Node.js 20.0.0이 Permission Model, ESM 로더 스레드 격리, V8 11.3 업그레이드로 보안·성능·안정성 3대 축 강화

Context

Node.js 애플리케이션은 파일 시스템, 자식 프로세스, 워커 스레드 접근을 제한할 수단이 없었다. ESM 로더가 메인 스레드에서 실행되면서 애플리케이션 코드와 로더 코드 간 오염 위험이 존재했다. test_runner 모듈이 실험적 단계에 머물러 프로덕션 환경에서 신뢰성이 낮았다.

Technical Solution

• Permission Model 도입: --experimental-permission 플래그로 파일 시스템 작업, 자식 프로세스 생성, 워커 스레드 생성 접근을 런타임 수준에서 차단
• ESM 로더 스레드 격리: --experimental-loader 옵션으로 로드되는 ESM 훅을 전용 스레드에서 실행하여 메인 스레드와 스코프 분리
• V8 엔진 11.3 업그레이드: Chromium 113에 포함된 버전으로 JavaScript API 3개 신규 기능 제공
• test_runner 모듈 안정화: 실험적 단계에서 안정(stable) 상태로 전환하여 프로덕션 사용 승인
• URL 파싱 성능 개선: Ada 2.0 통합으로 url.domainToASCII, url.domainToUnicode 함수 성능 향상 및 ICU 의존성 제거
• import.meta.resolve() 동기화: 브라우저 동작에 맞춰 함수가 동기 반환하도록 변경하되, 사용자 로더 resolve 훅은 비동기 함수 지원 유지
• Single Executable Apps(SEA) 빌드 방식 변경: 원본 JS 파일 직접 주입에서 Node.js가 준비한 JSON 설정 기반 Blob 주입으로 전환하여 다중 리소스 임베딩 가능
• Web Crypto API 인자 강제 변환: WebIDL 정의에 따라 함수 인자를 강제 변환 및 검증하여 다른 Web Crypto 구현과 상호운용성 향상
• ARM64 Windows 바이너리 지원: MSI, zip/7z 패키지, 실행 파일을 ARM64 Windows 플랫폼에서 제공하고 CI 시스템 업데이트로 회귀 방지
• WASI version 옵션 필수화: new WASI() 호출 시 version 옵션을 필수 파라미터로 변경하고 기본값 제거
• url.parse() 유효하지 않은 포트 경고 추가: 숫자가 아닌 포트를 가진 URL 파싱 시 런타임 경고 발생 (향후 버전에서 오류로 변경 예정)

Key Takeaway

Node.js 20은 런타임 수준 리소스 접근 제어(Permission Model)와 ESM 로더 격리로 보안 경계를 강화하고, 핵심 모듈 안정화와 V8 업그레이드로 프로덕션 신뢰성을 높였다. 개발 조직은 민감한 데이터나 위험 작업을 수행하는 서비스에 Permission Model 적용을 검토하고, test_runner의 안정화로 Node.js 기본 테스트 도구 채택을 재평가할 수 있다.