검수요청.png검수요청.png

웹로직

위키원
이동: 둘러보기, 검색
웹로직(WebLogic) 로고
웹로직(WebLogic) 로고와 글자

웹로직(WebLogic)은 미국 오라클사가 판매하는 웹 애플리케이션 서버(WAS) 제품의 한 종류로서 제우스, 웹 스피어처럼 상용되어 판매되고 있다. 무료 제품인 톰캣(Tomcat)에 비해 다양한 기능을 제공하고 있다.

개요[편집]

오라클 웹로직 서버(Oracle WebLogic Server)는 다중 계층 분산 엔터프라이즈 애플리케이션을 개발 및 배치하기위한 세계 최초의 클라우드 기본 엔터프라이즈 Java 플랫폼 애플리케이션 서버이다. 오라클 웹로직 서버(Oracle WebLogic Server)는 웹 서버 기능, 비즈니스 구성 요소 및 백엔드 엔터프라이즈 시스템에 대한 액세스와 같은 애플리케이션 서비스를 중앙 집중화한다.[1] 또한 웹로직은 J2EE를 표준으로 채택했는데 J2EE란 웹 기반의 엔터프라이즈 애플리케이션을 구축하기 위한 하나의 플랫폼으로 웹로직은 J2EE를 지원할 뿐만 아니라 개방 프레임워크까지 완벽하게 지원한다.[2]

역사[편집]

웹로직은 1995년 자바의 탄생과 동시에 만들어진 회사이다. 초기의 솔루션은 순수 자바 기반의 분산 컴퓨팅 솔루션을 공급하던 업체였다. 1997년 11월에는 최초의 자바 애플리케이션 서버 Tangah를 개발하여 기업들에게 공급하였다. 1998년에 BEA Systems가 웹로직을 인수하고, 기존의 Tangah 애플리케이션 서버는 BEA 웹로직 서버로 이름을 변경하였다. 이후 2008년에 오라클이 BEA Systems를 인수함으로서, 웹로직도 오라클의 소유가 되었다.[3]

특징[편집]

  • 대량의 통합을 유도하는 고유 한 멀티 테넌시 기능이 있다.
  • 민간 및 공공 클라우드 간의 애플리케이션 격리 및 100 % 이식성을 지원하는 경량 마이크로 컨테이너 아키텍처가 있다.
  • 다중 데이터 센터 고 가용성 아키텍처로 애플리케이션 중단을 방지한다.
  • DevOps 생산성을 극대화하는 Java EE 8 및 Java SE 12 전체를 지원한다.
  • 오라클 웹로직 서버(Oracle WebLogic Server) 기반의 오라클 자바 클라우드 서비스를 통해 동일한 플랫폼을 통해 온 프레미스 및 클라우드에 대한 액세스가 가능하다.
  • 웹 브라우저, 무선 디바이스를 비롯한 다양한 클라이언트를 지원한다.

구성[편집]

도메인(Domain)[편집]

  • 웹로직의 논리적인 관리 단위이다.
  • 도메인에서 구성된 환경 및 자원은 동일 도메인 내에서 적용된다.
  • 웹로직을 사용하기 위해 필요한 스크립트서버로그의 기본위치이다.
  • 하나의 어드민 서버가 필수이다.

어드민 서버(Administration Server)[편집]

  • 하나의 도메인을 관리하기 위한 관리 서버이다.
  • 도메인 구성 시 반드시 하나의 어드민 서버를 구성해야 한다.
  • 도메인의 구성 및 설정이 가능하다.

매니지드 서버 (Managed Server)[편집]

  • 어드민 서버에 종속적인 웹로직 서버 인스턴스이다.
  • 어드민 서버에서 설정한 구성과 환경으로 기동된다.
  • 매니지드 서버 기동 시 어드민 서버에 접속해 설정된 정보를 받아온다.
  • 각 도메인상에 위치한 매니지드 서버는 해당 도메인에서 구성한 자원 할당 가능하다.
  • 실제 서비스는 매니지드 서버에 배포한다.

시스템(System)[편집]

  • 논리적으로 매니지드 서버를 분리하는 단위이다.
  • 노드 매니저의 관리 단위이다.
  • 웹로직 서버 인스턴스는 물리적으로 다른 장비인지 인지하지 못하므로 웹로직 사용자가 논리적으로 분리한다.

클러스터(Cluster)[편집]

노드 매니저(Node Manager)[편집]

  • 웹로직의 어드민 콘솔에서 웹로직을 기동 / 재기동 설정이 가능하다.
  • 원격으로 웹로직의 서버 인스턴스 컨트롤이 가능하다.

버전[편집]

  • WebLogic Server 12cR2 (12.2.1.3) - 2017년 8월 30일
  • WebLogic Server 12cR2 (12.2.1.2) - 2016년 10월 19일
  • WebLogic Server 12cR2 (12.2.1.1) - 2016년 6월 21일
  • WebLogic Server 12cR2 (12.2.1.0) - 2015년 10월 23일
  • WebLogic Server 12cR1 (12.1.3) - 2014년 6월 26일
  • WebLogic Server 12cR1 (12.1.2) - 2013년 7월 11일
  • WebLogic Server 12cR1 (12.1.1) - 2011년 12월 1일
  • WebLogic Server 11gR1 (10.3.6) - 2012년 2월 26일
  • WebLogic Server 11gR1 (10.3.5) - 2011년 5월 16일
  • WebLogic Server 11gR1 (10.3.4) - 2011년 1월 15일
  • WebLogic Server 11gR1 (10.3.3) - 2010년 4월
  • WebLogic Server 11gR1 (10.3.2) - 2009년 11월
  • WebLogic Server 11gR1 (10.3.1) - 2009년 7월
  • WebLogic Server 10gR3 (10.3.0) - 2008년 8월
  • WebLogic Server 10.0 - 2007년 3월
  • WebLogic Server 9.2
  • WebLogic Server 9.1
  • WebLogic Server 9.0 - 2006년 11월
  • WebLogic Server 8.1 - 2003년 7월
  • WebLogic Server 7.0 - 2002년 6월
  • WebLogic Server 6.1
  • WebLogic Server 6.0 - 2001년 3월
  • WebLogic Server 5.1
  • WebLogic Server 4.0 - 1999년 5월
  • WebLogic Tengah 3.1 - 1998년 6월
  • WebLogic Tengah 3.0.1 - 1998년 3월
  • WebLogic Tengah 3.0 - 1998년 1월
  • WebLogic Tengah - 1997년 7월

문제점과 대안[편집]

문제점[편집]

최근 웹로직의 보안에 치명적인 문제가 생겼다고 한다. 2019년 4월 25일경에 얼마 전 패치된 오라클 웹로직 서버의 치명적인 제로데이 취약점이 이미 사이버 공격자들에 의해 익스플로잇 되고 있는 것이 발견됐다. 특히 소디노키비(Sodinokibi)라는 랜섬웨어를 배포하는 데 이 취약점이 활용되고 있다고 한다. 소디노키비 랜섬웨어는 파일을 암호화할 뿐만 아니라 백업 파일마저도 삭제하는 기능을 가지고 있다. 문제가 되고 있는 제로데이 취약점은 CVE-2019-2725다. 한국의 보안업체 탈로스 팀에 의하면 공격자들은 파워셸(PowerShell) 명령어를 이용해 악성 파일을 다운로드하고 실행한다고 한다. 해커들은 이런 점을 악용해서 피해자에게 거액의 돈을 요구하며 일정 기한 안에 돈을 내지 않으면 금액을 두 배로 올려버린다고 한다. CVE-2019-2725 제로데이 취약점은 랜섬웨어 말고도 암호화폐 채굴 멀웨어를 전파하는 데에도 활용되고 있다. 전문가들은 웹로직 서버 사용 기업이라면 반드시 지난 주에 발표된 긴급 패치를 적용해야 한다고 촉구하고 있다.[4]

대안[편집]

이런 문제점을 확인한 오라클사 측에서는 웹로직 서버의 보안 취약성을 적극적으로 인정했다. 2019년 6월 25일, 오라클은 최근 웹로직 서버에 영향을 주는 치명적인 취약점을 해결했다. 오라클이 시스템에 대한 패치를 신속하게 발표했음에도 불구하고 이 웹로직 제로데이 버그가 활발하게 개발되고 있는 것으로 간주되므로 서버 관리자는 업데이트를 배포 또는 설치해야 한다. 보안 연구원은 인터넷에 액세스할 수 있는 웹로직 서버 42,000개를 발견할 수 있었다. 이 취약점을 악용하려는 공격자는 대부분 회사 네트워크를 대상으로 하는데, 오라클이 보안 패치를 발표하기 전에 신속하게 시스템을 보호하기 원하는 사람들은 여전히 작동할 수 있는 두 가지 솔루션을 제공받았다. 첫 번째는 wls9_async_response.war, wls-wsat.war을 찾아서 삭제하고 Weblogic 서비스를 다시 시작하는 것이고, 두 번째는 액세스 정책 제어로 / _async / * 및 / wls-wsat / * 경로에 대한 URL 액세스를 제어하는 것이었다.[5]

또, 2019년 7월에 오라클은 여러 제품의 취약점을 해결하기 위해 중요 패치 업데이트를 다양한 응용 프로그램 및 인프라스트럭처 소프트웨어에 적용할 수 있는 평소 수백 개의 패치로 발표했다. 이 업데이트에는 오라클 웹로직 서버(Oracle WebLogic Server)의 취약점( CVE-2019-2725 및 CVE-2019-2729 )에 대한 수정 사항이 포함되어 있으며, 오라클은 "중요한 패치 업데이트 픽스를 적용할 때까지는 공격에 필요한 네트워크 프로토콜을 차단함으로써 공격의 성공 위험을 줄일 수 있습니다."라고 말했다.[6] 이렇듯 오라클에서는 업데이트를 꾸준히 하면서 보안 문제를 해결하려는 모습을 보이고 있다.

각주[편집]

  1. Oracle WebLogic Server〉, 《Oracle 공식 홈페이지》
  2. 나비와 꽃기린, 〈WEBLOGIC 용어 정리〉, 《티스토리》, 2015-01-30
  3. Aaron Smith, 〈Oracle, BEA System, $8.5B deal〉, 《CNN Money》, 2008-01-16
  4. 문가용 기자, 〈얼마 전 패치된 웹로직 서버 제로데이 통해 랜섬웨어 퍼져〉, 《보안뉴스》, 2019-05-02
  5. Naik Desai, 〈WebLogic Server Zero-Day Vulnerability Patch Issued, Oracle Cautions Exploit Still Active〉, 《APPUALS》, 2019-06-25
  6. Dev Kundaliya, 〈Oracle releases July 2019 Critical Patch Update to address vulnerabilities across multiple products〉, 《Computing》, 2019-07-17

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 웹로직 문서는 소프트웨어에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.