웹로직

웹로직(WebLogic) 로고

웹로직(WebLogic) 로고와 글자

웹로직(WebLogic)은 미국 오라클사가 판매하는 웹 애플리케이션 서버(WAS) 제품의 한 종류로서 제우스, 웹 스피어처럼 상용되어 판매되고 있다. 무료 제품인 톰캣(Tomcat)에 비해 다양한 기능을 제공하고 있다.

개요[편집]

오라클 웹로직 서버(Oracle WebLogic Server)는 다중 계층 분산 엔터프라이즈 애플리케이션을 개발 및 배치하기위한 세계 최초의 클라우드 기본 엔터프라이즈 Java 플랫폼 애플리케이션 서버이다. 오라클 웹로직 서버(Oracle WebLogic Server)는 웹 서버 기능, 비즈니스 구성 요소 및 백엔드 엔터프라이즈 시스템에 대한 액세스와 같은 애플리케이션 서비스를 중앙 집중화한다.^[1] 또한 웹로직은 J2EE를 표준으로 채택했는데 J2EE란 웹 기반의 엔터프라이즈 애플리케이션을 구축하기 위한 하나의 플랫폼으로 웹로직은 J2EE를 지원할 뿐만 아니라 개방 프레임워크까지 완벽하게 지원한다.^[2]

역사[편집]

웹로직은 1995년 자바의 탄생과 동시에 만들어진 회사이다. 초기의 솔루션은 순수 자바 기반의 분산 컴퓨팅 솔루션을 공급하던 업체였다. 1997년 11월에는 최초의 자바 애플리케이션 서버 Tangah를 개발하여 기업들에게 공급하였다. 1998년에 BEA Systems가 웹로직을 인수하고, 기존의 Tangah 애플리케이션 서버는 BEA 웹로직 서버로 이름을 변경하였다. 이후 2008년에 오라클이 BEA Systems를 인수함으로서, 웹로직도 오라클의 소유가 되었다.^[3]

특징[편집]

대량의 통합을 유도하는 고유 한 멀티 테넌시 기능이 있다.
민간 및 공공 클라우드 간의 애플리케이션 격리 및 100 % 이식성을 지원하는 경량 마이크로 컨테이너 아키텍처가 있다.
다중 데이터 센터 고 가용성 아키텍처로 애플리케이션 중단을 방지한다.
DevOps 생산성을 극대화하는 Java EE 8 및 Java SE 12 전체를 지원한다.
오라클 웹로직 서버(Oracle WebLogic Server) 기반의 오라클 자바 클라우드 서비스를 통해 동일한 플랫폼을 통해 온 프레미스 및 클라우드에 대한 액세스가 가능하다.
웹 브라우저, 무선 디바이스를 비롯한 다양한 클라이언트를 지원한다.

구성[편집]

도메인(Domain)[편집]

웹로직의 논리적인 관리 단위이다.
도메인에서 구성된 환경 및 자원은 동일 도메인 내에서 적용된다.
웹로직을 사용하기 위해 필요한 스크립트와 서버로그의 기본위치이다.
하나의 어드민 서버가 필수이다.

어드민 서버(Administration Server)[편집]

하나의 도메인을 관리하기 위한 관리 서버이다.
도메인 구성 시 반드시 하나의 어드민 서버를 구성해야 한다.
도메인의 구성 및 설정이 가능하다.

매니지드 서버 (Managed Server)[편집]

어드민 서버에 종속적인 웹로직 서버 인스턴스이다.
어드민 서버에서 설정한 구성과 환경으로 기동된다.
매니지드 서버 기동 시 어드민 서버에 접속해 설정된 정보를 받아온다.
각 도메인상에 위치한 매니지드 서버는 해당 도메인에서 구성한 자원 할당 가능하다.
실제 서비스는 매니지드 서버에 배포한다.

시스템(System)[편집]

논리적으로 매니지드 서버를 분리하는 단위이다.
노드 매니저의 관리 단위이다.
웹로직 서버 인스턴스는 물리적으로 다른 장비인지 인지하지 못하므로 웹로직 사용자가 논리적으로 분리한다.

클러스터(Cluster)[편집]

무중단 페일오버(Failover)를 위해 구성된다.
같은 도메인의 두 개 이상의 서버로 구성된다.
UDP 또는 멀티캐스트 통신을 기반으로 동작한다.

노드 매니저(Node Manager)[편집]

웹로직의 어드민 콘솔에서 웹로직을 기동 / 재기동 설정이 가능하다.
원격으로 웹로직의 서버 인스턴스 컨트롤이 가능하다.

버전[편집]

WebLogic Server 12cR2 (12.2.1.3) - 2017년 8월 30일
WebLogic Server 12cR2 (12.2.1.2) - 2016년 10월 19일
WebLogic Server 12cR2 (12.2.1.1) - 2016년 6월 21일
WebLogic Server 12cR2 (12.2.1.0) - 2015년 10월 23일
WebLogic Server 12cR1 (12.1.3) - 2014년 6월 26일
WebLogic Server 12cR1 (12.1.2) - 2013년 7월 11일
WebLogic Server 12cR1 (12.1.1) - 2011년 12월 1일
WebLogic Server 11gR1 (10.3.6) - 2012년 2월 26일
WebLogic Server 11gR1 (10.3.5) - 2011년 5월 16일
WebLogic Server 11gR1 (10.3.4) - 2011년 1월 15일
WebLogic Server 11gR1 (10.3.3) - 2010년 4월
WebLogic Server 11gR1 (10.3.2) - 2009년 11월
WebLogic Server 11gR1 (10.3.1) - 2009년 7월
WebLogic Server 10gR3 (10.3.0) - 2008년 8월
WebLogic Server 10.0 - 2007년 3월
WebLogic Server 9.2
WebLogic Server 9.1
WebLogic Server 9.0 - 2006년 11월
WebLogic Server 8.1 - 2003년 7월
WebLogic Server 7.0 - 2002년 6월
WebLogic Server 6.1
WebLogic Server 6.0 - 2001년 3월
WebLogic Server 5.1
WebLogic Server 4.0 - 1999년 5월
WebLogic Tengah 3.1 - 1998년 6월
WebLogic Tengah 3.0.1 - 1998년 3월
WebLogic Tengah 3.0 - 1998년 1월
WebLogic Tengah - 1997년 7월

문제점과 대안[편집]

문제점[편집]

최근 웹로직의 보안에 치명적인 문제가 생겼다고 한다. 2019년 4월 25일경에 얼마 전 패치된 오라클 웹로직 서버의 치명적인 제로데이 취약점이 이미 사이버 공격자들에 의해 익스플로잇 되고 있는 것이 발견됐다. 특히 소디노키비(Sodinokibi)라는 랜섬웨어를 배포하는 데 이 취약점이 활용되고 있다고 한다. 소디노키비 랜섬웨어는 파일을 암호화할 뿐만 아니라 백업 파일마저도 삭제하는 기능을 가지고 있다. 문제가 되고 있는 제로데이 취약점은 CVE-2019-2725다. 한국의 보안업체 탈로스 팀에 의하면 공격자들은 파워셸(PowerShell) 명령어를 이용해 악성 파일을 다운로드하고 실행한다고 한다. 해커들은 이런 점을 악용해서 피해자에게 거액의 돈을 요구하며 일정 기한 안에 돈을 내지 않으면 금액을 두 배로 올려버린다고 한다. CVE-2019-2725 제로데이 취약점은 랜섬웨어 말고도 암호화폐 채굴 멀웨어를 전파하는 데에도 활용되고 있다. 전문가들은 웹로직 서버 사용 기업이라면 반드시 지난 주에 발표된 긴급 패치를 적용해야 한다고 촉구하고 있다.^[4]

대안[편집]

이런 문제점을 확인한 오라클사 측에서는 웹로직 서버의 보안 취약성을 적극적으로 인정했다. 2019년 6월 25일, 오라클은 최근 웹로직 서버에 영향을 주는 치명적인 취약점을 해결했다. 오라클이 시스템에 대한 패치를 신속하게 발표했음에도 불구하고 이 웹로직 제로데이 버그가 활발하게 개발되고 있는 것으로 간주되므로 서버 관리자는 업데이트를 배포 또는 설치해야 한다. 보안 연구원은 인터넷에 액세스할 수 있는 웹로직 서버 42,000개를 발견할 수 있었다. 이 취약점을 악용하려는 공격자는 대부분 회사 네트워크를 대상으로 하는데, 오라클이 보안 패치를 발표하기 전에 신속하게 시스템을 보호하기 원하는 사람들은 여전히 작동할 수 있는 두 가지 솔루션을 제공받았다. 첫 번째는 wls9_async_response.war, wls-wsat.war을 찾아서 삭제하고 Weblogic 서비스를 다시 시작하는 것이고, 두 번째는 액세스 정책 제어로 / _async / * 및 / wls-wsat / * 경로에 대한 URL 액세스를 제어하는 것이었다.^[5]

또, 2019년 7월에 오라클은 여러 제품의 취약점을 해결하기 위해 중요 패치 업데이트를 다양한 응용 프로그램 및 인프라스트럭처 소프트웨어에 적용할 수 있는 평소 수백 개의 패치로 발표했다. 이 업데이트에는 오라클 웹로직 서버(Oracle WebLogic Server)의 취약점( CVE-2019-2725 및 CVE-2019-2729 )에 대한 수정 사항이 포함되어 있으며, 오라클은 "중요한 패치 업데이트 픽스를 적용할 때까지는 공격에 필요한 네트워크 프로토콜을 차단함으로써 공격의 성공 위험을 줄일 수 있습니다."라고 말했다.^[6] 이렇듯 오라클에서는 업데이트를 꾸준히 하면서 보안 문제를 해결하려는 모습을 보이고 있다.

각주[편집]

↑ 〈Oracle WebLogic Server〉, 《Oracle 공식 홈페이지》
↑ 나비와 꽃기린, 〈WEBLOGIC 용어 정리〉, 《티스토리》, 2015-01-30
↑ Aaron Smith, 〈Oracle, BEA System, $8.5B deal〉, 《CNN Money》, 2008-01-16
↑ 문가용 기자, 〈얼마 전 패치된 웹로직 서버 제로데이 통해 랜섬웨어 퍼져〉, 《보안뉴스》, 2019-05-02
↑ Naik Desai, 〈WebLogic Server Zero-Day Vulnerability Patch Issued, Oracle Cautions Exploit Still Active〉, 《APPUALS》, 2019-06-25
↑ Dev Kundaliya, 〈Oracle releases July 2019 Critical Patch Update to address vulnerabilities across multiple products〉, 《Computing》, 2019-07-17

참고자료[편집]

오라클 공식 홈페이지 - https://www.oracle.com/kr/index.html
〈Oracle WebLogic Server〉, 《Oracle 공식 홈페이지》
나비와 꽃기린, 〈WEBLOGIC 용어 정리〉, 《티스토리》, 2015-01-30
Aaron Smith, 〈Oracle, BEA System, $8.5B deal〉, 《CNN Money》, 2008-01-16
〈오라클 웹로직 서버〉, 《위키백과》
1004lucifer, 〈WebLogic 웹로직의 구성요소〉, 《구글 블로그》, 2018-08-06
Naik Desai, 〈WebLogic Server Zero-Day Vulnerability Patch Issued, Oracle Cautions Exploit Still Active〉, 《APPUALS》, 2019-06-25
Dev Kundaliya, 〈Oracle releases July 2019 Critical Patch Update to address vulnerabilities across multiple products〉, 《Computing》, 2019-07-17
문가용 기자, 〈얼마 전 패치된 웹로직 서버 제로데이 통해 랜섬웨어 퍼져〉, 《보안뉴스》, 2019-05-02

같이 보기[편집]

이 웹로직 문서는 소프트웨어에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어^□^■^⊕, 데이터, 솔루션, 보안, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

운영체제(OS)	데비안 • 도스(DOS) • 레드햇 리눅스(RHEL) • 리눅스 • 맥OS • 붉은별 • 비에스디(BSD) • 센트오에스(CentOS) • 솔라리스 • 아이오에스(iOS) • 안드로이드 • 에이아이엑스(AIX) • 엑스윈도우 • 엠에스도스(MS-DOS) • 오에스투(OS/2) • 우분투 • 운영체제(OS) • 윈도우 • 유닉스 • 유오에스(UOS) • 지엔유(GNU) • 타이젠 • 티맥스오에스 • 페도라 • 프리비에스디(FreeBSD)

웹서버	구글 웹서버 • 아이아이에스(IIS) • 아이플래닛 • 아파치 웹서버 • 엔진엑스 • 웹투비 • 웹티어

와스(WAS)	글래스피시 • 레진 • 와스서버 • 와일드플라이(제이보스) • 웹로직 • 웹스피어 • 제우스 • 톰캣

소프트웨어 개발 도구	JDK • SDK • 나모 웹에디터 • 넷빈즈 • 델파이 • 드림위버 • 메이븐 • 비주얼 스튜디오 • 안드로이드 스튜디오 • 알스튜디오 • 앱타나 스튜디오 • 엑스코드 • 이알윈(ERWin) • 이클립스 • 인텔리제이 아이디어 • 코드블럭스 • 통합개발환경(IDE) • 파워빌더 • 파이참

버전관리 도구	깃 • 깃허브 • 버전 • 버전관리 • 분산버전관리 • 서브버전(SVN) • 서브클립스 • 젠킨스 • 토터스SVN • 형상관리(구성관리)

성능관리 솔루션	로드러너 • 밸리데이터 • 스트로버스 • 시스마스터 • 엔그라인더 • 제니퍼 • 제이미터 • 지티메트릭스 • 쿨체크

소프트웨어	BaaS • CaaS • DaaS • FaaS • IaaS • NaaS • OaaS • PaaS • QaaS • RaaS • SaaS • SECaaS • UaaS • XaaS • 가상머신 • 개발 툴 • 내그웨어 • 다운그레이드 • 도네이션웨어 • 도커 • 레거시 시스템 • 레지스트리 • 로컬호스트 • 리팩토링 • 미들웨어 • 상용 소프트웨어 • 서버 • 셰어웨어 • 셸 • 소프트웨어 • 소프트웨어 개발 • 소프트웨어 툴 • 시스템 • 시스템 소프트웨어 • 실서버 • 업그레이드 • 업데이트 • 에뮬레이션 • 에뮬레이터 • 오픈소스 • 응용 소프트웨어 • 자바 가상머신 • 자유 소프트웨어 • 커널 • 컴퓨터과학 • 크로스 플랫폼 • 크리플웨어 • 테스트 툴 • 툴 • 툴킷 • 트라이얼웨어 • 패치 • 패키지 소프트웨어 • 프로세스 • 플랫폼 • 플러그인 • 프리웨어

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반