현업에서 문자열 처리는 비즈니스 로직의 상당 부분을 차지합니다. 사용자 입력 데이터의 유효성 검증(Validation), 대용량 로그 파일 파싱, 그리고 데이터 포맷팅에 이르기까지 정규표현식(Regular Expression, 이하 Regex)은 필수적인 도구입니다. 하지만 잘못 작성된 정규표현식은 애플리케이션의 성능을 심각하게 저하시키는 주범이 되기도 합니다. 특히 자바스크립트 엔진의 단일 스레드(Single Thread) 특성상, 복잡한 정규식 연산이 메인 스레드를 점유하게 되면 전체 UI가 멈추는 프리징(Freezing) 현상이 발생할 수 있습니다. 본 글에서는 단순히 문법을 나열하는 것을 넘어, 자바스크립트 Regex 엔진의 내부 동작 원리를 이해하고, 성능 이슈를 방지하며 유지보수 가능한 코드를 작성하는 엔지니어링 전략을 다룹니다.
1. 엔진 작동 원리와 백트래킹(Backtracking)의 이해
자바스크립트의 정규표현식 엔진은 NFA(Nondeterministic Finite Automaton, 비결정적 유한 오토마타) 방식을 기반으로 동작합니다. 이 방식은 패턴 매칭을 수행할 때 가능한 모든 경로를 탐색하기 위해 백트래킹(Backtracking) 알고리즘을 사용합니다. 백트래킹이란, 문자열 매칭을 시도하다가 불일치가 발생하면 다시 이전 단계로 돌아가 다른 경로를 시도하는 과정을 의미합니다.
문제는 패턴이 복잡하고 입력 문자열이 길어질수록, 이 백트래킹 횟수가 지수 함수적으로 증가할 수 있다는 점입니다. 이를 재앙적 백트래킹(Catastrophic Backtracking)이라고 부르며, 이는 서비스 거부 공격(ReDoS, Regular Expression Denial of Service)의 주요 타깃이 됩니다.
(a+)+와 같은 패턴은 입력값에 따라 O(2^n) 이상의 복잡도를 가질 수 있습니다.
ReDoS 취약점 예시와 해결
다음은 전형적인 ReDoS 취약점을 가진 코드와 이를 개선한 예시입니다.
// [Bad] ReDoS 취약점이 있는 패턴
// 입력값이 'AAAAAAAAAAAAX' 처럼 끝만 다를 경우 엔진은 수많은 경로를 탐색하다 멈춤
const vulnerableRegex = /^(A+)+B/;
const input = 'A'.repeat(30) + 'X';
// console.time/end로 측정 시 수 초 이상 소요되거나 브라우저 멈춤
// [Good] 원자적 그룹(Atomic Grouping) 흉내내기 또는 구조 단순화
// 최신 JS 엔진은 성능이 개선되었으나, 근본적으로 중첩 수량자를 피해야 함
const safeRegex = /^A+B/;
ReDoS를 방지하기 위해서는 +나 *와 같은 수량자를 중첩해서 사용하는 것을 지양하고, 가능한 한 구체적인 문자열 패턴을 정의해야 합니다. 또한, 입력 문자열의 길이를 사전에 제한하는 것도 물리적인 방어책이 될 수 있습니다.
2. ES2018+ 최신 문법을 활용한 가독성 향상
정규표현식의 가장 큰 단점은 '쓰기 전용(Write-only)' 언어라고 불릴 만큼 난해한 가독성입니다. ES2018(ECMAScript 9)부터 도입된 기능들은 이러한 가독성 문제를 해결하고, 더 정교한 패턴 매칭을 가능하게 합니다. 특히 이름 지정 캡처 그룹(Named Capture Groups)과 룩비하인드(Lookbehind)는 실무에서 데이터 파싱 로직을 획기적으로 단순화합니다.
Named Capture Groups 활용
기존에는 정규식 매칭 결과를 인덱스(result[1], result[2])로 접근해야 했기에, 정규식이 수정되면 인덱스도 함께 수정해야 하는 번거로움이 있었습니다. 이름 지정 캡처 그룹을 사용하면 결과 객체의 groups 프로퍼티를 통해 명시적인 이름으로 데이터에 접근할 수 있습니다.
// [Legacy] 인덱스 기반 접근 (가독성 낮음, 유지보수 취약)
const dateRegexOld = /(\d{4})-(\d{2})-(\d{2})/;
const matchOld = dateRegexOld.exec('2023-10-25');
// matchOld[1] -> '2023', matchOld[2] -> '10'...
// 그룹 순서가 바뀌면 로직 전체 수정 필요
// [Modern] 이름 지정 캡처 그룹 (가독성 높음, 구조 분해 할당 가능)
const dateRegexNew = /(?<year>\d{4})-(?<month>\d{2})-(?<day>\d{2})/;
const matchNew = dateRegexNew.exec('2023-10-25');
if (matchNew && matchNew.groups) {
const { year, month, day } = matchNew.groups;
console.log(`Date: ${year}.${month}.${day}`);
}
3. 실무 최적화 전략 및 안티 패턴
정규표현식은 강력하지만, 남용하면 성능 병목의 원인이 됩니다. 다음은 엔지니어링 관점에서 반드시 고려해야 할 최적화 포인트입니다.
3-1. 정규식 객체 생성과 컴파일 시점
반복문 내부에서 리터럴이나 생성자로 정규식 객체를 매번 생성하는 것은 안티 패턴입니다. 자바스크립트 엔진은 정규식을 처음 만날 때 내부적으로 컴파일 과정을 거치는데, 이를 반복문 안에서 수행하면 불필요한 오버헤드가 발생합니다.
// [Bad] 함수 호출 시마다 정규식 객체 생성 및 컴파일 발생
function validateInput(text) {
const regex = /^[a-z]+$/; // 매번 새로 생성됨
return regex.test(text);
}
// [Good] 모듈 스코프에서 한 번만 생성하여 재사용 (싱글톤 패턴과 유사)
const VALID_INPUT_REGEX = /^[a-z]+$/;
function validateInputOptimized(text) {
return VALID_INPUT_REGEX.test(text);
}
3-2. 전방 탐색(Lookahead)과 후방 탐색(Lookbehind)의 적절한 사용
탐색 구문((?=...), (?<=...))은 문자를 소비(Consume)하지 않고 매칭 여부만 검사합니다. 이는 비밀번호 복잡도 검사 등에 유용하지만, 남용할 경우 엔진의 연산 비용을 높입니다. 특히 여러 개의 탐색 구문을 나열할 때는 성능 테스트가 수반되어야 합니다.
| 패턴 | 설명 (Description) | 사용 사례 |
|---|---|---|
(?=pattern) |
Positive Lookahead: 뒤에 패턴이 있어야 매칭 | 단위가 포함된 숫자 추출 (값만 필요할 때) |
(?!pattern) |
Negative Lookahead: 뒤에 패턴이 없어야 매칭 | 특정 확장자를 제외한 파일명 검색 |
(?<=pattern) |
Positive Lookbehind: 앞에 패턴이 있어야 매칭 | 가격표($) 뒤의 숫자만 추출 |
String.prototype.split(), slice() 등 내장 문자열 메서드와 조합하는 것이 성능과 가독성 면에서 유리할 때가 많습니다.
4. 실전 코드 예제: 로그 파싱과 데이터 마스킹
실제 백엔드 로그 모니터링 시스템이나 프론트엔드 개인정보 마스킹 기능 구현 시 자주 사용되는 패턴입니다.
이메일 마스킹 (개인정보 보호)
사용자의 이메일 주소를 보여줄 때 앞 3자리만 노출하고 나머지는 마스킹 처리하는 로직입니다. 캡처 그룹을 활용하여 도메인 부분은 유지합니다.
const email = "engineering@techcorp.com";
// 앞 3글자(P1), @앞의 나머지(P2), @이후 도메인(P3) 그룹화
// P2 영역을 모두 *로 치환해야 함.
// 단순히 정규식만으로 치환하기 복잡하므로 함수형 치환 사용 권장
const masked = email.replace(/(^.{3})(.+)(@.+)/, (match, p1, p2, p3) => {
return p1 + '*'.repeat(p2.length) + p3;
});
console.log(masked);
// 출력: eng*********@techcorp.com
위 코드는 정규식의 replace 메서드에 콜백 함수를 전달하여 동적인 길이에 대응하는 유연한 처리를 보여줍니다. 정규식 하나로 *의 개수까지 맞추려는 시도는 코드를 불필요하게 복잡하게 만듭니다.
결론
정규표현식은 텍스트 처리를 위한 강력한 DSL(Domain Specific Language)이지만, 만능 열쇠는 아닙니다. 코드의 가독성, 엔진의 성능, 그리고 팀 내 다른 개발자의 유지보수 용이성을 종합적으로 고려해야 합니다. 특히 ReDoS와 같은 보안 이슈는 서비스의 안정성과 직결되므로, 외부 입력을 정규식으로 검증할 때는 각별한 주의가 필요합니다. 복잡한 로직은 주석을 상세히 달거나 Named Capture Groups를 적극 활용하여 '읽을 수 있는 코드'를 작성하는 것이 시니어 엔지니어의 역량입니다.
Post a Comment