이제는 너무나도 익숙한 도메인(domain), 즉 인터넷 주소는 우리 일상생활에서 떼려야 뗄 수 없는 존재로 자리 잡았다. 개인뿐만 아니라 기업, 공공기관, 정부까지 모든 사회 주체들이 도메인을 활용하고 있다. 하지만 그 익숙함을 '이용'해 도메인을 '악용'하는 사례도 빈번하다.
앞서 비즈워치는 금융감독원이 수십년간 사용하던 증권범죄신고센터(사이버캅, cybercop.or.kr)가 불법 도박사이트로 이어지는 모습을 포착, 이를 단독 보도했다. 이어 후속보도로 정부 및 공공기관의 도메인을 전수 조사해 관리 실태를 들여다봤다. 그 결과 도메인 관리는 비단 금감원만의 문제가 아닌 정부 및 공공기관 전역에 퍼져있다는 점이 여실히 드러났다. [편집자]
비즈워치는 [버려진 공공사이트] 시리즈를 통해 공공기관이나 비영리기관이 사용해야할 'or.kr' 도메인이 성인용품판매, 불법 도박사이트로 악용되는 모습을 확인했다.
△관련기사: [단독]불법도박·성인용품 사이트 안내하는 정부 공식 누리집(7월 4일)
△관련기사: [단독]불법도박사이트 안내하는 여가부 공식 누리집(7월 8일)
정부의 공식 누리집(홈페이지를 우리말로 순화한 단어) 검색사이트에서 지금은 사용하지 않는 도메인을 버젓이 안내하고 있는 사실도 지적했다.
△관련기사: [단독]산하기관 사이트도 제대로 안내 못하는 행안부(7월 9일)
도메인은 인터넷영토이다. ‘인터넷주소자원에 관한 법률’(제3조 국가의 책무)에서는 국가가 인터넷주소, 즉 도메인을 공정하고 적절하게 사용하도록 노력해야한다는 의무를 명시하고 있다.
하지만 현실은 다르다. 우리나라의 도메인 관리의 최종 책임이 있는 과학기술정보통신부(이하 과기부)는 도메인 관리를 산하기관인 한국인터넷진흥원(KISA)에 맡기고 있다. 그리고 KISA는 도메인 등록대행업자에게 도메인 사전·사후 관리업무를 다시 맡기고 있는 상황이다.
이처럼 국가의 소중한 자원인 인터넷영토 도메인을 '하청'에 '재하청' 구조로 관리하고 있다.
그렇다면 실질적으로 도메인 관리를 맡고 있는 도메인등록대행업은 어떤 과정을 거쳐 할 수 있는 것일까.
국가도메인등록대행업체는 한국인터넷진흥원(이하 KISA)과 정식계약을 맺고 국가도메인(kr, 한국) 등록을 대행한다.
KISA에 따르면, 올해 5월 기준으로 국가도메인등록대행업체는 △가비아 △다우기술 △닷네임코리아 △메가존 △메일플러그 △비아웹 △아사달 △아이게임즈 △아이티이지 △웹티즌 △유니파이 △커넥트파이브 △한강시스템 △호스트센터 △후이즈 등 15개사다.
정보보호 준비도 평가(A등급) 또는 정보보호 관리체계 인증을 받고, 기업신용등급 B등급 이상인 기업이면 도메인 등록대행자를 신청할 수 있다. 선정시 등록대행계약 전 5000만원의 계약보증을 체결하고, 등록대행업무 수행 인력을 보유해야 한다.
도메인 등록대행에 드는 비용은 3단계 기관 도메인을 기준으로 1만450원에서 2만8600원까지 업체별로 다양하다. 또한 △이메일 △24시간 전화상담 △사용 종료일 변경 등 무료서비스 등 차이가 난다. 등록대행자는 이용자에게서 받은 수수료 중 일부를 가져가고, 나머지 금액은 한국인터넷진흥원이 수취한다.
15년째 제자리인 도메인 등록시장
국가도메인등록대행자는 2002년 5개사로 시작해 2010년 33개사로 정점을 찍었다가 점차 줄어드는 추세다. 국가도메인 등록 건수는 지난 6월 기준 108만개로, 2011년(109만개)와 비슷한 수준이다. 국가도메인 등록대행시장은 15년 가까이 제자리걸음을 하고 있다.
도메인 등록대행 사업을 주로 하는 도메인등록대행자는 대체로 중소기업으로 분류하며, 연매출이 수억원에서 백억원대까지 차이가 크다. 익명을 요구한 정보기술(IT)업계의 한 관계자는 "도메인 등록대행만으로 매출을 올리기는 어렵다"면서 "다른 서비스를 하기 위해 함께 제공하는 정도"라고 말했다.
도메인등록대행자 중 매출 규모가 큰 기업은 대부분 다른 사업을 함께 영위하고 있다. 다우기술은 인증보안사업, 인터넷데이터센터(IDC)를 포함한 시스템구축부문에서 지난해 연매출 3878억원을 기록했다. '다나와'를 운영하는 종합 이커머스 기업 커넥트웨이브(2037억원), 클라우드를 주력으로 하는 메가존(1089억원), 가비아(863억원) 등이 뒤를 이었다.
다만 도메인 등록대행 부문 매출이 차지하는 비중은 크지 않은 것으로 알려졌다. 다우기술 관계자는 "도메인등록대행 사업이 전체 매출에서 차지하는 비중은 극히 미미한 수준"이라고 설명했다.
'.kr' 목적 확인할 방법 '전무'
대다수 도메인 등록대행자들은 행정안전부로부터 따로 허가를 받아야 하는 'go.kr'를 제외한다면, ‘or.kr’ 등 나머지 국가도메인 등록 목적을 확인할 방법이 "사실상 없다"고 입을 모은다. 15개사 중 13개사에 확인한 결과 대부분 도메인 등록 시 별도로 목적에 맞는지 따로 확인 절차를 거치거나, 비영리기관이라는 것을 인증하기 위한 서류를 필요로 하지 않았다. 영리목적의 쇼핑몰 사업을 하기위해 비영리목적으로만 사용해야하는 'or.kr'을 등록하더라도 확인할 수 없다는 설명이다. 단 1곳만이 "'or.kr'을 등록할 경우 따로 서류를 첨부해야만 한다"고 설명했으나, 막상 취재진이 실제로 'or.kr' 도메인 등록을 신청해보니 별도로 서류를 첨부하는 칸이 없었다.
사후관리 역시 마찬가지였다. 대부분이 KISA를 비롯한 공공기관에서 공문을 보내왔을 때만 필요에 따라 조치할 수 있다고 설명했다. 가비아의 경우 홈페이지, 이메일 등으로 민원신고가 들어온다면 내부확인 후 이용제한 조치를 취한다.
KISA가 도메인 관리 업무를 사실상 온전히 도메인등록대행자에게 맡기고 있지만, 막상 도매인등록대행자 또한 사전·사후관리가 이뤄지고 있지 않은 셈이다.
▷관련기사: '사전검증' 없고 '사후관리'도 부실…인터넷영토 도메인 관리실태(7월 5일)
가비아 관게자는 "사용자가 직접 등록하는 것이다보니 안내문, 도움말을 통해서만 도메인 목적에 맞게 써야 한다고 얘기하는 정도"라면서 "등록된 도메인이 추후 어떻게 확인되는지에 대해선 민원인 신고가 들어왔을 때만 검토를 진행하고 있다"고 말했다.
메가존 측은 "도메인을 구매하면 정해진 기간 동안 소유자를 유지하도록 관리하는 업무를 하며, 적합성이나 목적은 알 수 없다"고 말했다.
예를 들어 대포폰 사용자에 대한 책임을 통신사가 질 수 없는 것처럼, 도메인을 구매한 고객의 목적은 알 수 없다는 것이다. 다우기술 관계자는 "도메인을 홈페이지에 등재하기 위한 목적으로 매입하는 사람도 있지만, 일단 사놓고 재판매하는 사람도 있어 종류가 무궁무진하다"고 언급했다.
비즈워치는 후속보도로 인터넷주소자원인 도메인과 관련 국회에서는 어떻게 대응해왔는지, 우리가 참고할 해외사례는 무엇이 있는지 따져볼 예정이다. ‘방법이 없다’는 쉬운 핑계만 늘어놓기에는 잘못 사용 중인 도메인이 너무 많다. 우리나라와 도메인 관리 체계가 비슷한 영국이 주는 시사점이 크다.
