Java Serialization 제거를 통한 RCE 취약점 원천 차단 및 현대적 데이터 포맷 전환

Context

Java Native Serialization의 설계 결함으로 인한 보안 취약점 노출 및 성능 저하 발생. 특히 Constructor Bypass 및 Gadget Chain을 활용한 Remote Code Execution(RCE) 위협이 엔터프라이즈 시스템의 심각한 병목 및 보안 리스크로 작용.

Technical Solution

• Marker Interface인 Serializable을 통한 JVM 레벨의 직렬화 제어 구조 분석
• ObjectInputStream의 역직렬화 과정에서 발생하는 Constructor Bypass 메커니즘 파악
• Gadget Chain을 통한 임의 코드 실행 경로 차단을 위해 Java 9 ObjectInputFilter 기반의 화이트리스트 필터링 도입
• Native Binary 포맷에서 JSON(Jackson, Gson) 및 Protocol Buffers로의 데이터 교환 규격 전환을 통한 상호운용성 확보
• Runtime 리소스(Connection, Thread)의 직렬화 배제를 통한 시스템 안정성 강화
• XML의 Verbose한 특성과 Parsing 오버헤드를 해결하기 위한 경량 포맷 채택