도메인 세계의 뜨거운 감자, WHOIS: 정보의 투명한 공개인가 개인정보의 침해인가

WHOIS 시스템이 탄생한 ARPANET 시기만 하더라도 대학이나 연구 기관의 컴퓨터를 중심으로 한 ‘연구 목적’의 작업이 주를 이루었습니다. 그러나 1984년 .com이라는 영리적 목적의 도메인이 도입된 이후 호스트 수는 급격히 증가하고 1990년대 .com 열풍이 불면서 비즈니스 영역이 본격적으로 온라인으로 진입하게 됩니다. 이를 계기로 WHOIS가 제공하는 도메인 등록 정보가 더 이상 순수한 네트워크 연구 수단이 아니라 광고, 소송, 불법 행위 차단, 개인정보 침해 등 보다 복잡한 쟁점들의 진원지가 됩니다.

* 여기서 잠깐! WHOIS에 대해서 자세히 알아보세요

어떤 도메인이든’ 검색 가능한 WHOIS는 무엇이며, 어떤 정보가 제공되고 있을까?

WHOIS, 어떻게 활용되고 있는가

WHOIS를 통해 제공되는 정보에 개인의 ‘전화번호’와 ‘이메일’이 포함된다는 것은 곧 개인정보 침해의 소지가 있다는 것을 의미합니다. 하지만 이에 앞서 불법적인 도메인 사용을 방지하기 위해서 정확한 정보의 공개가 필요하다고 보는 주장 또한 팽팽히 맞서고 있는 것이 현실입니다. 도메인 등록 정보는 다음과 같은 경우, 매우 유용하게 사용될 수 있기 때문입니다.

  • 도메인이 현재 등록 가능한지(다른 누군가에 의하여 등록되어 있는지 여부) 확인할 때,
  • 도메인의 등록 만기일을 확인할 때
  • 도메인을 연장하고 싶은데 어느 등록 업체(Registrar) 등록했는지 알 수 없을 때
  • 홈페이지를 띄워 주는 DNS를 확인하고 그 운영 업체를 확인하고 싶을 때
  • ICANN 규정에 따라 Registrar에서 1년에 한번 도메인 등록자에게 ‘도메인 등록 정보’ 확인 통지 메일을 보낼 때
  • 도메인의 등록자(Registrant)로부터 도메인을 구매하고자 연락을 취할 때
  • Registry나 Registrar에서 도메인 등록자에게 도메인의 기관 이전 동의 메일을 보낼 때
  • 지적 재산권 침해의 문제로 도메인 등록자에게 연락을 해야 할 때
  • 시스템 보안 관리자가 사이버 공격에 관련된 사이트의 책임자와 즉각적인 연락을 취할 필요가 있을 때
  • 검찰이나 경찰이 불법적인 사이트를 운영하는 책임자의 신원을 확인할 때,
  • 검찰이나 경찰이 수사 단서로 사기 혐의 피의자의 위치(주소)나 이메일 정보를 수집할 때
  • 검찰이나 경찰이 스팸 광고를 보내는 웹사이트의 정보를 수집하고자 할 때
  • 이용 중인 사이트에 문의 사항이 있으나 연락처를 발견할 수 없을 때

이처럼 도메인 등록 정보는 다양하고 유용하게 활용할 수 있으나 반대로 광고나 홍보의 목적, 나아가 불법적인 용도(피싱, 신원 도용 등)로 악용(참조)될 수 있습니다. 대체로 국가 기관이 관리하는 ccTLD의 경우에는 정보 공개를 최소화하고 있으나 일종의 국제 기구인 ICANN은 공개하는 정보의 범위가 넓은 것은 물론이고 ‘공개되는 정보의 정확성이 유지되는 않는 도메인에 대하여는 Registrar로 하여금 도메인의 이용을 중단’시키도록 하고 있습니다(참조).

 

개인정보 보호를 위한 해결 방안: 대리 정보의 공개(Privacy and Proxy)

사실 도메인 등록 정보의 공개는 태생적으로 개인정보 보호라는 뜨거운 감자를 품고 있었기에 2000년 초·중반부터 Registrar에서는 그 명칭을 조금씩 달리할 뿐 ‘Privacy and Proxy’ 서비스를 시행해 왔습니다. 국내에서는 일반적으로 ‘등록 정보 숨김’이라 일컫고 있습니다. <도메인 등록 정보 숨김 서비스 알아보기> 도메인 등록자의 실제 정보 대신, Registrar의 정보를 공개하는 것이지요.

한편, ICANN에서는 등록 정보를 대행하는 업체의 자격 기준을 정하고, 선의의 도메인 활용자들이 이들을 통하여 도메인 등록자와의 연락을 원활히 할 수 있는 절차와 규정을 만들어 두 마리의 토끼를 잡겠다는 생각입니다. 그리고 이는 ICANN과 Registrar의 계약서 부속 조항인 ‘SPECIFICATION ON PRIVACY AND PROXY REGISTRATIONS’ 서두에서 2017년 1월 1일까지 ‘Privacy and Proxy’ 서비스 공급자 선정 정책을 마무리하겠다는 입장이 구체화되었고 현재도 여론 수렴 등을 통하여 작업을 가속화하고 있습니다.

그런데 ‘Privacy and Proxy’ 서비스 공급자를 선정하겠다는 것은 심사의 과정이 필요하다는 것을 의미하여, 이 심사에 드는 비용은 신청자들에게 부여될 가능성이 매우 높습니다. 그리고 이 ‘신청자’는 도메인 등록 서비스를 직접 제공하는 대부분의 Registrar가 될 것임은 자명합니다. 결과적으로 일부 Registrar에서 등록자에게 제공하는 등록 정보 숨김 서비스도 모두 유료로 전환될 것입니다.

도메인 정보 활용자의 입장에서는 보다 확실하게 도메인 등록자에게 연락을 취할 수 있는 수단을 확보한 반면, 그 정보 요청의 사유를 절차에 따라 보다 효과적으로 전달해야 하는 번거로움은 감수해야 할 것입니다.