Q1. 기관이전 동의 메일은 어디로 발송되나요?
A1. KRNIC은 ICANN의 기관이전 정책과 동일하지만 큰 차이가 하나 있어요. 바로 등록인의 이메일입니다. KR도메인의 경우에는 Registry에서 등록인의 이메일 정보를 받지 않고 관리자의 이메일(전자우편)만 받는답니다. 그러나 관리 책임자는 도메인의 등록인(소유자)이 아닌 대리인이기 때문에 등록 대행자는 등록인의 .kr 도메인 신청 정보로 등록인 이메일 정보를 받습니다.
.kr 도메인의 경우 등록인의 이메일, 관리 책임자의 이메일, 회원 가입 시의 이메일 등 총 3개의 인증 정보를 가지고 있습니다. ICANN는 Registrant의 이메일로 기관이전 동의 메일을 보내라고 규정하고 있지만 KRNIC의 경우에는 이에 대한 구체적인 규정이 없습니다. 이는 국내의 .kr 도메인 등록 대행자에 따라 기관이전 동의 메일 발송 대상이 달라지는 결과를 초래하게 되는데, 사용자의 혼란을 피하기 위해서는 KRNIC의 통일된 정책이 요구된다 하겠습니다.
Q2. 리셀러에 등록된 도메인의 기관이전 진행 과정은 어떻게 되나요?
A2. ICANN이나 KRNIC을 포함한 Registry는 Registrar 혹은 등록 대행자를 통해서만 도메인을 등록할 수 있도록 허용하고 있습니다. 즉 물리적인 도메인 등록 시스템 및 그 데이터의 흐름은 오로지 Registry와 Regisrar 사이에만 존재하며, WHOIS 검색은 바로 그러한 과정을 거쳐 등록되어 있는 현재의 등록 정보를 알려 주는 수단입니다.
다음의 화살표는 Registrar와 Reseller, 또는 Reseller간의 기관이전이 발생하는 경우입니다. 도메인 등록인이나 Reseller의 입장에서는 등록 업체가 변경되는 경우이나, Reistry의 입장에서는 공식적인 의미의 기관이전이 아닙니다. Registrar로부터 기관이전 신청을 받은 적이 없는 하나의 Registrar 안에서 이루어지는 과정이기 때문입니다.
Registrar G의 경우에는 자체적으로 Regstry의 역할을 하며, Reseller가 Registrar의 역할을 하도록 하는 리셀러 도메인 등록 프로그램을 만들어 배포할 것입니다. 당연하지만 Registrar마다 리셀러 도메인의 기관이전 정책은 모두 다를 것이며, 특히나 그 질적인 차이가 클 것입니다. 왜냐하면 인증 과정은 물론이고 기관이전 동의 과정에서의 메일 발송 시스템이 그리 단순하지 않기 때문입니다. 리셀러로서 도메인 사업을 운영하려면 Registrar가 제공하는 등록 시스템의 질적 평가가 사전에 반드시 이루어져야 하는 이유입니다.
Q3. 기관이전을 하게 되면 등록인의 정보도 변경해야 하나요?
A3. 한마디로 대답하면 그렇지 않습니다. 변경되는 것은 공식 등록 업체뿐, 다른 일체의 정보는 그대로 유지됩니다. 예를 들어 .kr 도메인의 경우에는 ‘등록대행자’만이 변경되고, gTLD의 경우에는 ‘Sponsoring Registrar’만이 변경됩니다.
그러나 기관이전이 성공적으로 완료되자마자 소유자 확인 과정을 포함한 도메인 정보의 변경 절차가 곧바로 이어지는 경우가 있습니다. 이는 기관이전 신청 시에 신청 정보를 입력 받는 등록 업체들이 해당한다고 할 수 있습니다. 이 때 현재 등록되어 있는 정보와 완전히 동일한 정보를 입력하는 것이 아니라면 변경이 일어날 수 있습니다. 또는 실제 등록인과 다른 정보를 입력하고 기관 이전을 신청할 수도 있습니다.
기관이전이 완료되면 등록 업체는 신청 시 입력 받은 정보로 변경을 하게 됩니다. 이 과정에서 기관이전이 완료된 후에 소유권 이전의 과정을 거치는 업체가 있는 반면 기관이전 동의 과정에서 소유자 정보 변경에 대한 동의도 이루어진다고 가정하고 곧바로 입력 받은 정보로 변경 처리하는 업체도 있습니다. 후자의 경우는 기관이전 신청 정보를 따로 입력해야 하는 불편함은 둘째 치더라도 해킹으로 도메인을 탈취하는 범죄에 노출될 위험이 있습니다.
잘 와 닿지 않으신다면 가상의 일화를 통해 그 위험성에 대해 살펴보겠습니다.
A라는 중국 해커가 B라는 미국 레지스트라의 시스템에 침입하여 ‘abc.com’도메인의 기관이전 인증코드 정보를 확인합니다. 그리고 등록인의 이메일을 자신의 이메일로 변경합니다. 그런 뒤, C라는 중국의 도메인 등록 업체에 회원 가입하여 B사에서 탈취한 인증코드 및 기관이전 신청 정보에 자신의 이름과 이메일을 입력하여 ‘abc.com’도메인에 대한 ‘기관이전’을 신청합니다.
잠시 후, 중국의 C사에서 보낸 동의 메일과 미국 B사에서 보낸 동의 메일이 쌓이고, A는 차례로 동의 버튼을 누릅니다. 그러자 곧 C사로부터 ‘기관 이전이 완료되었다’는 통지 메일이 도착합니다. 방금 전에 가입한 회원정보로 C사 사이트에 로그인하자 도메인 리스트에 ‘abc.com’이 들어와 있습니다. WHOIS 검색을 하자 등록인 역시 A로 변경되어 있습니다. 기관이전 시 입력한 정보 그대로입니다.
이어서 A는 C사에서 제공하는 ‘도메인 판매’ 무료 파킹 서비스를 신청합니다. 그 순간 ‘abc.com’의 네임서버가 B사의 네임서버로 변경되고 ‘abc.com’홈페이지 대신, ‘도메인 판매’라 쓰여진 파킹 페이지가 뜹니다. 만약 도메인의 본래 주인이 해커에 의해 도메인 정보가 변경되었다는 사실을 객관적인 증거로 소명하지 못하면 도메인을 영원히 찾을 수 없게 됩니다. 운이 좋더라도 도메인을 다시 찾는 데에는 최소 2~4주가 걸릴 것이고, 그 동안 ‘abc.com’사이트는 띄울 수 없게 되는 것입니다.
따라서 기관이전 시 신규 정보를 입력하는 업체라면, 현재 등록된 도메인의 정보, 특히 소유자명과 이메일 등의 중요 정보를 확인하고 검증할 수 있는 시스템을 갖추어야 할 것입니다.