 finalizer를 사용한 것에 대한 성능 차이가 테스트 상 50배나 차이났다.

finalizer가 가비지 컬렉터의 효율을 떨어뜨리기 때문이다.

하지만 잠시 후에 살펴볼 안전망 형태로만 사용하면 훨씬 빨라진다.

안정망을 설치하게 되면 약 5배 정도만 느려진다.

 

finalizer를 사용한 클래스는 finalizer 공격에 노출되어 심각한 보안 문제를 일으킬 수도 있다.

finalizer 공격 원리는 간단한다.

생성자나 직렬화 과정(readObject와 readSolve 메서드, 12장)에서 예외가 발생하면 이 생성되다 만 객체에서 악의적인 하위 클래스의 finalizer가 수행될 수 있게 된다. 있어서는 안될 일이다.

이 finalizer는 정적 필드에 자신의 참조를 할당하여 가비지 컬렉터가 수집하지 못하게 막을 수 있다.

이렇게 일그러진 객체가 만들어지고 나면 이 객체의 메서드를 호출해 애초에는 허용되지 않았을 작업을 수행하는 건 일도 아니다. 객체 생성을 막으려면 생성자에서 예외를 던지는 것만으로 충분하지만 finalizer가 있다면 그렇지도 않다.

final 클래스들은 그 누구도 하위 클래스를 만들 수 없으니 이 공격에서 안전하다.

final이 아닌 클래스를 finalizer 공격으로부터 방어하려면 아무 일도 하지 않는 finalize 메서드를 만들고 final로 선언하자.

 

그렇다면 파일이나 스레드 등 종료해야할 자원을 담고 있는 객체의 클래스에서 finalizer나 cleaner를 대신해줄 묘안은 무엇일까? 그저 AutoCloseable을 구현해주고 클라이언트에서 인스턴스를 다 쓰고 나면 close 메서드를 호출하면 된다.(예외가 발생해도 제대로 종료되도록 try-with-resources를 사용해야 한다.)

 

구체적인 구현법과 관련하여 알아두면 좋을 게 하나 있다.

각 인스턴스는 자신이 닫혔는지를 추적하는 것이 좋다.

다시 말해 close 메서드에서 이 객체는 더 이상 유효하지 않음을 필드에 기록하고 다른 메서드는 이 필드를 검사해서 객체가 닫힌 후 불렸다면 IllegalStateException을 던지는 것이다.

 

이쯤되면 cleaner와 finalizer는 대체 어디에 쓰이는 물건인지 궁금해진다.

적절한 쓰임새가 (아마도) 두 가지 있다.

하나는 자원의 소유자가 close 메서드를 호출하지 않는 것에 대비한 안전망 역할이다.

cleaner나 finalizer가 즉시 (혹은 끝까지) 호출되리라는 보장은 없지만 클라이언트가 하지 않은 자원 회수를 늦게라도 해주는 것이 아예 안하는 것보다는 낫다.

이런 안전망 역할의 finalizer를 작성할 때는 그럴만한 값어치가 있는지 심사숙고해야한다.

자바 라이브러리의 일부 클래스는 안전망 역할의 finalizer를 제공한다.

FileInputStream, FileOutputStream, ThreadPoolExecutor가 대표적이다.

 

cleaner와 finalizer를 적절히 활용하는 두 번째 예는 네이티브 피어와 연결된 객체에서다

네이티브 피어 - 일반 자바 객체가 네이티브 메서드를 통해 기능을 위임한 네이티브 객체

네이티브 피어는 자바 객체가 아니니 가비지 컬렉터는 그 존재를 알지 못한다.

그 결과 자바 피어를 회수할 때 네이티브 객체까지 회수하지 못한다.

cleaner나 finalizer가 나서서 처리하기에 적당한 작업이다.

단, 성능 저하를 감당할 수 있고 네이티브 피어가 심각한 자원을 가지고 있지 않을 때에만 해당된다.

그렇지 않으면 close 메서드를 사용해야한다.

 

cleaner는 사용하기에 조금 까다롭다.

다음의 Room 클래스로 이 기능을 설명해보겠다.

방(room) 자원을 수거하기 전에 반드시 청소(clean)를 해야 한다고 가정해보자

Room 클래스는 AutoCloseable을 구현한다.

사실 자동 안정망이 cleaner를 사용할지 말지는 순전히 내부 구현 방식에 관한 문제다.

즉 finalizer와 달리 cleaner는 클래스의 public API에 나타나지 않는다는 이야기다.

 

cleaner를 안전망으로 활용하는 AutoCloseable 클래스는 아래와 같다.

public class Room implements AutoCloseable {
    private static final Cleaner cleaner = Cleaner.create();

    // 청소가 필요한 자원. 절대 Room을 참조해서는 안 된다!
    private static class State implements Runnable {
        int numJunkPiles; // Number of junk piles in this room

        State(int numJunkPiles) {
            this.numJunkPiles = numJunkPiles;
        }

        // close 메서드나 cleaner가 호출한다.
        @Override public void run() {
            System.out.println("Cleaning room");
            numJunkPiles = 0;
        }
    }

    // 방의 상태. cleanable과 공유한다.
    private final State state;

    // cleanable 객체. 수거 대상이 되면 방을 청소한다.
    private final Cleaner.Cleanable cleanable;

    public Room(int numJunkPiles) {
        state = new State(numJunkPiles);
        cleanable = cleaner.register(this, state);
    }

    @Override public void close() {
        cleanable.clean();
    }
}

 

static으로 선언된 중첩 클래스인 State는 cleaner가 방을 청소할 때 수거할 자원들을 담고 있다.

이 예에서는 단순히 방 안의 쓰레기 수를 뜻하는 numJunkPiles 필드가 수거할 자원에 해당한다.

더 현실적으로 만들려면 이 필드는 네이티브 피어를 가리키는 포인터를 담은 final long 변수여야 한다.

State는 Runnable을 구현하고 그 안의 run 메서드는 cleanable에 의해 딱 한 번만 호출될 것이다.

이 cleanable 객체는 Room 생성자에서 cleaner에 Room과 State를 등록할 때 얻는다.

run 메서드가 호출되는 상황은 둘 중 하나다.

보통은 Room의 close 메서드를 호출할 때이다.

close 메서드에서 Cleanable의 clean을 호출하면 이 메서드 안에서 run을 호출한다.

혹은 가비지 컬렉터가 Room을 회수할 때까지 클라이언트가 close를 호출하지 않는다면 cleaner가 (바라건대) State의 run 메서드를 호출해줄 것이다.

 

State 인스턴스는 '절대로' Room 인스턴스를 참조해서는 안된다.

Room 인스턴스를 참조할 경우 순환참조가 생겨 가비지 컬렉터가 Room 인스턴스를 회수해갈 (자동 청소될) 기회가 오지 않는다.

State가 정적 중첩 클래스인 이유가 여기에 있다.

정적이 아닌 중첩클래스는 자동으로 바깥 객체의 참조를 갖게 되기 때문이다.

이와 비슷하게 람다 역시 바깥 객체의 참조를 갖기 쉬우니 사용하지 않는 것이 좋다. - !?

앞서 이야기한 대로 Room의 cleaner는 단지 안전망으로만 쓰였다.

클라이언트가 모든 Room 생성을 try-with-resources 블록으로 감쌌다면 자동 청소는 전혀 필요하지 않다.

다음은 잘 짜인 클라이언트 코드의 예이다.

 

public class Adult {
    public static void main(String[] args) {
        try (Room myRoom = new Room(7)) {
            System.out.println("안녕~");
        }
    }
}

기대한 대로 "안녕~"을 출력한 후 "Cleaning room"이 출력한다.

 

이번엔 결코 방 청소를 하지 않는 코드다.

public class Teenager {
    public static void main(String[] args) {
        new Room(99);
        System.out.println("Peace out");

        // 다음 줄의 주석을 해제한 후 동작을 다시 확인해보자.
        // 단, 가비지 컬렉러를 강제로 호출하는 이런 방식에 의존해서는 절대 안 된다!
//      System.gc();
    }
}

위의 코드는 Peace out"에 이어 "Clean room"이 출력되는 것을 예측할 수 없다.

 

cleaner는 안전망 역할이나 중요하지 않은 네이티브 자원 회수 용으로만 사용해야한다.

물론 이런 경우라도 불확실성과 성능 저하에 주의해야 한다.