클라이언트 적합성을 통한 행동 서브타이핑

초록

이 논문은 기존 설계 계약과 사양 상속이 서브클래스 메서드의 제약 계산에서 발생시키는 Liskov 대체 원칙 위반 문제를 지적하고, 클라이언트의 정적 타입을 기준으로 실행 시점 어설션을 조정하는 ‘클라이언트 적합성’ 메커니즘을 제안한다. 이를 통해 런타임 어설션 검사에서 안전하지 않은 실행이나 예기치 않은 실패를 방지하면서도 기존의 퍼콜레이션 패턴을 유지한다.

상세 분석

논문은 먼저 Liskov Substitution Principle(LSP)의 핵심을 “클라이언트가 기대하는 사전·사후 조건이 서브클래스에서도 동일하게 유지돼야 한다”는 관점에서 재정의한다. 기존의 Design by Contract(DBC)와 Specification Inheritance는 서브클래스 메서드에 대해 전제조건은 약화, 후조건은 강화라는 규칙을 적용해 제약을 전파(percolation)한다. 그러나 이 접근법은 런타임 어설션 검사(RAC) 시점에 클라이언트의 정적 타입을 무시하고, 오직 실제 호출된 메서드(서버)의 사양만을 검증한다는 근본적인 한계를 가진다. 결과적으로 클라이언트는 자신이 선언한 타입이 보장하는 전제조건을 만족했음에도 불구하고, 서브클래스가 추가한 더 강한 전제조건에 의해 실행이 차단되는 “unsafe execution”이나, 후조건이 강화된 경우에 예상치 못한 예외가 발생하는 “surprising failure”를 경험한다.

이를 해결하기 위해 저자는 클라이언트 적합성(Client Conformance) 개념을 도입한다. 핵심 아이디어는 “클라이언트의 정적 타입이 정의하는 컨텍스트에서 프로그램 상태를 해석하고, 그 컨텍스트에 맞는 어설션을 서버 메서드에 적용한다”는 것이다. 구체적으로, 호출 전에는 클라이언트 타입이 요구하는 전제조건을 검증하고, 호출 후에는 클라이언트 타입이 기대하는 후조건을 검증한다. 서버 메서드 자체는 자신의 사양을 유지하되, 클라이언트가 제공한 컨텍스트 정보를 이용해 어설션을 동적으로 조정한다. 이렇게 하면 서브클래스가 전제조건을 강화하거나 후조건을 약화하더라도, 클라이언트가 인식하는 계약은 변하지 않는다.

논문은 이 메커니즘을 기존 퍼콜레이션 패턴과 호환시키기 위해 두 단계 어설션 체크를 제안한다. 1) 클라이언트 단계: 정적 타입 기반 전제조건·후조건 검증; 2) 서버 단계: 실제 메서드 구현이 자체 사양을 만족하는지 확인. 두 단계가 모두 통과하면 실행이 허용되고, 어느 한 단계라도 실패하면 명시적인 계약 위반 예외가 발생한다. 이 구조는 기존 DBC 도구에 최소한의 수정만으로 적용 가능하도록 설계되었으며, 특히 다형성 높은 객체지향 시스템에서 LSP 위반을 체계적으로 방지한다.

또한, 저자는 형식 이론적 근거를 제공한다. 클라이언트 타입을 컨텍스트 타입(context type) 으로 모델링하고, 서브클래스 메서드의 사양을 조건부 사양(conditional specification) 으로 표현한다. 이때 컨텍스트 타입과 조건부 사양 사이의 관계는 하위 타입 관계(subtype relation) 로 정의되며, 이는 전통적인 사전·사후 조건의 위계와 일치한다. 따라서 클라이언트 적합성은 형식적으로도 LSP를 보존한다는 증명을 제공한다.

마지막으로, 구현 사례와 실험 결과를 통해 기존 DBC와 비교했을 때 불필요한 계약 위반 검출 감소와 프로그램 안정성 향상을 확인한다. 특히, 복잡한 상속 구조에서 클라이언트 적합성을 적용했을 때, 서브클래스가 추가한 제약이 클라이언트에게 투명하게 처리되어 개발자 경험이 크게 개선되는 것을 보여준다.