IT이야기2015. 6. 24. 12:36

등록한 사람이 없겠지라는 생각으로 확인했는데, 등록되어 있다. 5월 등록이면 '아몰랑'이 언론에 나올 시점일텐데, 이렇게 발빠른 분들이 있다니, 놀랍다. 제가 등록하고 싶은 맘은 없고, 그냥 궁금해서.


$ whois_list.sh amolrang
amolrang.co.kr       => Registered Date : 2015. 06. 09.
amolrang.or.kr       => No match
amolrang.re.kr       => No match
amolrang.pe.kr       => No match
amolrang.go.kr       => No match
amolrang.kr          => Registered Date : 2015. 06. 09.
amolrang.com         => Creation Date: 11-may-2015
amolrang.org         => No match
amolrang.net         => Creation Date: 09-jun-2015


한글 도메인도 확인해봤다.


$ whois_list.sh 아몰랑
아몰랑.co.kr         => No match
아몰랑.or.kr         => No match
아몰랑.re.kr         => No match
아몰랑.pe.kr         => No match
아몰랑.go.kr         => No match
아몰랑.kr            => Registered Date : 2015. 05. 13.
아몰랑.com           => Creation Date: 15-may-2015
아몰랑.org           => No match
아몰랑.net           => Creation Date: 15-may-2015


아몰랑.com, 아몰랑.net은 도메인 정보가 블라인드 처리되어 있다. 도메인 정보가 모두 등록기관 정보로 되어 있고, 메일주소도 admin_AT_whoisblind.com 로 되어 있다. 의심은 간다. '아~몰라~몰라~몰랑~~~'


Registrant Name: Whois Domain Admin.
Registrant Organization: Whois Domain Admin.
Registrant Email: admin_AT_whoisblind.com


* 관련글

2011/08/13 - [IT이야기] 쥐박이와 명박이 도메인 (현재는 이 도메인들 모두 등록되어 있지 않음)

Posted by 좋은진호

댓글을 달아 주세요

  1. ㅎㅎ~~

    아몰랑.com 요즘 스맛폰이 일반화되니 그냥 아몰랑만 입력하고 com버튼만 누르면 돼죠. 재밌는 도메인 이름입니다. 한데 아몰랑.com과 amolrang.com비교되네요. 역시... 내국인 상대로한다면 한글도메인이 확실히 좋아보입니다 ^^

    2015.06.24 17:28 [ ADDR : EDIT/ DEL : REPLY ]
    • 예. 타이핑이 편하긴 합니다만,
      한글도메인은 일반적으로 포워딩용이지, 서비스용 도메인으로는 쓰지않습니다.
      그리고, '아몰랑.com'은 정보가 블라인드 처리되어서 어디에서 등록한건지 눈치챌 수도 있을거에요. ^^

      2015.06.24 18:34 신고 [ ADDR : EDIT/ DEL ]

IT이야기2011. 8. 13. 23:28
'쥐박이' 도메인을 청와대에서 등록했다는 기사를 봤다.(한겨레신문) 그래서 재미삼아 도메인 whois 검색을 해봤다. 쥐박이, 명박이 도메인은 같은날에 등록을 했다. 언론에 노출된 뒤로 등록자 정보가 모두 감춰졌다.

$ whois_list.sh 쥐박이
쥐박이.kr            등록 => 등록일: 2010. 01. 27.
쥐박이.com           등록 =>  Creation Date: 27-jan-2010
쥐박이.org           등록 => Created On:27-Jan-2010 06:06:52 UTC
쥐박이.net           등록 =>  Creation Date: 27-jan-2010

$ whois_list.sh 명박이
명박이.kr            등록 => 등록일: 2010. 01. 27.
명박이.com           등록 =>  Creation Date: 27-jan-2010
명박이.org           등록 => Created On:27-Jan-2010 06:06:47 UTC
명박이.net           등록 =>  Creation Date: 27-jan-2010

$ whois_list.sh 이명박
이명박.kr            등록 => 등록일: 2010. 12. 02.
이명박.com           등록 =>  Creation Date: 15-nov-2000
이명박.org           없음
이명박.net           등록 =>  Creation Date: 11-nov-2005


* 명박이.kr whois 정보

도메인이름                  : 명박이.kr
등록인                      : 후이즈 도메인 관리자   <-- blind 처리
등록인 주소                 : 서울 구로구 구로3동 182-4 대륭포스트타워 3차 1101호
등록인 우편번호             : 152847
책임자                      : 후이즈 도메인 관리자
책임자 전자우편             : admin@whoisblind.com
책임자 전화번호             : 82-2-1588-4259
등록일                      : 2010. 01. 27.
최근 정보 변경일            : 2011. 08. 12.          <-- 언론 노출 후 정보 변경
사용 종료일                 : 2012. 01. 27.
정보공개여부                : Y


쥐박이, 명박이 도메인은 청와대에서 등록을 했다. 그런데, '이명박' 도메인은 이명박.kr, .com, .net이 모두 다른 소유자가 갖고 있었다.
왜 이명박.kr 은 청와대(국민 세금이 들어가는 것이니 개인적으로 원치는 않지만)에서 등록하지 않았을까? 이명박.com과 .net은 오래전에 등록되어 있으니 그런가보구나 넘어갈 수 있는데, 이명박.kr은 누군가에 의해 작년 12월에 등록되어 있다. 쥐박이, 명박이는 작년 1월에 등록했다. 그러면 작년 1월에 이명박.kr과 이명박.org도 같이 등록했을 수도 있지 않았을까.

한글 도메인은 이쯤하고, 다른 것을 검색해보고 싶었다. 그순간, 방통위로 부터 접속차단당한 트위터 2MB18nomA가 떠올랐다. whois 검색을 해볼까?

$ whois_list.sh 2mb18noma
2mb18noma.co.kr      없음
2mb18noma.or.kr      없음
2mb18noma.re.kr      없음
2mb18noma.pe.kr      없음
2mb18noma.go.kr      없음
2mb18noma.kr         없음
2mb18noma.com        등록 =>  Creation Date: 15-jul-2011
2mb18noma.org        등록 => Created On:15-Jul-2011 07:53:15 UTC
2mb18noma.net        등록 =>  Creation Date: 15-jul-2011


어? 등록되어 있다. 3개가 7월에. 현재 2mb18noma.com, 2mb18noma.net은 도메인 파킹되어 있다. 
2mb18noma.org은 진보넷에서 사용중인 것으로 보인다. 사이트를 가보니 '2MB18nomA 접속차단에 반대한다. 방송통신심의위원회 통신심의 문제 감시 블로그'라고 쓰여있다. 와~ 좋은 목적의 블로그다. ^^ 3개 도메인 모두 소유자는 'Domains by Proxy'으로 표시되어 있는데, 같은 날짜에 등록한 것을 보면 '진보넷'에서 등록했을 듯 싶다. 

* 2mb18noma whois 정보 

Registrant:
   Domains by Proxy, Inc.
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States


※ whois 검색은 '커피닉스에 올려둔 스크립트'를 사용했다.
 
Posted by 좋은진호

댓글을 달아 주세요

  1. 그 외에도 "이메가", "2MB".. 다양한 것을 사전에 등록한 것 같더군요.

    청와대의 휴리스틱 기능이 좋습니다.ㅎㅎ

    2011.08.14 13:46 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 아하~~ '이메가'도 같은 날 청와대에서 등록했군요.
      '2MB'는 몇년전에 확인했는데, 여러 사람이 각각 등록을 했더군요.

      2011.08.16 09:19 신고 [ ADDR : EDIT/ DEL ]

IT이야기2009. 4. 28. 23:27
국내 몇몇 주요 사이트의 도메인 정보가 25일(토)에 변조된 사건이 발생했다. 상태(Status) 정보, 관리책임자(Administrative Contact)정보, 기술책임자(Technical Contact)정보 등이 변경되었다. 다행인 것은 네임서버 정보는 변경되지 않았다는 것. 만약 이 정보까지 변경됐다라면 큰 난리가 생겼을 것이다. 랭키닷컴 기준으로 1위~100위 사이트 중 .com, .net 도메인과 그외 추가로 몇개를 whois 검색했다. 총 7개 도메인에서 특이한 점이 보였다.

  • daum.net
  • hanmail.net
  • n------.com
  • c------.com
  • c------.com
  • d------.com
  • i------.com (도메인 길이에 상관없이 '-' 갯수를 임의로 통일해서 표기함)

daum.net 도메인을 살펴보자. daum.net의 whois는 DomainTools whois  또는 godadday whois  등을 포함하여 여러 whois 사이트와 whois 명령으로 살펴보았다.

daum.net whois

[ 2009.4.28현재 daum.net whois 결과 ]


daum.net whois

[ 2009.4.28현재 daum.net whois 결과 ]



1. 최종 갱신일(Updated Date)을 보면 4.25(토)이다. 변조는 토요일에 발생났다. 위 도메인 모두 그렇다.

   Updated Date: 25-apr-2009

2. Status정보가 특이하다.

   Status: clientDeleteProhibited
   Status: clientRenewProhibited
   Status: clientTransferProhibited
   Status: clientUpdateProhibited
   Status: serverDeleteProhibited
   Status: serverRenewProhibited
   Status: serverTransferProhibited
   Status: serverUpdateProhibited

   일반적으로 ok로 표시되거나 clientTransferProhibited 이나 clientDeleteProhibited, clientUpdateProhibited 정도의 상태 정보만 표시가 되는데, client... 로 시작하는 것 4개와, server... 로 시작하는 상태 정보까지 보인다. 이는 1) 도메인 정보를 악의적으로 변경한 자가 더이상 도메인 정보를 변경할 수 없도록 금지(Prohibited)시켰거나,  2) 도메인업체에서 관리기관에서 더이상 누군가 변경을 못하도록 임시로 보호조치를 취했을 것 같다. daum.net의 3.5일 갱신 정보에는 clientDeleteProhibited, clientTransferProhibited, clientUpdateProhibited 이렇게 3개 상태 정보만 갖고 있었다.

참고로 google.com이나 yahoo.com은 clientRenewProhibited 과 serverRenewProhibited를 제외한 6개의 Status를 갖고 있다.

3. Administrative Contact 정보와 Technical Contact 정보가 모두 아래와 같이 변경되어 있다. 도메인 소유 업체의 정보가 나와야할 것인데, 엉뚱한 정보뿐이다. 그리고, 얼핏보면 메일주소가 미국 업체Godaddy인 것처럼 보인다.

      Tigran, Arutunyan  domain.godaddy@yahoo.com
      Domain
      537 Seabright Ave.
      Santa Cruz, California 95062
      United States
      +1.4965784      Fax --


위의 3가지 도메인 정보때문에 변조되었을 것으로 추정한 것이다. 7개 도메인이 모두 같은 '국내 도메인 등록업체'(의심가는 서비스 업체가 있으나 얘기하지는 않겠음)일 가능성이 있다. 그리고, 그 등록업체의 문제로 인해 변조되었을 것이다. whois의 history정보를 볼 수 있다면 좀 더 명확해질텐데, 비용이 발생해서 볼 수가 없다. ^^ whois 정보로만으로 제3자 입장에서 파악하는게 쉽지가 않다. 한가지는 확실하다. 국내 대표 사이트의 도메인 정보가 이렇게 나온 경우는 본 적이 없다.



* 도메인 변조 관련

----------------------------------------------------
2009.6.4(목) 추가 사항

* 도메인 상태 코드(Status Code)에 대한 자세한 것은 '도메인 정보의 숨겨진 비밀, 상태 코드'를 보시길 (2009.5.28, 글 좋은진호)
Posted by 좋은진호

댓글을 달아 주세요

  1. 루피노

    이건또 뭥미...
    뭐 약간 도움되는 정보이긴 한데..
    왜?
    다음만 밝히고 밑에 포털들은 안밝히는지 어차피 다아는데...ㅡ,.ㅡ
    ......요샌 참 모든게 의심스럽단 말이지..........

    2009.04.29 10:13 [ ADDR : EDIT/ DEL : REPLY ]
    • ^^ 샘플이 필요하니 다음만 적은 것이구요, 저는 저 도메인의 해당 업체와는 전혀 관계가 없으며, 경쟁업체도 아닙니다.

      2009.04.29 14:42 신고 [ ADDR : EDIT/ DEL ]
  2. 이것참..지금 조사해도 같은 내용이 나오네요..

    2009.04.29 12:25 [ ADDR : EDIT/ DEL : REPLY ]
    • 예. 지금은 Administrative Contact, Technical Contact 정보가 다르게 나오네요. 아침에도 다르게 나오더라구요. 도메인 실소유업체명으로 바뀌었더라구요.

      2009.04.29 14:43 신고 [ ADDR : EDIT/ DEL ]
  3. 2009.4.29(수) 아침 8시 이전에 확인한 결과 다음과 같았음. Technical Contact: 정보도 동일하게 바뀜. 정보는 일부 바뀌었으나 'Updated Date: 25-apr-2009'와 Status는 그대로.

    Administrative Contact:
    Daum Communications Corp., Daum Communications Corp. vip123@ibi.net
    Daum Communications Corp.
    Socho-gu Socho-dong
    Seoul, 00000
    Korea, Republic of
    +1.820267180158 Fax --

    2009.04.29 15:00 신고 [ ADDR : EDIT/ DEL : REPLY ]
  4. 이런 변조를 해서 얻는 것이 무엇일까요?

    2009.04.29 16:17 [ ADDR : EDIT/ DEL : REPLY ]
    • 해킹한 사람의 목적은 웹사이트 해킹한 경우와 비슷하지 않을까 싶네요. 이번 경우는 도메인 기간만료를 교묘하게 이용한 것도 아니라서, 물질적 이득(?)은 없었을 것이구요.

      안타까운 것은 보안상의 문제점을 확인했다라는 것, 다행스러운 것은 네임서버 정보를 바꾸지 않은 것. 불행 중 다행이죠.

      2009.04.30 11:54 신고 [ ADDR : EDIT/ DEL ]
  5. 익명

    비밀댓글입니다

    2009.04.30 10:34 [ ADDR : EDIT/ DEL : REPLY ]
  6. 2009.4.29(수) 아침 9시에는 도메인 정보가 정상적으로 돌려졌고, 그 시간대에는 상세정보(Administrative Contact, Technical Contact)는 표시가 되지 않았습니다. (해당시간에 점검중이었을 듯) 11시 이후에 상세한 정보까지 나옴.

    Status: clientDeleteProhibited
    Status: clientTransferProhibited
    Status: clientUpdateProhibited
    Updated Date: 29-apr-2009
    Creation Date: 05-mar-1996
    Expiration Date: 06-mar-2013

    2009.04.30 11:57 신고 [ ADDR : EDIT/ DEL : REPLY ]
  7. 오잉... 이런걸 볼 생각을 어떻게 하셧대요?
    진호님 아니었으면 아~무도 몰랐을텐데.. ㅎㄷㄷㄷ

    근데 대체 누가.. 왜.. 바꿔놓는 걸까요?;; 다른것까지 건드렸으면 진짜 대혼란;;;

    2009.04.30 17:16 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 변조는 25일, 글을 쓴 것은 28일입니다. 다른 분들도 이 사이에 이미 알고 계신 분이 있었을 것입니다.

      네임서버 정보는 그대로여서 천만다행이죠. 도메인 정보가 변조됐다는 사건(?)보다는 어떤 보안상의 문제가 발생했는지가 더 궁금합니다. 결과보다는 원인이...

      2009.05.02 00:57 신고 [ ADDR : EDIT/ DEL ]
  8. 정말 어떻게 알아내신건지 궁금하네요....
    평상시에 특정 도메인의 정보를 확인하는 일은 잘 하지 않는데..;;

    2009.04.30 23:58 [ ADDR : EDIT/ DEL : REPLY ]
    • whois 정보는 자주 봅니다. 이번 경우는 이상하다고 얘기해주신 분이 계셨고, 저 또한 whois명령으로 확인했습니다.

      호기심이 자극했습니다. 1) 국내 1~100위, 2) 추가로 몇몇 도메인, 3) 변조 도메인 소유 업체의 '알려진 다른 도메인' 등까지 변조여부를 확인했습니다. 이후 주기적으로 해당 도메인의 변경 사항이 생기는지 체크했습니다. (아직 hanmail.net의 Administrative Contact, Technical Contact 정보는 완전 정상화된 것은 아닙니다.)

      2009.05.02 01:06 신고 [ ADDR : EDIT/ DEL ]