코리아닷컴 도메인 해킹 어떻게 일어났나

두루넷이 60억원이라는 거금을 들여산 코리아닷컴 도메인이 어떻게 한순간에 해킹을 당할 수

있었을까. 전문가들은 이번 도메인 해킹사건이 국내 인터넷 기업들의 도메인 관리실태가 얼마

나 허술한지를 상징적으로 나타내는 사건으로 보고 있다.

31일 도메인 등록업계에 따르면 두루넷이 코리아닷컴의 원 소유주인 미국기업과 도메인 양수도 계약을 체결한 것은 지난 2월. 두루넷은 미국 도메인 등록 대행업체인 ‘네트워크솔루션’(NSI)의 인터넷 홈페이지를 통해 도메인 소유권 변경 신청을 했다.

두루넷은 최근 소유권 이전을 위해서는 이메일 신청 절차 외에도 변호사 공증서류와 양수도자의 확인 서류 등 증빙서류를 제출하도록 절차가 변경됨에 따라 바로 공증서류를 NSI에 제출했다.

두루넷은 이런 절차를 거쳐 3월 3일 도메인 이전 절차를 완료했다. 이 당시까지만 해도 NSI에는 코리아닷컴의 소유주와 주소가 정확하게 명기돼 있었다.

그러나 문제가 발생한 것은 지난 3월 28일. 해커가 회사명은 그대로 ‘코리아 두루넷’으로

해놓고 주소를 베트남 호치민시 근처인 홍가이(hongay) 펜라크(fenlak)가 217번지로 바꿔 놓은 것.서버명칭도 미국 시애틀에 본사를 둔 마이도메인(mydomain)으로 옮겨 놓았다. 가장 신경을 써야 할 도메인 등록 초기에 관리자들이 넋을 놓고 있다고 도메인을 해킹 당하고 말았다.

전문가들은 이번 사고가 수준 높은 해커 소행이라기 보다 국내 기업의 도메인 관리체계 허술로 발생한 것으로 보고 있다. 전문가들이 보는 이번 해킹의 원인은 크게 3가지로 추정된다.

우선 NSI가 해킹을 당해 코리아닷컴의 주소가 변경된 경우.그러나 NSI의 보안수준을 감안할

때 거의 불가능한 것으로 보인다. 또 한가지는 NSI의 시스템에 오류가 발생한 경우. 이 또한

가능성이 낮다.

마지막은 두루넷의 도메인 관리자의 이메일과 패스워드가 관리소홀로 노출된 경우다.

이번 해킹 사건을 처음 발견한 예스도메인(www.yesdomain.com)의 유용기 사장에 따르면 이번 해킹사고는 해커가 도메인 관리자용 아이디(ID)와 비밀번호를 알아내 NSI측에 도메인의 명의 변경신청을 한 것으로 보고 있다.

명의 변경 신청은 도메인 관리자의 ID와 비밀번호를 알면 일반인도 손쉽게 할 수 있다. 특히

도메인 관리자의 ID는 NSI의 홈페이지에 가면 일반인들도 손쉽게 알 수 있도록 노출돼 있다.

문제는 국내 대부분의 도메인 관리자들이 ID의 비밀번호 관리를 허술하게 한다는 점. 최근 S기업을 대상으로 한 ID관리 실태 조사에 따르면 ID명과 비밀번호가 동일한 경우가 50%에 달했다.

윤 사장은 “이번 사건은 우리나라 인터넷 기업들의 도메인 관리가 얼마나 허술한 가를 상징

적으로 보여주는 사건”이라며 “도메인 관리자들은 수시로 도메인 등록 대행기관에 게시된

자신의 도메인이 정상적으로 관리되고 있는가를 체크해야 할 것”이라고 밝혔다.