이제는 너무나도 익숙한 도메인(domain), 즉 인터넷 주소는 우리 일상생활에서 떼려야 뗄 수 없는 존재로 자리 잡았다. 개인뿐만 아니라 기업, 공공기관, 정부까지 모든 사회 주체들이 도메인을 활용하고 있다. 하지만 그 익숙함을 '이용'해 도메인을 '악용'하는 사례도 빈번하다.
앞서 비즈워치는 금융감독원이 수십년간 사용하던 증권범죄신고센터(사이버캅, cybercop.or.kr)가 불법 도박사이트로 이어지는 모습을 포착, 이를 단독 보도했다. 이어 후속보도로 정부 및 공공기관의 도메인을 전수 조사해 관리 실태를 들여다봤다. 그 결과 도메인 관리는 비단 금감원만의 문제가 아닌 정부 및 공공기관 전역에 퍼져있다는 점이 여실히 드러났다. [편집자]
'도메인(domain)'의 본래 의미는 영토, 분야, 영역, 범위를 뜻하는 단어지만 지금은 인터넷 주소를 지칭하는 용어로 쓰인다. 우리나라는 '.kr'이라는 국가도메인(최상위도메인)을 부여받아 인터넷 주소로 활용하고 있다.
영토를 통해 국가의 영향력 범위를 알 수 있는 것처럼 도메인도 인터넷이라는 공간에서 한 국가의 영향력 범위를 알 수 있는 기준이 된다. 인터넷 공간에서 영토는 곧 도메인이다. 눈에 보이는 영토만큼이나 도메인도 국가가 중요하게 관리해야 하는 자원인 이유다.
도메인이 국가의 소중한 자원이라는 점은 2004년 제정한 인터넷주소자원에 관한 법률에서도 규정하고 있다.
인터넷주소자원에 관한 법률 제3조(국가의 책무)
① 국가는 인터넷주소자원의 개발과 이용을 촉진하고 인터넷주소가 공정하고 적절하게 사용될 수 있도록 노력하여야 한다.
비즈워치는 앞서 [단독]불법리딩방 신고하려 눌렀더니…'도박 사이트'가 떡하니(6월 14일), [단독]불법도박·성인용품 사이트 안내하는 정부 공식 누리집(7월 4일) 보도를 통해 공공기관이나 비영리기관이 사용해야할 'or.kr' 도메인이 성인용품판매, 불법 도박사이트로 악용되는 모습을 확인했다. 심지어 이를 신뢰할 수 있는 공식누리집(홈페이지를 우리말로 순화한 단어)이라고 소개하고 있는 행정안전부의 관리 실태도 살펴봤다.
우리 정부는 도메인을 어떤 체계로 관리하고 있길래 이런 현상이 나타나는 것일까.
도메인 관리 최종 책임이 있는 과학기술정보통신부(이하 과기부)는 도메인 관리를 산하기관인 한국인터넷진흥원(KISA)에 맡기고 있다. 그리고 KISA는 도메인 등록대행업자에게 도메인 사전·사후 관리업무를 다시 맡기고 있는 상황이다. 국가의 소중한 자원인 인터넷영토 도메인을 '하청'에 '재하청' 구조로 관리하고 있는 것이다. 도메인 관리 책임에서 쏙 빠져있는 '과기부'
인터넷주소자원에 관한 법률(제2조 3항)에서는 인터넷주소관리기관은 KISA라고 규정한다. 다만 같은 법 제5조는 과기부 장관이 매 3년마다 인터넷주소자원의 개발과 이용촉진 및 관리에 관한 기본계획을 수립하도록 하고 있다. 기본계획에는 인터넷주소 시설현황, 사용실적 등 기본적인 통계부터 도메인 관리 및 운영 현황 점검도 들어간다.
즉 인터넷주소 관리 시스템은 과기부 장관이 총괄 책임자이고, 해당 계획을 이행하는 실무기관이 KISA인 것이다.
하지만 현실은 기본계획 역시 KISA 주도로 작성한다. 2004년부터 수립해 온 기본계획은 최근까지 7차례에 걸쳐 수정했는데 KISA는 매해 수입 및 지출계획서(정부 부처로부터 받은 예산 등 활용 계획)에 기본계획 수립을 추진사업으로 넣고 있다.
KISA는 지난해 제7차 기본계획 수립 컨설팅을 위한 입찰공고도 게시했다. 인터넷주소자원 관련 국내외 조사, 해외 법제도, 관리 실태 등의 분석과 개선방안 등을 계획수립에 넣기 위해 용역을 활용하고 있는 것이다. 이를 위해 KISA는 5000만원의 예산을 투입했다.
표면적으로는 기본계획을 과기부 장관이 작성하도록 되어 있지만 실질적으로는 KISA가 작성하고 있는 상황이다. KISA 역시 외부용역에 기본계획 수립 작성 전반을 맡기고 있다. 국가 자원인 도메인 관리 계획도 '하청'에 '재하청' 구조로 이뤄지고 있는 것이다. 도메인 등록‧관리업무도 '하청→재하청' 구조
도메인 관리 시스템에서 가장 상위 기관인 과기부가 실질적으로 빠져 있는 상황에서 더 눈에 띄는 점은 도메인 등록‧관리를 맡은 KISA 역시 대행업자에 해당 업무를 온전히 맡기고 있다는 것이다.
최상위도메인으로 '.kr'을 사용하는 우리나라는 2단계로 'go, or, co'등을 붙여 쓰고 있다. 'go.kr'은 정부기관에서 쓰는 공공도메인 주소이며, 'or.kr'은 공공기관이나 비영리법인이 쓰는 도메인이다. 'co.kr'은 영리목적 법인 또는 개인이 사용할 수 있다. 그 밖에 연구기관은 're.kr', 대학은 'ac.kr' 등을 사용한다.
'go.kr' 도메인을 쓰기 위해선 엄격한 절차를 거쳐야 한다. 일정한 서류를 작성해 행안부 산하 국가정보자원관리원의 검토 및 승인을 받은 뒤 KISA에 해당 내용을 통보한다. 이후 국가정보자원관리원이 서버에 도메인을 등록하면 사용할 수 있다.
비영리목적인데…돈만 내면 쓸수 있는 'or.kr'
반면 비영리목적으로 쓰는 'or.kr'은 KISA와 정식계약을 맺은 등록대행업자를 통해 일정 비용만 지불하면 쉽게 등록할 수 있다.
현재 KISA와 계약을 맺은 대행업자는 △가비아 △반값도메인(다우기술) △닷네임코리아 △메일플러그 △비아웹 △아이네임즈 △웹티즌 △유니파이 △한강시스템 △커넥트웨이브 △메가존 △아사달 △아이티이지 △호스트센터 △후이즈 등 15곳이다. 대행업체별 등록수수료(기관)는 최소 8800원에서 최대 2만8000원까지 차이가 난다. 개인은 최소 8800원에서 1만7600원 사이에서 도메인 신규등록이 가능하다.
도메인 등록을 원하면 대행업체 중 한 곳을 선택해 등록 가능한 도메인인지 확인후 등록 신청을 하면 된다. KISA는 도메인 신청을 직접 받지 않는다. 어디까지나 도메인 등록은 대행업체들이 도맡고 있다.
등록과정에서 비영리기관이나 대학 등만 사용할 수 있는 'or.kr', 'ac.kr' 같은 도메인이 등록 가능 목록에 나오더라도 누구나 비용을 지불하면 신청할 수 있다. 신청 과정에서 비영리목적, 대학기관만 사용할 수 있다는 안내문이 뜨지만 이를 무시하고 신청할 수 있다.
이처럼 도메인 등록과정에서 적합한 자격이 있는 등록인인지를 확인하는 과정이 부실하다보니 정부부처나 공공기관이 사용해온 공공목적의 'or.kr'을 불법도박이나 성인용품사이트가 악용해도 걸러낼 수 없는 것이다.도메인 사후관리도 '나 몰라라'
사전관리도 부실하지만, 그렇다면 도메인 사후관리는 제대로 이루어지고 있을까.
KISA 관계자는 "수만 개가 넘는 도메인을 일일이 확인하기 어렵고 대행업체들에게 'or.kr' 등 특정자격이 필요한 도메인에 대해서는 충분히 사전에 등록절차를 안내하고 있다"고 설명했다.
이어 "or.kr이 영리목적으로 활용되는 사례를 모두 확인할 수는 없는 만큼 사후적으로 신고가 들어오면 해당 도메인 폐쇄 등의 조치는 하고 있다"고 덧붙였다.
과기부를 대신해 도메인 관리계획을 수립·이행하는 KISA는 도메인이 본래 목적대로 사용되고 있는지에 대한 적합성 여부를 관리하지 않고 있다. 결과적으로 도메인 등록대행자가 애초에 제대로 도메인을 등록하거나 사후에 신고가 들어와서 처리하는 것밖에는 관리 방법이 없는 셈이다.
여기서 그치지 않는다. 등록대행자들이 제대로 도메인을 등록하고 있는지 등 사후 점검과 평가도 부족하다. KISA는 1년에 한 번씩 직접 운영하는 국민참여단을 통해 등록대행자들에 대한 만족도 조사를 평가하고 있지만 해당 평가를 통해 낮은 점수를 받아 등록대행자 자격을 박탈당한 사례는 한 번도 없다.
KISA 관계자는 "평가가 좋지 않으면 독려차원에서 평가에 대한 보고서를 등록대행자들에게 보내지만 평가점수가 낮다고 해서 계약을 해지한 사례는 없다"고 설명했다.
비즈워치는 [버려진 공공사이트] 후속 기사를 통해 비영리목적으로 사용해야하는 도메인이 어떻게 쓰이고 있는지 추가 사례를 보도할 예정이다.