WS-Discovery (Web Services Dynamic Discovery)는 웹 서비스 환경에서 동적으로 서비스를 검색(Discovery)할 수 있도록 지원하는 웹 서비스 프로토콜 입니다.보안 설정이 필요한 네트워크 상의 장치나 서비스의 탐색 및 제어 와 관련되어 중요하게 다뤄집니다.
항목 설명 정식 명칭 Web Services Dynamic Discovery (WS-Discovery) 표준화 기관 OASIS 주요 사용 목적 네트워크 내에서 웹 서비스의 동적 검색 (Plug-and-Play 방식) 기반 프로토콜 SOAP over UDP (기본), 멀티캐스트(Multicast) 사용 사용 환경 동적 환경(예: IP카메라, 프린터, IoT 장비 등)
네트워크 상에서 새로운 서비스가 등장하면 이를 자동으로 다른 장비들이 인식하고 연결할 수 있도록 도와주는 역할.
WS-Discovery는 기본적으로 멀티캐스트와 유니캐스트 를 사용하여 장비 간 서비스를 검색하거나 응답을 주고받습니다.
메시지 타입 설명 Hello 장치 또는 서비스가 네트워크에 새로 연결되었음을 알림 Bye 장치가 네트워크에서 사라질 것임을 알림 Probe 다른 장치에게 “이런 서비스를 가진 장치 있어?” 라고 질문 ProbeMatch Probe에 대한 응답, “나 그 서비스 가지고 있어!” Resolve / ResolveMatch 특정 서비스 주소를 더 정확히 찾기 위해 사용
새로운 네트워크 장치가 Hello 메시지 전송 → 주변 장비가 이를 수신
사용자는 특정 기능을 가진 장치를 찾고 싶음 → Probe 메시지 전송
조건에 맞는 장치가 ProbeMatch로 응답
해당 장치와 통신 시작
WS-Discovery는 편리하지만, 보안 취약점도 수반 할 수 있기 때문에 다음과 같은 점들을 유의해야 합니다:
위험 요소 설명 서비스 Enumeration 악의적인 공격자가 WS-Discovery를 사용하여 내부 네트워크의 서비스를 쉽게 검색할 수 있음 멀티캐스트 Flooding 멀티캐스트 메시지를 악용하여 네트워크 트래픽 과부하 발생 가능 스푸핑(위조) Hello, ProbeMatch 메시지를 위조하여 허위 서비스로 유도 가능 미인증 접근 기본적으로 인증 절차 없이 서비스 탐색 가능 → 접근 제어 필요
대응 방안 설명 방화벽 제어 UDP 3702 포트(기본 포트) 차단 또는 제어 설정 멀티캐스트 제한 내부 네트워크에 필요한 범위에서만 멀티캐스트 허용 WS-Security 연동 WS-Discovery는 SOAP 기반이므로 WS-Security로 암호화/서명 처리 가능 네트워크 세분화 WS-Discovery 기능을 사용할 장비만 있는 별도 VLAN으로 분리 정책 기반 접근 제어 특정 장비만 WS-Discovery를 허용하는 정책 적용
분야 사례 IoT 보안 스마트홈에서 IoT 디바이스 탐색 시 WS-Discovery 사용 → 신뢰 가능한 장치만 등록되도록 보안 조치 필요 CCTV 네트워크 IP 카메라와 관리 서버가 서로 자동으로 탐색하여 연결 → 서비스 위조에 대비한 인증 필요 엔터프라이즈 프린팅 기업 네트워크에서 프린터 자동 등록 → 내부 프린터 정보 노출 차단 필요
이름 설명 SOAP WS-Discovery는 SOAP 메시지를 기반으로 작동 WS-Addressing 메시지의 목적지를 정의하기 위해 사용 WS-Security 인증, 무결성, 암호화를 위해 사용 가능 DNS-SD / mDNS 로컬 네트워크 탐색을 위한 다른 프로토콜 (Apple Bonjour와 유사)
항목 설명 무엇인가? 네트워크 상에서 장치나 서비스의 위치를 자동으로 탐지하는 프로토콜 왜 중요한가? Plug-and-play 기능을 가능하게 하지만, 보안 허점이 존재 어떻게 보안할 것인가? WS-Security, 포트제어, 멀티캐스트 제어, 스푸핑 방지 등 필요
