한국정보기술진흥원
한국정보기술신문
thumbnail

정보통신 ·

.online 도메인의 함정, 구글·레지스트리 이중 잠금에 갇힌 개발자...통보 없이 도메인 서버홀드 처리

발행일
읽는 시간2분 27초

무료 .online 도메인이 갑자기 차단...구글 검증과 레지스트리 해제가 서로를 막는 순환 오류 발생

[한국정보기술신문] 단돈 0.2달러(약 270원)에 등록한 .online 도메인이 수십 일 만에 아무런 통보 없이 접속 불능 상태에 빠지는 사건이 발생해 비표준 최상위 도메인(TLD) 사용에 대한 경각심이 높아지고 있다. 개발자 'Sid'는 지난 2월 25일 이 같은 경험을 공유하며 .online을 비롯한 비주류 TLD의 위험성을 공개적으로 경고했다.

해당 개발자는 도메인 등록업체 네임칩(Namecheap)이 진행한 프로모션을 통해 계정당 .online 또는 .site 도메인을 무료로 제공받았다. ICANN 수수료 0.2달러만 납부하고 소규모 브라우저 앱의 랜딩 페이지를 위해 도메인을 등록한 것이다. 이후 클라우드플레어와 깃허브에 연결해 정상적으로 서비스를 시작한 것처럼 보였다.

어느 날 갑자기 사라진 사이트

문제는 수 주 후에 발견됐다. 다른 도메인의 트래픽 데이터를 살펴보던 중 사이트에 48시간 동안 방문자가 전혀 없다는 사실을 확인했다. 직접 접속을 시도하자 파이어폭스와 크롬 모두에서 붉은 화면의 '안전하지 않은 사이트' 경고 페이지가 가득 차게 표시됐다. 해당 사이트는 앱스토어 링크와 스크린샷, 짧은 소개 텍스트만 있는 단순한 구성으로 악성 콘텐츠와는 거리가 멀었다.

DNS 조회 결과는 아무런 응답도 반환하지 않았고, WHOIS 조회에서는 도메인 상태가 serverHold로 표기돼 있었다. serverHold는 레지스트리, 즉 도메인 최상위 관리 기관이 직접 설정하는 보류 상태로 registrar인 네임칩 수준에서 해제가 불가능하다. clientHold가 주로 결제 문제로 발생하는 것과 달리, serverHold는 남용 행위에 연루됐다고 판단될 때 설정된다.

구글과 레지스트리가 만든 순환의 덫

네임칩 측은 이메일을 통해 해당 조치가 자사가 아닌 .online TLD 전체를 관리하는 레지스트리에 의해 이루어진 것이라고 밝혔다. .online 도메인의 레지스트리는 Radix사로, 이 업체는 구글 세이프 브라우징 블랙리스트에 등재된 것이 원인이라며 해당 목록에서 삭제되면 서버홀드를 해제하겠다고 답했다.

문제는 여기서 심각한 순환 오류가 발생한다는 점이다. 구글 서치 콘솔에서 블랙리스트 재검토를 요청하려면 도메인 소유권을 DNS TXT 레코드나 CNAME 레코드로 인증해야 한다. 그런데 도메인이 serverHold 상태이면 DNS 자체가 동작하지 않아 소유권 인증이 원천적으로 불가능하다. 레지스트리는 구글이 먼저 조치해야 해제하겠다고 하고, 구글은 도메인 인증이 먼저 이루어져야 재검토가 가능하다고 하는 이중 잠금 구조가 만들어진 것이다.

사전 통보도 유예기간도 없었다

이 개발자가 가장 크게 문제를 제기한 부분은 바로 통보의 부재다. 레지스트리인 Radix, 등록 대행사인 네임칩, 호스팅 제공사 클라우드플레어, 구글 어느 쪽에서도 도메인이 차단됐다는 사실을 사전에 알리거나 시정 기회를 주지 않았다. 서비스 운영자 입장에서는 갑작스러운 접속 장애로 이용자 피해가 발생한 후에야 문제를 인지할 수 있었다.

개발자 본인은 이번 사태의 원인으로 구글 세이프 브라우징의 지나치게 민감한 자동 차단 기준, 그리고 이에 연동해 도메인을 즉시 정지시키는 Radix의 방침을 지목했다. 또한 도메인 등록 즉시 구글 서치 콘솔에 등록하지 않은 것과 업타임 모니터링을 설정하지 않은 점을 자신의 실수로 꼽았다.

.com이 아니면 위험할 수 있다

해당 게시물은 커뮤니티에 공유된 후 큰 반향을 불러일으켰고, 게시 40분 만에 구글 측 담당자가 세이프 브라우징 블랙리스트에서 해당 도메인을 삭제했다. 이후 Radix도 serverHold를 해제하면서 사이트는 정상화됐다. 그러나 이 사례는 비주류 TLD가 얼마나 취약한 운영 구조 위에 놓여 있는지를 단적으로 보여준다.

현재 인터넷에서 통용되는 TLD는 .com, .net, .org 외에도 .online, .site, .store, .app 등 수백 종에 달한다. 각각 별도의 레지스트리가 관리하며 보안 정책과 대응 체계도 제각각이다. 신규 서비스나 스타트업이 비용 절감을 위해 저렴한 TLD를 선택할 경우, 이번 사례와 같이 아무런 잘못 없이 서비스가 중단될 위험이 상존한다.

개발자는 "앞으로는 절대 .com이 아닌 다른 TLD는 구매하지 않겠다"며 "0.2달러를 아끼려다 서비스 전체를 잃을 뻔했다"고 말했다.

한국정보기술신문 정보통신분과 문창우 기자 news@kitpa.org

한국정보기술신문