인터넷 도메인 등록 정보의 확인 수단으로 오래도록 사용되어 온 WHOIS는 여러 가지 한계를 가지고 있었습니다. WHOIS는 데이터 형식이 표준화되어 있지 않고, 누구든지 등록자의 이름, 이메일, 전화번호 등 민감한 개인정보에 쉽게 접근할 수 있었습니다. 또한 다국어와 국제화 지원이 미흡하여 개인정보 보호와 글로벌 인터넷 환경 변화에 대응하기에 어려움이 있었습니다.
2018년 유럽연합의 GDPR이 시행되면서, 이런 WHOIS 방식의 문제는 더욱 두드러졌습니다. GDPR은 ‘개인정보 최소 수집’과 ‘제한적 공개’를 원칙으로 하지만, WHOIS는 개인정보를 무제한 공개하는 구조였기 때문입니다. 즉, 기존 WHOIS 체계는 개인정보 보호 기준과 충돌되는 상황에 놓이게 되었고, 이에 따라 도메인 등록 데이터 관리 방식이 국제적인 개인정보 보호 규제에 부합하도록 재설계될 필요성이 제기되었습니다.
하지만 WHOIS의 모든 정보를 일괄적으로 차단할 수 없었습니다. 법 집행 기관과 같이 공익적 목적으로 등록 데이터를 여전히 활용해야 하는 경우가 있기 때문입니다. 이처럼 개인정보 보호와 공익적 데이터 접근이라는 두 가지 요구를 균형 있게 충족시킬 새로운 시스템이 필요했습니다.
이러한 상황에서 등장한 것이 바로 RDAP(Registration Data Access Protocol)이며, 이를 실제 운영기관이 따를 수 있도록 구체화한 정책이 바로 Registration Data Policy(RDP)입니다.
한 줄 요약
– WHOIS의 한계: 표준 부재, 개인정보 노출, 다국어 미지원
– GDPR과 같은 국제 규제와 충돌
– 개인정보 보호와 공익적 목적의 데이터 접근이 가능한 RDAP 등장
ICANN의 Registration Data Policy는 어떤 데이터를 수집하고, 누구에게 어떤 조건하에 공개할지, 그리고 접근 절차를 규정한 정책입니다. 그리고 gTLD Registry와 Registrar가 반드시 따라야 할 등록 데이터 처리 원칙을 구체적으로 명시하고 있습니다. 이 정책의 목적은 WHOIS의 한계를 개선하고, GDPR 등 글로벌 개인 정보 보호 규제를 준수하는 것입니다. 그리고 필요한 경우 합법적인 데이터 접근을 보장하는 것을 목적으로 합니다.
도메인의 필수 수집 데이터
– 등록자 이름, 이메일, 전화번호, 주소 등 기본 정보
– 도메인 등록, 갱신, 만료일 및 네임서버 등 기술적 정보
위 데이터는 모두 공개되지 않고, 개인정보는 원칙적으로 비공개 처리됩니다. 일반 이용자에게는 도메인 상태, 등록 및 만료일, 네임서버 등 제한된 정보만 제공됩니다.
단, 법 집행 기관의 경우에는 심사 및 절차를 통해 추가적인 데이터에 접근할 수 있습니다. 이를 위해 정책은 RDAP(Registration Data Access Protocol)를 기반으로 보안성과 확장성을 갖춘 표준화된 접근 방식을 적용합니다.
등록기관과 레지스트리는 수집된 데이터를 일정 기간 보관해야 하며, 현지의 개인정보 보호 법규가 ICANN 정책과 상충할 경우 해당 법규가 우선 적용됩니다. ICANN은 각 기관의 정책 준수 여부를 점검하고, 불이행 시 제재할 수 있는 권한을 가지고 있습니다.
이처럼 Registration Data Policy는 WHOIS의 한계를 보완하며, RDAP 기반의 표준 체계를 통해 개인정보 보호와 합법적인 데이터 활용 양쪽 모두를 충족할 수 있도록 명확한 가이드라인을 제시하고 있습니다.
더 자세한 정책 내용은 ICANN Registration Data Policy에서 확인하실 수 있습니다.