웹서비스 품질 요소 1 - TTA...정보통신단체표준(국문표준) i TTAS.OT-10.0124 서 문 1. 표준의 목적 본 표준의 목적은 웹서비스를 개발하고 사용함에

T T

A S

t a n

d a

r d

정보통신단체표준(국문표준)

TTAS.OT-10.0124 개정일: 2007년 12월 26일

웹서비스 품질 요소 1.0

Web Services Quality Factors 1.0


TTAS.OT-10.0124 개정일: 2007년 12월 26일


Web Services Quality Factors 1.0

본 문서에 대한 저작권은 TTA에 있으며, TTA와 사전 협의 없이 이 문서의 전체 또는 일부를

상업적 목적으로 복제 또는 배포해서는 안 됩니다.

Copyrightⓒ Telecommunications Technology Association 2007. All Rights Reserved.


i TTAS.OT-10.0124

서 문

1. 표준의 목적

본 표준의 목적은 웹서비스를 개발하고 사용함에 있어서 웹서비스 품질 관리를 위해

고려되어야 하는 품질 요소에 대한 기준을 제공하는데 있다. 즉, 웹서비스를 개발하는

개발자, 제공하는 제공자 및 웹서비스를 사용하는 사용자 등 웹서비스의 품질과 직⋅간접

적으로 관계를 맺고 있는 여러 이해관계자들이 동의할 수 있는 일관되고 수용 가능한 웹

서비스 품질 요소를 정의하고 있다. 웹서비스 사용자들이 웹서비스의 품질을 정확히 이

해할 수 있고 기술할 수 있도록 웹서비스 품질 요소를 제시한다.

2. 주요 내용 요약

웹서비스는 ‘서비스 지향적‘이라는 특징 때문에 품질 면에서 기존의 설치 위주의 소프

트웨어 품질과는 다르다. 본 연구에서는 서비스라는 특징을 가지는 웹서비스에 대한 품

질 요소를 제시한다. 이러한 웹서비스 품질 요소는 서비스 사용 시의 관점에 따라 비즈

니스 가치 품질군, 서비스 측정 품질군, 시스템 정보 품질군의 세가지 품질군으로 나누어

지며 각 품질군은 다시 세부 관점에 따라 비즈니스 가치 품질, 서비스 레벨 측정 품질,

상호운용성 품질, 비즈니스 프로세스 처리 품질, 관리가능성 품질, 그리고 보안품질로 나

눌 수 있다. 각 품질별로 품질 정의, 세부 품질 요소, 관련표준들을 설명한다.

3. 표준 적용 산업 분야 및 산업에 미치는 영향

본 표준은 웹서비스 개발, 운영, 사용, 관리 등의 웹서비스 생명주기 상에 발생하는 이

해관계자 사이의 다양한 상호작용 시 이해관계자 사이에 고려하여야 할 품질에 대한 표

준 요소를 제공한다. 따라서 본 표준은 웹서비스 이해관계자 사이의 다양한 상호작용(예

를 들면, 개발위탁, 각종 계약, 품질명세, 운영위임, 운영관리, 서비스제공 등)시 발생하


ii TTAS.OT-10.0124

는 품질에 대한 요구사항을 명시하거나 테스트 가이드라인 등을 작성할 시에 웹서비스

품질을 바라보는 기준을 제공한다. 예를 들면, 웹서비스 제공자와 사용자 간의 웹서비스

품질 수준 계약 시, 또한 제공되고 있는 웹서비스가 계약 품질에 맞는 서비스를 제공하

고 있는지 감독 또는 관리하고자 할 때 사용가능하다. 따라서 국내 안정적인 웹서비스

확산 발전에 크게 기여할 것으로 전망된다.

4. 참조 표준(권고)

4.1. 국외 표준(권고)

- WS-I Basic Profile 1.1

URL: http://www.ws-i.org/Profiles/BasicProfile-1.1.html



- WS-I Basic Security Profile Version 1.0

URL: http://www.ws-i.org/Profiles/BasicSecurityProfile-1.0.html



- WS-I Simple SOAP Binding Profile Version 1.0

URL: http://www.ws-i.org/Profiles/SimpleSoapBindingProfile-1.0.html

- IBM, MS 등의 WS-Reliable Messaging

URL:http://www-128.ibm.com/developerworks/webservices/library/specification/ws-

rm/

- OASIS WS-Reliability

URL: http://www.oasis-open.org/specs/index.php#wsrv1.1

- OASIS WS-BPEL(Web Services Business Process Execution Language)

URL: http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wsbpel

(http://docs.oasis-open.org/wsbpel/2.0/wsbpel-specification-draft.html)

- OASIS WS-CAF(Composite Appliction Framework) TC

URL: http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=ws-caf

http://www.ws-i.org/Profiles/BasicProfile-1.1.html


http://www.ws-i.org/Profiles/BasicSecurityProfile-1.0.html


http://www.ws-i.org/Profiles/SimpleSoapBindingProfile-1.0.html

http://www.oasis-open.org/specs/index.php/#wsrv1.1

http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=ws-caf


iii TTAS.OT-10.0124

- W3C WS-CDL (Web Service Choreography Description Language)

URL: http://www.w3.org/TR/ws-cdl-10/

- OASIS WSDM(Web Services Distributed Management)

URL: http://www.oasis-open.org/specs/index.php#wsdmv1.1

- W3C XML Encryption

URL: http://www.w3c.org/Encryption

- W3C XML Signature

URL: http://www.w3c.org/Signature

- OASIS SAML(Security Assertion Markup Language)

URL: http://www.oasis-open.org/specs/index.php#samlv2.0

- OASIS XACML (eXtensible Access Control Markup Language)

URL: http://www.oasis-open.org/specs/index.php#xacmlv2.0

- OASIS의 WS-Security (Web Services Security: SOAP Message Security)

URL: http://www.oasis-open.org/specs/index.php#wssv1.1

(http://docs.oasis-open.org/wss/v1.1/wss-v1.1-spec-errata-os-SOAPMessage

Security.pdf)

- W3C의 XKMS (XML Key Management Specification)

URL: http://www.w3.org/2001/XKMS/

- MS, VeriSign, IBM의 WS-SecurityPolicy (Web Services Security Policy Language)

URL: http://www-128.ibm.com/developerworks/library/specification/ws-secpol/

- MS, VeriSign, IBM의 WS-Trust (Web Services Trust Language)

URL:http://www-128.ibm.com/developerworks/webservices/library/

specification/ws-trust

- MS, VeriSign, IBM의 WS-Federation (Web Services Federation Language)

URL: http://www-128.ibm.com/developerworks/library/specification/ws-fed/

4.2. 국내 표준

- 웹서비스 품질 모델 1.0

http://www.w3.org/2001/XKMS/


iv TTAS.OT-10.0124

5. 참조 표준(권고)과의 비교

5.1. 참조 표준(권고)과의 관련성

웹서비스 품질 모델 표준은 TTA가 2004년 제안, 2006년에 표준 제정된 이후로 지속적

으로 개발되어 2007년 두 번째 판이 개정되었다. 웹서비스 품질 모델 표준은 두 번째 판

부터 웹서비스 품질 모델(WSQM), 웹서비스 품질 기준(WSQF), 웹서비스 품질 기술언어

(WSQDL), 웹서비스 품질 테스트가이드라인(WSQTG)으로 세분화되어 웹서비스 품질을

규정한다.

5.2. 참조한 표준(권고)과 본 표준의 비교표

웹서비스 품질 요소 1.0 웹서비스 품질 모델 1.0 비고

1. 개요 1. 개요 WSQM 2.0으로 분리

2. 참조 및 약어 삭제

2. 웹서비스 품질 모델 3. 웹서비스 품질 관리 뷰 개요 WSQM 2.0으로 분리

3. 품질관계자 WSQM 2.0으로 분리

4. 품질 행위 WSQM 2.0으로 분리

5. 품질 요소 WSQM 2.0으로 분리

1. 비즈니스 가치 품질 4. 비즈니스 가치 품질 내용 보완

2. 서비스 레벨 측정 품질 5. 서비스 레벨 측정 품질 내용 보완

3. 표준적합성 품질 6. 상호운용성 품질 내용 보완

4. 비즈니스 프로세스 품질 7. 비즈니스 프로세스 품질 내용 보완

5. 관리가능성 품질 8. 관리가능성 품질 내용 보완

6. 보안 품질 9. 보안 품질 내용 보완

6. 지적 재산권 관련 사항

본 표준의 ‘지적 재산권 확약서’ 제출 현황은 TTA 웹사이트에서 확인할 수 있다.

※본 표준을 이용하는 자는 이용함에 있어 지적 재산권이 포함되어 있을 수 있으므로,

확인 후 이용한다.

※본 표준과 관련하여 접수된 확약서 이외에도 지적 재산권이 존재할 수 있다.


v TTAS.OT-10.0124

7. 시험 인증 관련 사항

7.1. 시험 인증 대상 여부

- 해당 사항 없음

7.2. 시험 표준 제정 현황


8. 표준의 이력 정보

8.1. 표준의 이력

판수 제정개정일 제정개정 내역

제1판 2006.06.29. 제정

TTAS.KO-10.0204

제2판 2007.12.26. 개정

TTAS.OT-10.0124

8.2. 주요 개정 사항



vi TTAS.OT-10.0124

Preface

1. Purpose of Standard

The purpose of this standardization is to provide the quality factors for Web Services

quality management and the standard for quality factors in developing and using the

Web Services. Thus, we define the consistent and acceptable conceptual factors of

Web Services quality, which is agreed by all direct-related and indirect-related

associates, i.e., developers who develop the Web Services, providers, and customers

2. Summary of Contents

The quality of Web Services is different from the quality of existing installation-

focused software because it is service-oriented. This research will propose the Web

Services quality factors which has service-oriented characteristic. This Web Services

quality factors can be divided into three layers such as client layer, interoperability layer,

management and security layer according to the perspective at the time of its service.

And each layer has the several quality factors depends on the subdivided perspective.

For each quality factors, quality definition, subdividedquality factors, related standard

are defined.

3. Applicable Fields of Industry and its Effect

This standard is the quality test guideline in case of defining the quality requirements

for Web Services development contract and inspecting a complete Web Services

product. This standard can be used when contracting Web Services quality level

between Web Services providers and clients, and supervising the Web Services in


vii TTAS.OT-10.0124

compliance with the contracted quality level. Therefore, it is projected to contribute

significantly for the expansion and improvement of the stable domestic Web Services.

4. Reference Standards(Recommendations)

4.1. International Standards(Recommendations)









- WS-I Simple SOAP Binding Profile Version 1.0


- IBM, MS 등의 WS-Reliable Messaging

URL:http://www-128.ibm.com/developerworks/webservices/library/specification/

ws-rm/

- OASIS WS-Reliability

URL: http://www.oasis-open.org/specs/index.php#wsrv1.1

- OASIS WS-BPEL(Web Services Business Process Execution Language)

URL: http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wsbpel

(http://docs.oasis-open.org/wsbpel/2.0/wsbpel-specification-draft.html)

- OASIS WS-CAF(Composite Appliction Framework) TC

URL: http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=ws-caf

- W3C WS-CDL (Web Service Choreography Description Language)

URL: http://www.w3.org/TR/ws-cdl-10/

- OASIS WSDM(Web Services Distributed Management)

URL: http://www.oasis-open.org/specs/index.php#wsdmv1.1






http://www.oasis-open.org/specs/index.php/#wsrv1.1

http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=ws-caf


viii TTAS.OT-10.0124

- W3C XML Encryption


- W3C XML Signature


- OASIS SAML(Security Assertion Markup Language)


- OASIS XACML (eXtensible Access Control Markup Language)


- OASIS의 WS-Security (Web Services Security: SOAP Message Security)


(http://docs.oasis-open.org/wss/v1.1/wss-v1.1-spec-errata-os-SOAPMessage

Security.pdf)

- W3C의 XKMS (XML Key Management Specification)


- MS, VeriSign, IBM의 WS-SecurityPolicy (Web Services Security Policy Language)

URL: http://www-128.ibm.com/developerworks/library/specification/ws-secpol/

- MS, VeriSign, IBM의 WS-Trust (Web Services Trust Language)

URL:http://www-128.ibm.com/developerworks/webservices/library/specification/

ws-trust

- MS, VeriSign, IBM의 WS-Federation (Web Services Federation Language)

URL: http://www-128.ibm.com/developerworks/library/specification/ws-fed/

4.2. Domestic Standards

- None

5. Relationship to Reference Standards(Recommendations)

5.1. Relationship of Reference Standards(Recommendations)

This standard has been developed refer to WSQM(Web Service Quality Model) First

Edition(2006), approved by TTA. This standard has been revised Service Quality

http://www.w3c.org/Signature



ix TTAS.OT-10.0124

Management as Second Edition (2007) and separated into WSQM(Web Service Quality

Model), WSQF(Web Service Quality Factor), WSQDL(Web Service Quality Description

Language), WSQTG((Web Service Quality Test Guideline).

5.2. Differences between Reference Standard(Recommendation) and this Standard

WSQF 1.0 WSQM 1.0 비고

1. Introduction 1. Introduction deleted

2. Reference and Acronym deleted

2. Web Service Quality Model 3. Views of WSQM deleted

3. Quality Associates deleted

4. Quality Activities deleted

5. Quality Factors deleted

1. Business Value Quality 4. Business Value Quality Modified

2. Service Level Measurement Quality 5. Service Level Measurement Quality Modified

3. Suitability for Standard Quality 6. Interoperability Quality Modified

4. Business Processing Quality 7. Business Processing Quality Modified

5. Management Quality 8. Management Quality Modified

6. Security Quality 9. Security Quality Modified

6. Statement of Intellectual Property Rights

IPRs related to the present document may have been declared to TTA. The

information pertaining to these IPRs, if any, is available on the TTA Website.

No guarantee can be given as to the existence of other IPRs not referenced on the

TTA website.

And, please make sure to check before applying the standard.


x TTAS.OT-10.0124

7. Statement of Testing and Certification

7.1. Object of Testing and Certification

- None

7.2. Standards of Testing and Certification

- None

8. History of Standard

8.1. Change History

Edition Issued date Outline

The 1st edition 2006.06.29. Established

TTAS.KO-10.0204

The 2nd edition 2007.12.26. Revised

TTAS.OT-10.0124

8.2. Revisions

- None


xi TTAS.OT-10.0124

목 차

1. 비즈니스 가치 품질 ·········································································· 1

1.1. 정의 및 분류 ············································································ 1

1.2. 세부 품질 요소 ········································································· 2

1.3. 관련 표준 ················································································ 6

2. 서비스 레벨 측정 품질 ······································································ 6

2.1. 정의 및 분류 ············································································ 6

2.2. 세부 품질 요소 ········································································· 7

2.3. 관련 표준 ··············································································· 10

3. 표준 적합성 품질 ············································································ 10

3.1. 정의 및 분류 ··········································································· 10

3.2. 세부 품질 요소 ········································································ 11

3.3. 관련 표준 ··············································································· 12

4. 비즈니스 처리 품질 ········································································· 13

4.1. 정의 및 분류 ··········································································· 13

4.2. 세부 품질 요소 ········································································ 14

4.3. 관련 표준 ··············································································· 19

5. 관리 가능성 품질 ············································································ 21

5.1. 정의 및 분류 ··········································································· 21

5.2. 세부 품질 요소 ········································································ 22

5.3. 관련 표준 ··············································································· 25

6. 보안 품질 ····················································································· 27

6.1. 정의 및 분류 ··········································································· 27

6.2. 세부 품질 요소 ········································································ 28

6.3. 관련 표준 ··············································································· 33

부록 I. 보안 기술 및 보안 프로파일 ························································· 35


xii TTAS.OT-10.0124

Contents

1. Business Value Quality ······································································· 1

1.1. Definition & Classification ····························································· 1

1.2. Quality Sub-factors ···································································· 2

1.3. Related Standards ······································································ 6

2. Service Level Measurement Quality ························································ 6

2.1. Definition & Classification ····························································· 6

2.2. Quality Sub-factors ···································································· 7

2.3. Related Standards ····································································· 10

3. Suitability for Standard Quality ···························································· 10

3.1. Definition & Classification ···························································· 10

3.2. Quality Sub-factors ··································································· 11


4. Business Processing Quality ······························································· 13




5. Manageability Quality ······································································· 21




6. Security Quality ·············································································· 27




Appendix I. Security Technology and Security Profile ···································· 35


1 TTAS.OT-10.0124


(Web Services Quality Factors 1.0)

1. 비즈니스 가치 품질

1.1. 정의 및 분류

1.1.1. 정의

비즈니스 가치 품질은 사용자가 특정 웹서비스를 선택 시 그 서비스의 비즈니스적인

가치를 판단하는 데 참고할 수 있는 품질 요소다. 이것은 서비스 제공자에 의해 결정되

는 웹서비스의 비즈니스 측면에서의 품질과 사용자의 비즈니스 목적과의 부합성 등으로

구성된다. 사용자는 이 품질 요소를 이용하여 비즈니스 이윤 창출에 적합한 웹서비스를

선택할 수 있고, 사용 후 이 품질 요소의 값에 영향을 줄 수도 있다.

1.1.2. 분류

비즈니스 가치 품질은 서비스 사용료, 서비스 적합성, 서비스 사용효과, 서비스 브랜드

가치로 나누어진다. 서비스 사용료는 서비스 제공자에 의해서 제공되며, 가격, 위약금 등

에 대한 정보를 제공한다. 서비스 적합성과 서비스 사용효과는 서비스를 사용하기 전과

사용 후의 결과의 차이(Gap)분석을 통하여 산출된다. 그리고 서비스 브랜드 가치는 서비

스 브랜드가 가지고 있는 무형의 자산으로 시중에 서비스를 판매할 때 받을 수 있는 추

정가치로 브랜드의 지명도만으로 현재 또는 미래에 거둘 수 있는 이익을 금액으로 환산

한 것이다.


2 TTAS.OT-10.0124

1.2. 세부 품질 요소

1.2.1. 서비스 사용료

서비스 사용에 따라 발생하는 가치에 대하여 사용자가 지불하는 대가(代價)의 수준을

표현하는 하위 품질 요소이다. 같은 수준의 서비스 사용 가치에 대하여 보다 저렴한 가

격을 지불하는 서비스가 있다면, 이는 보다 나은 서비스 사용료 품질이라 말할 수 있다.

서비스 사용료에는 가격, 위약금, 보상금, 과금 방식 등의 세부요소가 있다.

가격(Cost/Price)

웹서비스를 사용하는 사용자가 서비스의 크기, 종류 및 서비스의 질, 사용 시간, 과금

방법 및 정책 등에 따라 선택 할 수 있는 기준이 되는 것으로서 제공자 및 중개자에 의

해 정해지는 이용가격을 말한다. 이는 서비스의 활용이 증가할수록 서비스 사용/운영 측

면뿐만 아니라 서비스를 이용함으로써 얻게 되는 비즈니스 측면의 효용 측면까지 고려하

여 제공자 측에서 이용 가격을 결정하게 된다.

위약금(Penalty)/보상금(Compensation)

사용자가 사용 계약을 파기하거나 제공자가 품질을 유지하지 못함으로써 발생되는 비

즈니스 측면의 손실을 고려하여 사용자 또는 제공자에게 부여되는 보상의 정도를 말한다.

과금 방식(Billing)

미터링(소비자가 실제로 사용한 웹서비스의 사용량을 실제 사용한 컨텐츠의 종류, 횟수

등에 따라 측정하는 방식)한 사용량을 서비스 이용 시점, 할인 정책 및 비용과 위약금/보

상금 등을 고려하여 사용 요금을 산정하는 방식을 말한다.


3 TTAS.OT-10.0124

1.2.2. 서비스 적합성

특정 서비스를 활용하여 사용자의 비즈니스를 수행하기에 적합한지를 판단하는 품질

속성으로서 비즈니스 적합성과 사용 편리성으로 나누어진다. 비즈니스 적합성을 평가하

기 위해서는 사용하고자 하는 서비스의 비즈니스 영역, 대상 비즈니스에서 서비스의 중

요도 및 필요성 등의 평가 항목이 필요하며, 비즈니스를 수행하는 사용자 관점에서 평가

가 이루어져야 한다. 사용 편리성은 서비스가 얼마나 사용자 관점으로 만들어졌는가를

나타내는 요소로서, 서비스 사용의 편의성 및 효율성 등으로 평가한다.

비즈니스 적합성

비즈니스 적합성은 특정 웹서비스가 특정 비즈니스의 요구 사항에 얼마나 적합한지를

평가하는 품질 요소로서, 비즈니스 분류 체계1와 서비스 분류 체계와의 유사성, 비즈니

스 목적과 명세의 부합성, 사용자 요구 사항 만족도 등의 항목으로 평가할 수 있다.

사용 편리성

사용 편리성은 서비스가 얼마나 사용자 관점에서 만들어졌는가를 평가하는 요소이다.

여기에는 사용자 인터페이스 적합성, Q&A, 헬프 센터, 유지보수 시스템의 존재유무 등과

같은 평가 항목이 포함된다.

1 비즈니스 분류체계 : 표준 산업 분류체계를 기본으로 하게 되며, 해당 분류체계에 따라 제조업, 금융업, 서비스업 등의

분류체계를 가지며 이러한 분류체계의 하위로 제조업 중에서 구체적인 분류에 따라 나누어진다. 서비스 분류체계는

실제 표준산업분류체계의 기본 근간은 가져가게 되며 실제 제공되는 서비스의 Mapping에 따라 만들어진다. 예를 들

어, 제조업의 자동차 산업에는 구매라는 업무가 존재하게 되는데 이러한 업무에서 활용되는 서비스는 A, B, C라고 하

면 A, B, C를 포함하는 것은 서비스 분류체계가 되고 단순히 일반적인 업무내용을 기술한 것은 비즈니스 분류체계가

될 수 있다.


4 TTAS.OT-10.0124

1.2.3. 서비스 사용 효과

사용 효과는 해당 웹서비스를 비즈니스에 활용하여 얻는 효과를 정량적 혹은 정성적으

로 나타내는 품질 속성이다. 서비스 사용 효과는 비즈니스적인 측면, 수익성 측면, 사용

자 측면에서 나타날 수 있으며, 이는 서비스의 브랜드 가치를 결정하는데 중요한 역할을

한다.

비즈니스 영향도 (Business Effect)

웹서비스를 사용하는 사용자 측면에서 서비스의 사용이 비즈니스의 수익, 생산성, 납기,

프로세스 최적화 등에 얼마만큼의 영향을 주었는지에 대한 평가 요소이다. 비즈니스 영

향도가 높다는 것은 두 가지 측면에서 생각해 볼 수 있는데, 첫째는 특정 서비스를 필요

로 하는 비즈니스가 많다는 점에서 공통 서비스를 생각해 볼 수 있고, 다른 하나는 특정

서비스가 특정 비즈니스에 미치는 영향도가 크다는 측면에서 생각해 볼 수 있다. 전자의

경우에는 사용자 요구 조건 및 환경에 따라 공통 서비스로 분류하여 사용할 수 있고, 후

자의 경우에는 특정 비즈니스의 서비스에 대한 의존도를 수치화하여 특별 관리할 수도

있다. 또한, 비즈니스 영향도가 수익의 형태로 나타날 경우 ROI(Return On Investment)

를 계산하기 위한 기본 자료로 활용 될 수 있다.

투자 대비 효과 (Return On Investment)

웹서비스를 사용하는 사용자가 투자한 만큼의 수익을 재무적인 성과 지표로 평가하는

속성이다. 이는 특정 비즈니스를 수행하기 위해 사용한 서비스 비용 대비 그 비즈니스에

해당 서비스를 사용함으로써 얻게 되는 수익 가치를 계산함으로써 평가할 수 있다.


5 TTAS.OT-10.0124

사용자 만족도

웹서비스를 사용하는 사용자가 서비스를 사용한 후 만족감에 대한 기대치를 나타내는

속성이다. 사용자 만족도는 서비스를 사용하기 시작한 이후부터 온라인 또는 오프라인으

로 사용자 만족도를 조사함으로써 평가가 가능하다. 고객 만족 효과가 높다는 것은 웹서

비스를 제공하는 제공자의 서비스에 대한 사용자 만족도가 좋다고 말할 수 있다.

1.2.4. 서비스 브랜드 가치

서비스 브랜드 가치는 서비스 사용자들에 의해 외형적 혹은 암묵적으로 형성된 평가들

의 집합이며 평판과 인지도 등을 통하여 평가된다. 서비스 브랜드 가치는 다른 모든 서

비스 품질 항목 수준의 총합으로 결정되며, 서비스의 가격이나 품질에 대한 신뢰도에 영

향을 준다. 이러한 브랜드 가치는 기업의 재무제표와 분석가들의 보고서를 근거로 미래

수익 잠재력을 추산해 산출하는데 해당 서비스명으로 팔리는 전 매출액, 영업이익에 대

한 자본투입 비율 등의 요소를 고려해 산정하게 된다. 기업의 특허권 등 지적 재산권과

는 별개로 평가되며 향후 기업의 현금 흐름을 어느 정도 증가시키는 여력이 있는가를 종

합해 계산된다.

인지도 (Recognition)

잠재 서비스 사용자가 서비스를 사용하기 전에 서비스에 대한 존재, 서비스 영역, 서비

스 품질에 대해 인식하고 있는 정도를 나타내는 품질이다. 특정 서비스에 대한 잠재 사

용자의 인지도가 높다는 것은 그 만큼 서비스 사용 시점에 그 서비스에 대한 선택의 확

률이 높다는 것을 의미하며, 서비스 활용 가치를 높일 수 있게 된다. 인지도 세부 품질

요소는 온라인 또는 오프라인의 설문 조사나 통계 조사를 함으로써 평가가 가능하다.


6 TTAS.OT-10.0124

평판 (Reputation)

웹서비스에 대한 소비자들의 평판이다. 평판은 서비스 품질, 고객 만족도, 그리고 신뢰

성 등에 의하여 평가되며, 설문조사나 투표 등 다양한 방법을 통하여 측정할 수 있다. 웹

서비스 사용자는 설문 조사 및 실시간 모니터링을 통하여 측정이 가능하다.

1.3. 관련 표준

해당 사항 없음.

2. 서비스 레벨 측정(Service Level Measurement) 품질


2.1.1. 정의

서비스 레벨 측정 품질은 서비스 이용자가 운영 중인 서비스들을 활용하는 과정에서

측정이 가능한 속성들을 정량적 형태로 표현한 품질을 의미한다. 예를 들면, 웹서비스가

얼마나 빠르게 응답하는지 혹은 얼마나 안정적으로 서비스를 제공할 수 있는지 등을 표

현하는 품질로써, 사용자가 시스템 상에서 측정할 수 있고 이를 수치적으로 표현할 수

있는 품질을 의미한다.

2.1.2. 분류

서비스 레벨 측정 품질에는 응답 시간, 최대 처리량과 같은 성능 측면 품질과 이용 가

능성, 접근 가능성, 성공 가능성과 같은 안정성 측면 품질로 분류할 수 있다.


7 TTAS.OT-10.0124


2.2.1. 성능(Performance)

성능 측면 품질은 서비스 요청에 대해서 웹서비스 제공자가 응답을 하는 속도, 즉 얼

마나 빨리 처리하는가를 나타내는 품질이다. 이 품질은 처리 속도의 관점에서 ‘응답 시간’

과 처리하는 양의 관점에서 ‘처리량’으로 세분화 된다.

응답 시간(Response Time)

응답 시간(Response Time)은 웹서비스 사용자가 요청 메시지(Request Message)를 보

내고 응답 메시지(Response Message)를 받는데 걸리는 시간을 의미한다. 이 응답시간은

(그림 2-1)과 같이 웹서비스 호출 시 걸리는 세 가지 지체 시간의 합이다. 여기서 클라

이언트 지체 시간(Client Latency)은 응답 시간 중 클라이언트 시스템에서 요청 메시지

및 응답 메시지를 처리하는데 걸리는 시간을 의미한다. 다시 말하면, 클라이언트 응용에

서 웹서비스를 호출하는 시점에서부터 실제로 요청 메시지가 클라이언트를 떠나는 시점

까지의 지체 시간과 클라이언트에 도착한 응답 메시지가 실제로 클라이언트 응용시스템

에 전달될 때까지의 지체 시간의 합이다. 네트워크 지체 시간(Network Latency)은 응답

시간 중 요청 메시지와 응답 메시지 전송을 위해 네트워크상에서 지체된 시간을 의미한

다. 다시 말하면, 요청 메시지가 클라이언트를 출발하여 웹서비스를 제공하는 서버에 도

착하는데 걸리는 지체 시간과 응답 메시지가 서버를 출발하여 클라이언트에 도착하는데

걸리는 지체 시간의 합이다. 서버 지체 시간(Server Latency)은 응답 시간 중 요청 메시

지 처리를 위하여 서버에서 지체한 시간을 의미한다. 다시 말하면, 요청 메시지가 서버에

도착하여 처리된 후 응답 메시지가 서버를 떠날 때까지의 시간을 말한다.


8 TTAS.OT-10.0124

(그림 2-1) 응답 시간과 지체 시간

이상의 응답 시간 및 세 지체 시간은 다음의 공식을 적용하여 산출할 수 있다.

최대 처리량(Maximum Throughput)

최대 처리량은 웹서비스 제공 플랫폼이 단위 시간 동안에 처리할 수 있는 최대 요청수

를 의미하며 수식으로 표현하면 아래와 같다.

2.2.2. 안정성(Stability)

안정성 품질은 제공되는 웹서비스가 어느 정도 안정적으로 서비스를 제공하는지를 나

타내는 품질이다. 즉, 처리량의 증가, 폭주, 시스템의 고장, 자연 재해 그리고 사람에 의

한 고의적 공격에도 불구하고 지속적이며 일관되게 서비스를 제공할 수 있는 능력을 나

타낸다. 안정성 품질의 세부 품질에는 ‘이용 가능성’, ‘성공 가능성’, ‘접근 가능성’이 있다.

Client Application Client Network Server

WebServices

Request

Response

CL1

CL2

NL1

NL2

SL1

SL3

SL2

t1 t2 t3 t4

t5t6t7t8

* CL : Client Latency, NL : Network Latency, SL : Server Latency, ti : Measurement Time

Client Latency = CL1 + CL2 Network Latency = NL1 + NL2 Server Latency = SL1 + SL2 + SL3 Response Time = Client Latency + Network Latency + Server Latency


9 TTAS.OT-10.0124

이용 가능성(Availability)

웹서비스 서버의 이용 가능한 상태에 대한 확률을 표현하는 측정치로서, 측정 시간 동

안에 웹서비스 서버가 다운되지 않고 사용할 수 있는 시간의 비율을 의미한다. 서버가

사용 가능하지 않는 시간을 다운 시간(Down Time), 사용 가능한 시간을 가동 시간(Up

Time)이라고 할 때 이용 가능성이란 측정 시간에 대한 가동 시간의 비율을 의미한다. 이

용 가능성을 구하기 위해서는 일반적으로 다운 시간을 이용하여 역으로 구하는 방법을

사용하며 다음 공식으로 표현 할 수 있다.

접근 가능성(Accessibility)

접근 가능성은 시스템의 이용 가능성이 보장되는 상황에서 웹서비스 플랫폼에 접근 가

능한 정도를 확률로써 나타낸 것이다. 이는 서비스 요청 시 플랫폼으로부터 수신 확인

(Ack) 메시지를 받을 확률로서 주어진 시간 동안 요청 메시지 수에 대하여 반환되는 수

신 확인 메시지 수의 비율로 표현된다. 접근 가능성을 높이기 위해서는 확장성이 높은

시스템을 구축함으로써 가능하다.

성공 가능성(Successability)

성공 가능성은 사용자가 서비스를 요청했을 때 성공적으로 웹서비스가 처리되어 회신

될 확률이다. 다시 말하면, 일정 시간 동안에 발송된 요청 메시지들의 수에 대하여 성공


10 TTAS.OT-10.0124

적으로 서비스가 처리되어 회신된 응답 메시지 수의 비율을 말한다. 여기서 성공적이라

함은 WSDL 상에서 정의된 응답 메시지에 상응하는 메시지 타입이 회신된 경우를 말한

다. 또한 요청 메시지는 오류 없는 메시지로 가정한다.

2.3. 관련 표준

해당 사항 없음.

3. 표준 적합성(Standard Suitability) 품질


3.1.1. 정의

표준 적합성 품질은 서로 다른 시스템 혹은 플랫폼에서 운영되는 웹서비스 간 메시징

을 포함한 커뮤니케이션이 가능한 지를 나타내는 품질을 의미한다. 주요 웹서비스 기술

들은 표준화되어 있지만, 이를 개발하는 과정에서 표준에 대한 이해의 부족이나 상이함

으로 표준을 잘못 구현하는 경우가 발생한다. 또한 표준을 준수한 경우에도, 표준 자체의

미비함이나 다양한 플랫폼 고유의 특성에 따라 웹서비스 시스템들 간의 커뮤니케이션에

문제가 발생할 수 있다. 따라서 구현된 웹서비스 시스템의 활용성을 높이기 위해서는 웹

서비스 플랫폼 벤더와 개발자의 특성에 종속적이지 않게 서비스들의 커뮤니케이션이 가

능하도록 구현되었는지를 확인할 필요가 있다.

표준 적합성 품질은 웹서비스의 표준 준수여부와 플랫폼 독립적인 상호운용 가능성을

평가하는 품질 요소이다.


11 TTAS.OT-10.0124

3.1.2. 분류

표준 적합성 품질은 웹서비스 구현에 있어 표준의 준수 여부를 평가하는 표준 준수성

과 웹서비스 간에 정보를 교환하고 교환된 정보를 이용할 수 있는 정도를 나타내는 상호

운용성 품질로 분류할 수 있다.


3.2.1. 표준 준수성 (Standard Compliance)

표준 준수성은 구현된 웹서비스가 웹서비스 표준들을 정확하게 준수하여 구현되었는지

를 평가하는 품질이다. 웹서비스와 관계된 다양한 표준들 중 웹서비스의 기반을 이루는

메시지 교환, 서비스 정의, 서비스 등록 및 검색에 있어서의 표준 준수성을 기술하면 다

음과 같다.

메시지 교환 표준 준수

웹서비스들 간에 교환되는 메시지에 대한 표준의 준수 정도를 평가하는 세부품질 요소

다.

서비스 정의 표준 준수

웹서비스들을 정의하고 명세하는 표준의 준수 정도를 평가하는 세부품질 요소다.

서비스 검색 및 등록 표준 준수

UDDI와 같이 웹서비스들을 서로 간에 이용하기 위해 공통으로 서비스를 등록하고 검

색하기 위한 표준의 준수 정도를 평가하는 세부품질 요소다.


12 TTAS.OT-10.0124

3.2.2. 상호 운용성 (Interoperability)

상호 운용성은 두 개 이상의 서비스들 간에 정보를 교환하고 교환된 정보를 이용할 수

있는 정도를 나타내는 품질이다. 세부 품질 요소로는 웹서비스 기본적인 커뮤니케이션

능력을 검증하는 서비스 기본 상호 운용성과 웹서비스들 간의 보안을 위한 서비스 보안

상호 운용성 등으로 나뉜다.

서비스 기본 상호 운용성

두 개 이상의 서비스들 간에 정보를 교환하고 교환된 정보를 이용하기 위해 기본적으

로 필요한 상호 운용성 정도를 평가하는 세부 품질 요소이다. 기본 사항으로는 서비스를

정의하고 등록 및 검색하여 메시지를 교환하기 위한 상호 운용성 프로파일의 준수 정도

를 평가하는 속성이다.

서비스 보안 상호 운용성

두 개 이상의 서비스들 간에 정보를 교환할 때에 정의되는 보안 속성에 대해 상호 운

용성 정도를 평가하는 세부 품질 요소이다.

3.3. 관련 표준

WS-I Basic Profile 1.1: SOAP, WSDL, UDDI 표준의 상호 운용성을 위한 프로파일로

WS-I에서 주관하는 표준이다.


WS-I Basic Profile 1.2: SOAP, WSDL, UDDI 표준의 상호 운용성을 위한 프로파일로

WS-I에서 주관하는 표준이다.





13 TTAS.OT-10.0124

WS-I Basic Security Profile Version 1.0 : 웹서비스 보안의 상호 운용성을 위한 프로파

일로 WS-I에서 주관하는 표준이다.


WS-I Basic Security Profile Version 1.1 : 웹서비스 보안의 상호 운용성을 위한 프로파

일로 WS-I에서 주관하는 표준이다.


WS-I Reliable Secure Profile 1.0 : 웹서비스의 신뢰성 메시지와 보안 전송을 위한 상

호 운용성 프로파일로 WS-I에서 주관하는 표준이다. (WS-ReliableMessaging 1.1, WS-

SecureConversation 1.3)

URL: http://www.ws-i.org/docs/charters/RSP_Charter1-0.pdf

WS-I Simple SOAP Binding Profile Version 1.0 : SOAP 바인딩의 상호 운용성을 위한

프로파일로 WS-I가 주관하는 표준이다.


4. 비즈니스 처리 품질


4.1.1. 정의

전자상거래와 같은 고도화된 비즈니스 분야의 상호 협력을 위해서는 단순 웹서비스의

사용이 아닌 메시지 전송의 신뢰성 및 트랜잭션 처리, 상호 합의된 협력 구조와 같은 다

양한 기능이 필요하다. 이와 같이 웹서비스들 간의 고도화된 상호 협력 과정에서 필요한

기능적 지표를 비즈니스 처리 품질이라고 한다. 이 정보를 활용하여 사용자는 웹서비스

가 협업에 관련되어 제공하는 기능들을 일관적인 방법으로 파악할 수 있으며, 안정적이

고 효율적인 비즈니스 협력을 달성할 수 있다.



http://www.ws-i.org/docs/charters/RSP_Charter1-0.pdf



14 TTAS.OT-10.0124

4.1.2. 분류

비즈니스 처리 품질의 세부 품질 요소는 크게 세 가지로 분류할 수 있다. 첫째는 웹서

비스 간의 정확한 메시지 교환 기능에 대한 평가이며, 둘째는 웹서비스 간의 트랜잭션

기능에 대한 평가이다. 마지막으로 웹서비스가 참여하는 협업 구조가 고도화된 비즈니스

프로세스 처리에 적합한 수준인지를 평가하는 것이다. 즉, 비즈니스 처리 품질은 메시지

전송에 대한 신뢰성 보장과 트랜잭션 처리 능력, 그리고 비즈니스 프로세스 협업 수행력

으로 구성된다.


4.2.1. 메시지 신뢰성

메시지 교환에 있어서의 신뢰성이란 송신자 및 수신자가 각각 자신의 의도대로 메시지

를 오류 없이 교환하는 것을 의미한다. 이러한 신뢰성을 확보하기 위해서는 메시지 교환

의 프레임워크가 안정적이어야 하고, 다양한 소프트웨어 컴포넌트와 시스템 또는 네트워

크 상의 에러를 고려한 메시지 전송 메커니즘이 제공되어야 한다. 이러한 신뢰성이 있는

메시지 교환, 즉, 메시지 신뢰성을 보장하기 위해서는 다음 4가지 요구사항을 만족해야

한다.

최소 한번 전송

개별적인 메시지는 최소한 한번은 전송되어야 하며, 그렇지 않을 경우 메시지 수신자

와 송신자 모두 오류 정보를 생성해야 한다. 또한 송신자는 수신자로부터 정상적인 수신

확인을 전달받을 때까지 메시지를 재전송해야 한다.


15 TTAS.OT-10.0124

최대 한번 전송

개별적인 메시지는 최대 한번 전달이 되어야하며 수신자는 중복된 메시지를 전달받을

경우 이를 차단해야 한다.

정확하게 한번 전송

개별적인 메시지는 정확하게 한번 전달되어야 하며, 그렇지 않은 경우 메시지 수신자

와 송신자 모두 오류 정보를 생성해야 한다. 또한 송신자는 수신자로부터 정상적인 수신

확인을 전달받을 때까지 메시지를 재전송해야하며, 수신자는 중복된 메시지가 전달될 경

우 이를 차단해야 한다.

순서대로 전송

하나의 흐름에 속하는 연속된 메시지는 이를 생성한 곳에서 전달하고자하는 순서와 동

일하게 수신자에게 전달되어야 한다. 이를 위하여 송신자는 연속된 메시지의 순서를 식

별할 수 있는 정보를 메시지에 기록한 후 순서에 따라 전송해야 하며, 수신자는 전송받

은 메시지가 포함하고 있는 순서 정보를 이용하여 메시지를 재 정렬할 수 있어야 한다.

4.2.2. 트랜잭션 처리 능력

트랜잭션 처리 능력이란 처리 흐름상에서 관계가 있는 작업들을 하나의 논리적인 단위

로 처리할 수 있는 능력을 말하며 웹서비스의 트랜잭션은 단기 트랜잭션과 장기 트랜잭

션으로 나눌 수 있다.


16 TTAS.OT-10.0124

단기 트랜잭션

일반적인 의미의 트랜잭션으로, 요청이 정상적으로 수행되어 최종적으로 모든 변경 사

항이 적용되거나, 정상적으로 수행되지 않았을 경우 모든 변경 사항이 최초 상태로 돌아

가는 트랜잭션을 의미한다. 이와 같은 트랜잭션을 원자성 트랜잭션이라고도 하며 다음의

4가지 ACID(Atomicity, Consistency, Isolation, Durability) 속성을 만족해야 한다.

원자성 (Atomicity)

작업이 성공일 경우 모든 결과가 반영되고 실패일 경우 어떤 결과도 반영되지 않는다.

일관성 (Consistency)

작업 처리의 결과 시스템 데이터는 무결성을 유지한다.

고립성 (Isolation)

작업 결과는 성공적으로 완료되기 전까지 다른 트랜잭션과 공유되지 않는다.

영속성 (Durability)

일단 트랜잭션이 성공적으로 완료되면 그 결과가 영구적으로 시스템에 반영된다.

장기 트랜잭션

장기 트랜잭션은 처리 과정에서 자원의 배타적인 잠금이 불가능하거나 처리 시간이 장

기간으로 요구되는 트랜잭션이며 비즈니스 활동(Business Activity)이라고도 불린다. 장기

트랜잭션은 다수의 단기 트랜잭션 또는 독립적인 웹서비스들로 구성되어 있으므로 단기

트랜잭션과 같은 커밋(Commit), 롤백(Roll-back)의 메커니즘을 사용할 수 없다. 그러므

로 장기 트랜잭션의 품질은 ACID 속성의 만족 여부가 아닌 다음의 항목을 통하여 평가

한다.


17 TTAS.OT-10.0124

일관성

장기 트랜잭션 프레임워크는 참여하는 구성원들의 상태를 일관적으로 변경할 수 있어

야 한다.

컨텍스트 공유

장기 트랜잭션 프레임워크는 참여하는 구성원들 간에 트랜잭션에 대한 정보를 공유할

수 있어야 한다.

보상성

장기 트랜잭션 프레임워크는 트랜잭션이 예상대로 수행되지 않았을 경우, 이를 보상하

는 독립된 대안 흐름을 지원해야 한다. 장기 트랜잭션은 다수의 단기 트랜잭션 또는 독

립적인 웹서비스로 구성되어 있기 때문에 개별적인 처리 결과를 처음 상태로 돌리는 것

이 아닌 또 다른 흐름을 통한 처리가 필요하다.

4.2.3. 비즈니스 프로세스 협업 수행력

비즈니스 프로세스는 다수의 웹서비스가 비즈니스 목적을 위하여 협업을 처리하는 과

정을 말하며, 비즈니스 프로세스 협업 수행력은 웹서비스가 참여하는 협업 구조가 비즈

니스 프로세스에 적합한 수준인지를 나타내는 평가 지표이다.

비즈니스 프로세스 프레임워크는 처리의 주체에 따라 중앙 집중 방식의 조정

(Orchestration)과 분산 처리 방식의 구성(Choreography)으로 분류된다.

조정 (Orchestration)

이미 존재하는 웹서비스를 이용하여 중앙에서 비즈니스 프로세스를 구성하고 실행하는

것을 말한다. 주로 기존의 웹서비스를 재사용하는 복합 서비스 또는 프로세스 서비스를

정의하기 위하여 사용되며, 하나의 참여자 관점에서 여러 비즈니스 서비스를 통합하는

계층적인 요청자/공급자 모델이다.


18 TTAS.OT-10.0124

독립성

구성원은 조정에서만 사용되는 프로토콜을 사용하거나, 조정을 위해 변경이 되지 않고

이미 정의된 모습 그대로 사용되어야 한다.

예외 처리

협업이 진행되는 동안 발생하는 오류나 예외적인 상황을 처리할 수 있어야 한다.

기술 융화성

메시지 신뢰성, 보안, 트랜잭션 등의 기능을 보완하기 위하여 다른 기술 명세와 융합

할 수 있어야 한다.

구성 (Choreography)

웹서비스가 사전에 정의된 비즈니스 프로세스에 따라 동작하는 것을 말한다. 비즈니스

프로세스를 중앙에서 관리하는 것이 아닌 각 웹서비스가 각자의 영역으로 분산되어 정해

진 메시지를 교환하며 처리한다. 여러 참여자가 보다 큰 비즈니스 트랜잭션의 일부로서

거래 파트너끼리 메시지를 교환함으로서 P2P 방식으로 협업하는 모델이다. 구성에는 비

즈니스 프로세스를 공유하기 위한 기술(Description) 언어가 사용되며, 다음의 요구사항

을 만족해야 한다.

재사용성

상이한 환경의 다른 구성원들에게도 재사용이 가능해야 한다.

협력성

다수의 독립적인 구성원간의 협력을 설명하기 위하여, 일련의 메시지 교환을 정의해야

한다.

의미성

모든 컴포넌트에 대한 가독성 있는 설명과 의미를 부여해야 한다.


19 TTAS.OT-10.0124

조합성

구성은 또 다른 새로운 구성에 조합될 수 있어야 한다.

모듈성

구성은 "import"와 같은 형식을 사용하여 다른 구성에서 정의한 컴포넌트를 포함할 수

있어야 한다.

정보 교환

참여하는 구성원들은 상태와 공유 정보를 서로 교환하고 동기화할 수 있어야 한다.

트랜잭션 처리 능력

구성원들은 흐름의 진행과 보상 처리 등과 같은 트랜잭션적인 처리가 가능해야 한다.

예외 처리

협업이 진행되는 동안 발생하는 오류나 예외적인 상황을 처리할 수 있어야 한다.

기술 융화성

메시지 신뢰성, 보안, 트랜잭션 등의 기능을 보완하기 위하여 다른 기술 명세와 융합할

수 있어야 한다.

4.3. 관련 표준

OASIS Web Services Reliable Messaging (WSRM) TC

어플리케이션 또는 웹서비스들간의 메시지 전송 보장을 위한 표준적이고 상호호환성있

는 메커니즘을 정의한다. WS-Reliability 1.1이 OASIS 표준으로 승인되었다.

URL : http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wsrm


20 TTAS.OT-10.0124

OASIS Web Services Reliable Exchange (WSRX) TC

웹서비스들간의 신뢰성 있는 메시지 교환을 위한 보다 향상된 프로토콜을 제안한다.

WSRM이 계층에 독립적인 메시지 교환 메커니즘만을 정의하는 것에 반하여 WSRX는 메

시지 교환 메커니즘 뿐 아니라 신뢰성 메시징 기술(Descritpion) 등의 다양한 활용을 위

한 분야도 함께 정의한다.

URL : http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wsrx

OASIS Web Services Composite Application Framework (WS-CAF) TC

다수의 웹서비스의 조정 및 트랜잭션 처리를 위한 개방형 프레임워크를 제안한다. 이

를 위한 WS-Context 1.0이 OASIS 표준으로 승인되었다.

URL : http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=ws-caf

OASIS Web Services Transaction (WS-TX) TC

분산된 어플리케이션들간의 결과물을 조정하기 위한 프로토콜을 정의하며 WS-CAF와

유사한 성격을 가지고 있다. 컨텍스트 공유 프레임워크인 WS-Coordination 및 이를 이

용한 원자성 트랜잭션 프레임워크로 WS-AtomicTransaction, 협업 프레임워크로 WS-

BusinessActivity를 정의한다. WS-Coordination, WS-AtomicTransaction, WS-

BusinessActivity 1.1이 OASIS 표준으로 승인되었다.

URL : http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=ws-tx


21 TTAS.OT-10.0124

OASIS Web Services Business Process Execution Language (WSBPEL) TC

웹서비스를 사용한 비즈니스 포로세스 활동을 기술하고 이들이 서로 연동하는 방법을

정의한다. 조정(Orchestration) 방식으로 비즈니스 프로세스의 협업을 구성하며, WS-

BPEL 2.0이 OASIS 표준으로 승인되었다.

URL : http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wsbpel

W3C Web Services Choreography Working Group

XML 기반의 웹서비스들간의 협업을 구성(Choreography) 방식으로 기술하기 위한 언

어로 분산 비즈니스 프로세스를 위한 표준이다.

URL : http://www.w3c.org/2002/ws/chor

5. 관리 가능성 품질


5.1.1. 정의

웹서비스가 확산됨에 따라 웹서비스에 대한 의존도나 활용도가 증가하고 있으므로 웹

서비스의 품질을 유지, 관리하는 것이 중요한 이슈가 되고 있다. 관리 가능성 품질은 웹

서비스 품질 관리를 위해 필요한 속성, 기능, 인터페이스 등의 관리 체계를 통해 웹서비

스를 일관되게 관리할 수 있는 능력에 대한 지표를 의미한다. 이를 활용하여 사용자는

효과적인 웹서비스의 관리를 수행할 수 있다. 관리 가능성의 관리 대상에는 웹서비스 자

체뿐 아니라 웹서비스와 관련된 자원의 관리도 포함된다.

http://www.w3c.org/2002/ws/chor


22 TTAS.OT-10.0124

5.1.2. 분류

웹서비스의 관리 기능은 내부 및 외부 환경에 따라 변경되지 않는 관리 측면에서의 웹

서비스 속성의 제공 여부를 의미하는 관리 정보 제공성과 외부에서 인위적으로 변경할

수 없으나 내부적인 요인으로 변경되는 정보의 제공 여부를 의미하는 관찰 가능성, 그리

고 외부에서 인위적으로 변경할 수 있는 기능의 제공 여부를 의미하는 제어 가능성으로

분류된다.


5.2.1. 관리 정보 제공성

관리 정보 제공성은 웹서비스의 변하지 않는 속성 정보를 파악하기 위한 기능의 제공

여부를 말한다. 관리 정보 제공성에 해당하는 속성 정보는 다음과 같다.

식별자 (Identification)

관리 측면에서 웹서비스 및 관련 자원의 유일성을 보장할 수 있는 정보를 말한다. 이

를 이용하여 분산 환경에서 특정 관리 대상을 인식할 수 있으며, 두 관리 대상의 동일성

을 판별할 수 있다.

설명 (Description)

웹서비스 및 관련 자원에 대한 부가적인 정보이다.


23 TTAS.OT-10.0124

관리 특성 (Manageability Characteristics)

관리 측면에서 웹서비스 및 관련 자원이 제공하는 기능의 정보를 말한다. 웹서비스는

각각의 특성에 맞는 다양한 관리 기능을 제공하므로 이러한 정보를 사전에 인지할 수 있

다면 좀 더 일원화된 관리 구조를 구현할 수 있다.

관계성 (Relationship)

웹서비스 및 관련 자원간의 관계 정보를 말한다. 분산 환경에서 웹서비스는 다른 웹서

비스와 서로 관계를 맺고 있으며, 이러한 관계 정보를 이용하여 일관적인 웹서비스의 관

리가 가능하게 된다.

관리 수준 (Management Level)

관리 수준은 웹서비스가 제공하는 관리 기능의 수준을 말한다. 관리 기능만을 제공하

여 외부에서 웹서비스의 관리가 가능한 수준을 관리 가능한 수준(Manageable Level)이라

고 하며, 관리 기능을 이용하여 이미 독립적인 관리자로부터 관리가 되고 있는 수준을

관리 되는 수준(Managed Level)이라고 한다. 이 정보를 이용하여 웹서비스의 현재 관리

수준을 파악할 수 있다.

5.2.2. 관찰 가능성

웹서비스 및 관련 자원의 운영 정보를 제공하는 기능이다. 운영 정보는 상태, 가용성,

메트릭 정보로 분류되며 요청-응답(Request & Response) 방식과 구독-통지(Publish &

Subscribe) 방식으로 외부로 제공된다.


24 TTAS.OT-10.0124

상태 (State)

웹서비스 및 관련 자원의 상태를 말하며 상태의 유형은 각 웹서비스에 따라 다를 수

있다.

가용성 (Operational Status)

웹서비스 및 관련 자원이 정상적으로 작동하는지 여부를 말한다.

메트릭 정보 (Metric Information)

일정 기간 동안 측정된 웹서비스 및 관련 자원의 내부 정보를 말한다. 메트릭 정보의

특성은 시간에 따라 지속적으로 변화한다는 점이며, 이를 이용하여 웹서비스 및 관련 자

원의 운영 정보를 파악할 수 있다.

메시지 교환 방식 (Message Exchange Pattern)

상태, 가용성, 메트릭과 같은 정보를 외부에 제공하는 방식을 말한다. 외부의 요청이

있을 경우 제공해주는 방식(Request & Response)과 정보가 변경되거나 특정 기간에 따

르는 등 외부에서 설정한 조건에 따라 통지해주는 방식(Publish & Subscribe)이 있다.

5.2.3. 제어가능성

제어가능성은 웹서비스 및 관련 자원의 내부 정보를 외부에서 변경할 수 있게 해주는

기능을 말한다. 여기서 내부 정보란 운영 상태 뿐 아니라 운영 상태에 영향을 미칠 수

있는 속성도 포함한다.


25 TTAS.OT-10.0124

제어 (Control)

웹서비스 및 관련 자원의 상태 또는 가용성을 직접적으로 제어하는 오퍼레이션의 제공

여부를 말한다. 제어 오퍼레이션에는 웹서비스의 시작, 일시 중지, 종료와 같은 것들이

있을 수 있다.

설정 (Configuration)

웹서비스 및 관련 자원의 운영 상태에 영향을 미치는 속성을 변경할 수 있는 기능의

제공 여부를 말한다. 설정으로 변경할 수 있는 속성에는 웹서비스의 연결 풀 개수, 로그

레벨, 연결 세션 수 등이 있을 수 있다.

5.3. 관련 표준

W3C Web Services Architecture Working Group

관리를 위한 구조 및 웹서비스의 상태 모델을 포함하여 웹서비스의 구조를 정의한다.

2004년 1월에 표준화 작업이 종료되었으며 웹서비스의 구조를 정의하는 Web Services

Architecture와 이를 활용한 Web Services Usage Scenarios, 그리고 웹서비스의 상태 모

델을 정의하는 Web Service Management: Service Life Cycle 표준 문서로 구성되어 있다.

URL : http://www.w3.org/2002/ws/arch/

OASIS Web Services Notification(WSN) TC

이벤트를 이용한 비동기 메시지 교환 메커니즘을 정의한 표준이다. 2006년 10월에 최

종 작업을 완료하였으며 기본적인 이벤트 방식의 메시지 교환 메커니즘을 정의한 WS-

BaseNotification과 MOM(Message Oriented Middleware)과 같은 브로커를 사용한 비동

기 메시지 교환 메커니즘을 정의한 WS-BrokeredNotification, 그리고 이벤트의 정보를


26 TTAS.OT-10.0124

교환하는 WS-Topics 표준 문서로 구성되어 있다.

URL : http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wsn

OASIS Web Services Resource Framework(WSRF) TC

네트워크에 존재하는 다양한 자원의 속성을 관리하기 위한 공통의 프레임워크를 제안

한다. 2006년 4월에 표준화 작업이 종료되었으며, 자원을 정의한 WS-Resource, 자원의

속성을 교환하는 방식을 정의한 WS-ResourceProperties, 자원의 생명 주기를 정의한

WS-ResourceLifetime, 복수의 자원을 그룹으로 관리하는 방식을 정의한WS-

ServiceGroup, 마지막으로 속성 관리 과정에서 발생할 수 있는 기본적인 fault를 정의한

WS-BaseFaults 표준 문서로 구성되어 있다.

비록 표준 승인은 받지 못했지만 자원에 제공하는 속성의 정보를 기술하기 위한 WS-

Resource MetadataDescriptor는 웹서비스의 관리에 있어 중요성이 높으며, WSDM과 같

은 TC에서 활용되고 있다.

URL : http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wsrf

OASIS Web Services Distributed Management(WSDM) TC

네트워크에 존재하는 다양한 자원을 관리하기 위한 프레임워크를 제안한다. 웹서비스

를 이용하여 자원을 관리하는MUWS(Management Using Web Services)와 그 자원의 범

위를 웹서비스로 제한하여 웹서비스의 관리를 가능하게 하는 MOWS(Management Of

Web Services) 표준 문서로 구성되어 있다.

URL : http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wsdm


27 TTAS.OT-10.0124

6. 보안 품질


6.1.1. 정의

웹서비스 보안 품질이란 웹서비스 제공 및 사용시에 발생 가능한 불법적인 접근, 변조,

파괴 등의 모든 보안 위협으로부터 서비스 및 메시지를 보호하여 안정적이고 신뢰성 있

는 서비스를 제공하기 위한 품질 능력을 말한다.

6.1.2. 분류

웹서비스 환경에서 고려해야 할 보안 서비스의 품질 요소는 기밀성, 무결성, 인증, 접

근제어, 부인방지, 가용성, 감사, 프라이버시 보호의 8가지로 구성되며, 이러한 보안 품

질 요소는 다음의 두 가지 레벨에서 각각 고려되어야 한다.2

전송 레벨 보안(Transport Level Security)

전송 레벨 보안은 웹서비스의 프로토콜인 SOAP의 하위의 전송 계층 보안을 의미한다.

이는 기존 웹 환경인 HTTP 프로토콜 기반에서 사용하던 SSL, TLS, IPSec 등의 보안 메

커니즘을 이용한 방법이다. 이러한 전송 레벨에서 보안은 점 대 점(Point-To-Point) 모

델을 사용하며, 전달되는 전체 객체(서비스/메시지) 단위의 보안만을 제공한다. 즉, 부분

암호화, 부분 전자 서명 등을 지원하지 않기 때문에 멀티홉(Multi-hop) 전달 시 전송점을

벗어나면 보안을 유지하기 어려운 비영속적(Non-Persistent Level) 보안을 제공하므로 이

러한 한계를 극복하기 위해서는 메시지 레벨 보안을 사용해야 한다.

2 8가지 품질 요소와 2가지 보안 레벨을 조합하면 총 16개의 세부 품질 요소를 정의할 수 있으나, 현실적으로 사용가능

성이 없는 전송 레벨의 부인 방지와 전송 레벨의 프라이버시 보호를 제외하고 웹서비스가 지향하는 다중 서비스 제공

자 및 사용자 환경을 위한 Single-Sign-On 서비스 기능을 추가하여 총 15가지의 세부 품질 요소를 정의한다.


28 TTAS.OT-10.0124

메시지 레벨 보안 (Message Level Security)

메시지 레벨의 보안은 SOAP 메시지에 대한 데이터 기밀성, 무결성, 접근 제어와 같은

보안 서비스를 제공하기 위해서 XML 기반의 SOAP 메시지를 이용해서 보안 서비스를 제

공하는 방식이다. 이러한 메시지 레벨 보안은 End-To-End 보안 모델을 사용하므로

SOAP 메시지가 다수의 중개자를 경유해도 컨텍스트 정보가 유지되는 영속적(Persistent

Level) 보안을 제공한다.


6.2.1. 기밀성 (Confidentiality)

기밀성이란 비인가자에 의해 서비스/메시지를 보거나 접근할 수 없게 하는 것으로서

기밀성 유지 방법으로는 접근 통제와 암호화 기법을 사용한다.

메시지 레벨 데이터 기밀성

SOAP 메시지에 대한 기밀성을 보장하기 위해 W3C에서 표준으로 채택된 XML-

Encryption 및 OASIS의 웹서비스 보안 표준인 WS-Security를 사용하거나 첨부 파일을

위한 암호화 과정(예를 들어 S/MIME, PGP MIME)에 의해서 제공된다. 특히 XML-

Encryption은 메시지의 일부분만을 암/복호화하여 사용할 수 있으므로, 전송 레벨에서의

기밀성에 비해 서비스의 성능을 향상시킬 수 있다.

6.2.2. 무결성 (Integrity)

무결성이란 비인가자에 의해 서비스/메시지의 변경, 삭제, 생성으로부터 보호하는 것으

로서 무결성 유지 방법으로는 접근 통제, 메시지 축약 기법을 사용한다.


29 TTAS.OT-10.0124

전송 레벨 데이터 무결성

전송 채널 간의 데이터 송수신 시 데이터 무결성을 제공하기 위해 TLS 혹은 IPSEC에

서 제공하는 다이제스트 및 패킷 비교와 같은 기능을 말한다. 이를 위해서 전자서명 등

의 메커니즘을 이용한다.

메시지 레벨 데이터 무결성

SOAP 메시지 레벨에서의 데이터 무결성을 위한 부분으로 XML-Signature나 WS-

Security를 이용하여 보장할 수 있다. 또한, 데이터 무결성을 위한 전자 서명용 키 관리

를 위해 XKMS를 이용할 수 있다.

6.2.3. 인증 (Authentication)

상호 교신하는 액터간에 각각 믿을 수 있는 개체임을 보장하는 것으로서 인증 지원 방

법으로는 기본 인증(ID/PW), 인증서, SSL 등을 사용한다.

전송 레벨 사용자 인증

메시지 전송 계층의 전송 채널에 의해 제공되는 인증은 단방향이나 양방향이 될 수 있

다. 예를 들어 Secure Network 프로토콜인 TLS [RFC2246] 혹은 IPSEC [RFC2402]는

메시지 송신자에게 TCP/IP 환경하의 목적지를 인증할 수 있는 방법을 제공한다. 전자 서

명을 이용하여 구현할 수 있으며, 공인/사설 인증 기관을 통한 인증서를 이용할 수 있다.

메시지 레벨 사용자 인증

W3C의 XML 전자 서명 표준을 사용해서 SOAP Header와 Body 그리고 그의 페이로드

에 전자 서명을 적용하여 메시지 레벨의 사용자 인증을 수행한다. 이러한 XML 전자 서


30 TTAS.OT-10.0124

명은 기존 전자 서명과 달리 XML 문서의 특정 부분에 선택적으로 전자 서명을 수행할

수 있다. 전자 서명을 사용할 경우 보안 서비스 중 인증, 데이터 무결성 그리고 부인 방

지와 같은 보안 서비스들을 제공할 수 있다. 사용자 인증을 위한 방안으로는 앞에서 언

급한 XML-Signature 및 SAML을 이용할 수 있으며, 전자 서명용 키 관리를 위해 XKMS

를 적용한다.

6.2.4. 접근 제어 (Access Control)

접근 제어란 액터의 권한별로 서비스/메시지에 대한 접근을 제어하는 것으로서 기밀성,

무결성 등을 지원하기 위한 방안으로 활용되며 접근 제어 지원 방법으로서 다양한 정책,

접근 통제 모델, 보안 레벨 등을 사용한다.

전송 레벨 접근제어

전송 채널에서의 사용자의 자원(Resource)에 대한 접근 제한을 위한 것으로 TLS 혹은

IPSEC 프로토콜을 이용하여 구성한다.

메시지 레벨 접근제어

메시지 레벨의 접근 제어는 SOAP 메시지에 포함되어 있는 정보를 이용하여 자원 접근

에 대한 제어를 가능하게 하는 것을 말한다. SAML, XACML 등의 표준을 이용하여 구현

할 수 있다. 실제 SAML에 XACML로 정의된 접근 권한을 포함시켜 메시지에 동봉하여

전달할 수 있으며, 이를 이용하여 실제 자원에 대한 사용자의 접근 권한을 제어한다.

6.2.5. 부인 방지 (Non-Repudiation)

부인 방지란 수신자와 송신자가 전송된 메시지를 서로 보내고 받은 사실을 부정하지

못하도록 하는 것으로서 부인 방지 유지 방법으로는 전자 서명 기법을 사용한다.


31 TTAS.OT-10.0124

메시지 레벨 부인방지

메시지 레벨의 부인 방지를 위해서는 XML-Signature, WS-Security를 이용하여 구현할

수 있으며, 메시지 레벨 부인방지를 위한 전자 서명용 키 관리를 위해 XKMS를 이용한다.

6.2.6. 가용성 (Availability)

가용성이란 인가자만이 서비스/메시지에 접근 가능하고 불법적인 접근 시도로부터 지

속적인 서비스가 가능하도록 하는 것으로서 가용성 지원 방법으로는 서비스 접근 차단/

통제/탐지 등을 사용한다.

전송 레벨 가용성

DOS(Denial of Services) 공격에 의해 해당 자원(Resource)에 대한 접근이 불가능하게

되는 것을 예방하기 위한 것으로 방화벽(Firewall), 침입 탐지 시스템(IDS), 침입 방지 시

스템(IPS) 등을 이용한 전송 레벨의 패킷(Packet) 감시를 통하여 구현한다.

메시지 레벨 접근성

XML 메시지에 대한 XML DOS(Denial of Services) 공격에 대응하기 위한 것으로 웹서

비스의 접근성을 확보하기 위한 방안이다. 이를 위해, SOAP 방화벽(Firewall) 등을 이용

하여 애플리케이션 레벨의 메시지를 필터링함으로써 기능을 구현한다.

6.2.7. 감사 (Audit)

감사란 웹서비스 제공 및 사용 시에 발생되는 이벤트와 불법적인 접근 행위 등에 대하

여 로깅하는 것으로서 보안 감사 시에 웹서비스 보안 취약점 및 공격에 대한 다양한 정

보로 사용한다.


32 TTAS.OT-10.0124

전송 레벨 감사

전송 레벨에서의 세션(Session) 생성 및 제거 혹은 데이터 송수신 시의 로그를 남기고

이를 감사하는 것을 말한다. 여기서는, 로깅에 대한 정책 즉 감사 시 활용하기 위한 컨텐

츠에 대한 적절한 사전 정의가 필요하다.

메시지 레벨 감사추적

서비스를 호출하는 각 요청/응답 메시지에 대한 로그를 남기고 이를 감사한다. 전송

레벨의 감사 추적과 마찬가지로 감사를 위한 로그를 정의하는 정책적인 부분이 선행되어

야 한다.

6.2.8. 프라이버시 보호(Privacy)

프라이버시 보호란 웹서비스 사용자와 제공자간에 이루어지는 프라이버시 보호와 관련

된 것으로서 관련 정책 등을 사용한다.

메시지 레벨 프라이버시 보호

사용자 프라이버시 정보를 보호하기 위하여 데이터 기밀성, 접근 제어 등은 WS-

Security, XACML, SAML 등의 표준(기밀성과 접근 제어를 위한 표준)이 있으며, 프라이버

시 정책을 전달하고, 정의된 정책을 반영하기 위한 웹서비스 보안 로드맵상의 명세로는

WS-SecurityPolicy, WS-Trust, WS-Privacy가 있다. WS-Security 구조 하에서 WS-

Policy 구문에 WS-Privacy를 이용하여 프라이버시에 대한 정책을 기술하면, 해당 메시지

를 수신하는 서비스에서 WS-Trust를 이용하여 기술된 정책을 확인한 후 이를 서비스가

실행하게 된다.


33 TTAS.OT-10.0124

6.2.9. 싱글 사인 온(Single-Sign-On)

다양한 플랫폼상의 다수의 웹서비스를 한번의 로그인으로 사용하기 위해 요구되는 보

안 기능이다. SSO(Single-Sign-On) 보안은 신뢰받는 기관에 의한 보안 토큰 발행을 통

해서 수행할 수 있다. SAML, MS Passport, Liberty Alliance 등을 이용하여 구현할 수 있

다.

6.3. 관련 표준

W3C XML Signature: XML 전자서명 표준


W3C XML Encryption : XML 암호화 표준


W3C의 XKMS (XML Key Management Specification): PKI 기술과 XML 어플리케이션의

통합을 용이하게 해주는 키 관리 서비스 표준


OASIS의 WS-Security (Web Services Security: SOAP Message Security): 웹서비스에

서의 메시지 교환 수단인 SOAP에 대한 인증, 무결성, 부인봉쇄, 기밀성 등을 제공해

주기 위한 표준


(http://docs.oasis-open.org/wss/v1.1/wss-v1.1-spec-errata-os-

SOAPMessageSecurity.pdf)

MS, VeriSign, IBM의 WS-SecurityPolicy (Web Services Policy): WS-Security에 적용

되는 보안 정책을 제공하기 위한 표준

URL:http://www.ibm.com/developerworks/webservices/library/specification/ws-

secpol/

http://www.w3c.org/Signature

http://www.w3c.org/Encryption



34 TTAS.OT-10.0124

OASIS SAML (Security Assertion Markup Language): XML 기반의 인증 및 승인 정보를

안전하게 교환하기 위한 표준


OASIS XACML(eXtensible Access Control Markup Language): XML로 기술된 정책 언

어와 접근 제어 결정 요구/응답(request/response) 언어로 구성된 접근 제어에 대한

표준


MS, VeriSign, BEA, IBM의 WS-Trust (Web Services Trust Language): 다양한 신뢰 도

메인에서의 보안 토큰 발행 및 교환 방법과 신뢰 관계 설정 등에 대한 표준

URL: http://www.ibm.com/developerworks/library/specification/ws-trust/

MS, VeriSign, BEA, IBM의 WS-Federation (Web Services Federation Language): 상이

한 보안 도메인에 속한 웹서비스 응용들 간의 사용자 신원, 속성, 인증에 대한 중재를

가능하게 하는 메커니즘 정의

URL: http://www.ibm.com/developerworks/library/specification/ws-fed/

http://www.oasis-open.org/specs/index.php/#samlv2.0

http://www.oasis-open.org/specs/index.php/#xacmlv2.0


35 TTAS.OT-10.0124

부 록 I

보안 기술 및 보안 프로파일

I.1. 보안 요소와 관련 기술 매핑

아래 <표 I-1>은 각 보안 요소별로 보안 기능을 충족시키기 위한 웹서비스 및 기존의

보안 관련 기술 간의 관계를 보여주고 있다. 해당 보안 요소를 충족시키기 위해서는 아

래의 관련 기술들을 적용해야 한다.

<표 I-1> 웹서비스 보안 요소별 관련 기술

보안 요소 관련 기술

전송 레벨 데이터 기밀성 TLS, SSL, IPSec

전송 레벨 데이터 무결성 TLS, SSL, IPSec

전송 레벨 사용자 인증 TLS, SSL, IPSec

전송 레벨 사용자 접근제어 TLS, SSL, IPSec

전송 레벨 접근성 Firewall, IDS, IPS

전송 레벨 감사 추적 Logging, Audit & Log Policy

메시지 레벨 데이터 기밀성 XML-Encryption, WS-Security, XKMS

메시지 레벨 데이터 무결성 XML-Signature, WS-Security, XKMS

메시지 레벨 사용자 인증 XML-Signature, WS-Security, XKMS, SAML

메시지 레벨 부인 방지 XML-Signature, WS-Security, XKMS

메시지 레벨 감사 추적 Logging, Audit & Log Policy

메시지 레벨 접근 제어 SAML, XACML

메시지 레벨 접근성 SOAP Firewall

싱글사인온 SAML, Liberty Alliance, .NET Passport, WS-Federation

메시지 레벨 프라이버시 보호 WS-Policy, WS-Trust, WS-Privacy


36 TTAS.OT-10.0124

I.2. 보안 프로파일

웹서비스 보안의 경우 응용서비스의 특성에 따라 여러 세부 품질 요소를 복합적으로

사용할 수 있다. 본 표준에서는 이들 세부 품질 요소들 중에서 많은 경우 같이 사용되는

세부 품질 요소들의 집합을 웹서비스 보안 프로파일(WS-SProfile)라고 정의한다. 이 프

로파일은 상대 웹서비스 파트너와의 보안레벨을 설정하는데 사용되며 BLA(Business

Level Agrement) 내에 명시된다. 보안 세부 품질 요소의 수를 고려해 볼 때 웹서비스 보

안 Profile을 다양하게 정의할 수 있다. 본 표준안에서는 현 시점에서 많이 사용될 것이

라고 예측되는 4가지 프로파일만을 정의한다. 이것은 차후에 필요에 따라 추가 보완될

수 있다.

WS-SProfile 0

전송레벨 보안 메커니즘을 사용해서 인증, 메시지 무결성, 메시지 기밀성, 접근제어 서

비스를 제공하며 전송 레벨의 DOS 공격 등을 방지하여 접근성을 보장한다.

TLS, 혹은 IPSec 등이 WS-SProfile 0에 적합한 보안 프로토콜들이다. TLS는 두 개의

통신 응용 프로그램 사이에서 레코드 프로토콜, 핸드쉐이크 프로토콜, 공개키 기반 인증

서 생성 및 처리 기능, 인증 모드 지원 등의 기능으로 사용자 인증, 메시지의 무결성, 기

밀성 및 접근제어 서비스를 제공한다. IPSec은 양 종단 간의 안전한 통신을 지원하기 위

해 IP 계층을 기반으로 하여 보안 프로토콜을 제공하는 개방 구조의 프레임워크로서 IP

의 취약점을 보완하기 위한 보안 기능을 제공한다. 인증 프로토콜 (AH), 암호화 프로토

콜 (ESP), 보안 연계 및 정책 데이터베이스 (SAD, SPD) 및 키 관리 메커니즘 등이

IPSec의 주요 보안 기능들이며, 이를 통해 인증, 메시지 무결성, 메시지 기밀성, 접근제

어 서비스를 제공한다.


37 TTAS.OT-10.0124

WS-SProfile 1

메시지 레벨에서 전자서명과 암호화 기법을 도입해서 메시지 레벨에서 인증, 메시지

무결성, 부인방지, 기밀성 서비스를 제공한다. 경우에 따라, 메시지 기밀성이나 접근제어

와 같은 보안 서비스들을 전송레벨에서 제공하는 보안 메커니즘을 사용할 수 있지만 명

시적으로 필수 사항은 아니다.

WS-SProfile 1의 대표적인 보안 표준인 WS-Security는 웹서비스의 메시지 교환 프로

토콜인 SOAP을 기반으로 하며 인증, 무결성, 부인방지, 기밀성 등의 보안 기능을 확장하

여 제공하는 웹서비스 보안의 핵심이 되는 대표적인 메시지 레벨 보안 기술로 2004년

OASIS에서 표준으로 채택되었다.

W3C의 XML 전자서명 및 XML 암호를 확장 적용하고 보안 정보 교환을 위한 다양한

보안 토큰을 지원하며 재전송 공격(Replay Attack) 등을 방지하기 위해 타임스탬프

(Time-stamp) 관련 기능을 제공한다. 또한 다수의 중개자를 거쳐 전달되는 SOAP 메시

지의 안전한 End-to-End 전송 기능을 포함하여 메시지 레벨에서 실질적인 인증, 메시지

무결성, 부인방지 및 기밀성 서비스 등을 제공할 수 있다.

WS-SProfile 2

메시지 레벨의 접근제어 메커니즘을 사용해서 접근제어 서비스를 제공하며, 접근성을

보장하기 위해 XML DOS 공격 등을 SOAP Firewall 등을 이용하며, WS-SProfile 1을 포

함하고 있다.

SOAP Firewall은 기존의 방화벽과는 달리 SOAP 메시지를 필터링하고 이를 기반으로

접근제어 서비스를 제공할 수 있는 방화벽을 의미한다. 따라서 SOAP Firewall은 SOAP

메시지를 받아 목적지 URL로 보내지는 SOAP 메시지 내용을 해독할 수 있어야 한다.


38 TTAS.OT-10.0124

WS-SProfile 3

WS-SProfile 2의 보안 요소를 포함하여, 보안 토큰을 이용한 Single Sign-On 메커니즘

을 제공한다.

Single Sign-On을 제공할 수 있는 메커니즘은 사용자의 인증, 인가 등의 속성 정보 등

을 교환하는 인증 체계인 보안정보 교환기술을 의미하여, SAML, Liberty Alliance, .Net

Passport, WS-Federation 등이 보안정보 교환기술의 대표적인 기술들이다. SAML과

Liberty Alliance에서는 XML 기반의 Assertion이라는 인증 정보를 교환하는 기술을 진행

시키고 있으며, .Net Passport는 중앙 집중식의 인증 체계를 통해 Single Sign On 기능을

제공하고 있다. WS-Federation은 개인의 신원을 나타낼 수 있는 ID(IDentity)를 연계하여

Federated ID를 관리함으로써 Signle Sign On 기능을 제공한다.

WS-SProfile 4

WS-SProfile 3의 보안 요소를 포함하며, 개인 프라이버시 보호 메커니즘을 제공한다.

현재까지의 개인 프라이버시 보호 메커니즘은 WS-Privacy가 대표적인 명세로서 서비

스 제공자와 소비자가 각각의 프라이버시 실행 구문을 서술하기 위한 모델을 설명한다.

또한, WS-Privacy는 WS-Security 기술을 기반으로 WS-SecurityPolicy 기술 및 WS-

Trust 기술과 더불어 신규 파트너간에 상호 작용 가능한 안전한 웹서비스를 구축하는 기

반이 된다. 참고로, WS-Policy는 보안, 신용, 트랜잭션, 사생활 보호 등에 대한 정책을

표현하고 전달하는 웹서비스 정책 기술이고, WS-Trust는 보안 토큰 서비스가 보안 토큰

의 발행, 교환, 유효성을 검사를 제공하는데 사용되는 인터페이스를 제공하는 모델이다.

다음의 <표 I-2>는 웹서비스 보안 품질 프로파일별로 포함되어있는 보안요소의 관계를

보여준다. (Op)는 각 보안 프로파일에서 선택사항을 의미한다.


39 TTAS.OT-10.0124

<표 I-2> 보안 프로파일별 보안 요소

보안 요소 SP 0 SP 1 SP 2 SP 3 SP 4

전송 레벨 데이터 기밀성 ✔ ✔(Op) ✔(Op) ✔(Op) ✔(Op)

전송 레벨 데이터 무결성 ✔ ✔(Op) ✔(Op) ✔(Op) ✔(Op)

전송 레벨 사용자 인증 ✔ ✔(Op) ✔(Op) ✔(Op) ✔(Op)

전송 레벨 접근 제어 ✔ ✔(Op) ✔(Op) ✔(Op) ✔(Op)

전송 레벨 접근성 ✔ ✔(Op) ✔(Op) ✔(Op) ✔(Op)

전송 레벨 감사 추적 ✔ ✔(Op) ✔(Op) ✔(Op) ✔(Op)

메시지 레벨 데이터 기밀성 ✔ ✔ ✔ ✔

메시지 레벨 데이터 무결성 ✔ ✔ ✔ ✔

메시지 레벨 사용자 인증 ✔ ✔ ✔ ✔

메시지 레벨 부인 방지 ✔ ✔ ✔ ✔

메시지 레벨 감사 추적 ✔ ✔ ✔ ✔

메시지 레벨 접근 제어 ✔ ✔ ✔

메시지 레벨 접근성 ✔ ✔ ✔

싱글사인온 ✔ ✔

메시지 레벨 프라이버시 보호 ✔


40 TTAS.OT-10.0124

표준 작성 공헌자

표준 번호 : TTAS.OT-10.0124

이 표준의 제정개정 및 발간을 위해 아래와 같이 여러분들이 공헌하였습니다.

구분 성명 위원회 및 직위 연락처

(E-mail 등) 소속사

과제 제안 김은주

웹프로젝트그룹 위원

웹코리아 포럼 전자정부

워킹 그룹 의장

02-2131-0447

[email protected] 한국정보사회진흥원

표준 초안 제출 김은주




02-2131-0447


표준 초안 검토

김은주




02-2131-0447


민덕기 웹코리아 포럼 전자정부

워킹 그룹 위원

02-450-3490

[email protected] 건국대학교

이영곤 웹코리아 포럼 전자정부

워킹 그룹 위원

031-4968-428

[email protected] 한국산업기술대학교

표준안 심의

이헌중 IT응용 기술위원회 의장 02-2131-0446


외 IT응용 기술위원회

위원

사무국 담당

김선 팀장 031-724-0080

[email protected] TTA

강석규 대리 031-724-0326

[email protected] TTA



(Web Services Quality Factors 1.0)

발행인 : 김원식

발행처 : 한국정보통신기술협회

463-824, 경기도 성남시 분당구 서현동 267-2

Tel : 031-724-0114, Fax : 031-724-0109

발행일 : 2007.12.

Documents

웹서비스 품질 요소 1 - TTA...정보통신단체표준(국문표준) i TTAS.OT-10.0124 서 문 1. 표준의 목적 본 표준의 목적은 웹서비스를 개발하고 사용함에