IT이야기2009. 4. 28. 23:27
국내 몇몇 주요 사이트의 도메인 정보가 25일(토)에 변조된 사건이 발생했다. 상태(Status) 정보, 관리책임자(Administrative Contact)정보, 기술책임자(Technical Contact)정보 등이 변경되었다. 다행인 것은 네임서버 정보는 변경되지 않았다는 것. 만약 이 정보까지 변경됐다라면 큰 난리가 생겼을 것이다. 랭키닷컴 기준으로 1위~100위 사이트 중 .com, .net 도메인과 그외 추가로 몇개를 whois 검색했다. 총 7개 도메인에서 특이한 점이 보였다.

  • daum.net
  • hanmail.net
  • n------.com
  • c------.com
  • c------.com
  • d------.com
  • i------.com (도메인 길이에 상관없이 '-' 갯수를 임의로 통일해서 표기함)

daum.net 도메인을 살펴보자. daum.net의 whois는 DomainTools whois  또는 godadday whois  등을 포함하여 여러 whois 사이트와 whois 명령으로 살펴보았다.

daum.net whois

[ 2009.4.28현재 daum.net whois 결과 ]


daum.net whois

[ 2009.4.28현재 daum.net whois 결과 ]



1. 최종 갱신일(Updated Date)을 보면 4.25(토)이다. 변조는 토요일에 발생났다. 위 도메인 모두 그렇다.

   Updated Date: 25-apr-2009

2. Status정보가 특이하다.

   Status: clientDeleteProhibited
   Status: clientRenewProhibited
   Status: clientTransferProhibited
   Status: clientUpdateProhibited
   Status: serverDeleteProhibited
   Status: serverRenewProhibited
   Status: serverTransferProhibited
   Status: serverUpdateProhibited

   일반적으로 ok로 표시되거나 clientTransferProhibited 이나 clientDeleteProhibited, clientUpdateProhibited 정도의 상태 정보만 표시가 되는데, client... 로 시작하는 것 4개와, server... 로 시작하는 상태 정보까지 보인다. 이는 1) 도메인 정보를 악의적으로 변경한 자가 더이상 도메인 정보를 변경할 수 없도록 금지(Prohibited)시켰거나,  2) 도메인업체에서 관리기관에서 더이상 누군가 변경을 못하도록 임시로 보호조치를 취했을 것 같다. daum.net의 3.5일 갱신 정보에는 clientDeleteProhibited, clientTransferProhibited, clientUpdateProhibited 이렇게 3개 상태 정보만 갖고 있었다.

참고로 google.com이나 yahoo.com은 clientRenewProhibited 과 serverRenewProhibited를 제외한 6개의 Status를 갖고 있다.

3. Administrative Contact 정보와 Technical Contact 정보가 모두 아래와 같이 변경되어 있다. 도메인 소유 업체의 정보가 나와야할 것인데, 엉뚱한 정보뿐이다. 그리고, 얼핏보면 메일주소가 미국 업체Godaddy인 것처럼 보인다.

      Tigran, Arutunyan  domain.godaddy@yahoo.com
      Domain
      537 Seabright Ave.
      Santa Cruz, California 95062
      United States
      +1.4965784      Fax --


위의 3가지 도메인 정보때문에 변조되었을 것으로 추정한 것이다. 7개 도메인이 모두 같은 '국내 도메인 등록업체'(의심가는 서비스 업체가 있으나 얘기하지는 않겠음)일 가능성이 있다. 그리고, 그 등록업체의 문제로 인해 변조되었을 것이다. whois의 history정보를 볼 수 있다면 좀 더 명확해질텐데, 비용이 발생해서 볼 수가 없다. ^^ whois 정보로만으로 제3자 입장에서 파악하는게 쉽지가 않다. 한가지는 확실하다. 국내 대표 사이트의 도메인 정보가 이렇게 나온 경우는 본 적이 없다.



* 도메인 변조 관련

----------------------------------------------------
2009.6.4(목) 추가 사항

* 도메인 상태 코드(Status Code)에 대한 자세한 것은 '도메인 정보의 숨겨진 비밀, 상태 코드'를 보시길 (2009.5.28, 글 좋은진호)
Posted by 좋은진호

댓글을 달아 주세요