Google은 소프트웨어의 결함으로 유료 개인정보 보호서비스를 희망하고 있던 도메인 등록자 28만 2000여건의 WHOIS 정보를 웹에 공개하고 있었던 것이 밝혀졌다.
Google이 실수로 공개상태로 있었다는 것을 인정한 것은 Google Apps for Work의 운용 도메인을 Google을 통해 취득한 사용자중, 특히 개인정보 보호를 희망하고 있던 28만 2000여 건의 WHOIS 정보.
WHOIS는 도메인의 취득시에 등록을 의무화한 연락처 정보로 인터넷에서 누구나 검색하고 볼 수 있습니다. 내용은 성명·주소·전화번호·연락 메일주소 등.
예전에는 도메인을 취득하는 것은 주로 기업이나 단체 등 이기도 하였고 기술적·법적 문제가 생겼을 때 책임소재를 나타내기 위해, 또한 네트워크 관리자에게 연락을 위해 주소 또는 전화 번호까지 등록이 의무화되어 있었습니다.
현재도 WHOIS 등록의무는 변하지 않고 수상한 사이트의 배후를 추적 할 때 등에도 유용합니다. 그러나 개인이 이메일 주소처럼 쉽게 도메인을 취득하고 활용하게 된 시대에 성명, 주소, 전화번호를 인터넷 공개하는 것은 프라이버시상 위험이 높고, 자칫 스팸이든지 표적형 공격 등의 위험도 있습니다.
따라서 도메인 등록업체가 고객대신 업체의 연락처를 등록하고 문의가 발생한 경우에는 원래 사용자에게 전달하는 정보보호 서비스를 제공하고 있기도 합니다.
이번 Google이 누설을 인정한은 Google Apps for Work와 제휴하는 업체 eNom를 통해 2012년에 도메인을 등록한 사용자중, 이 개인정보 보호 서비스를 희망해 연6달러의 추가요금을 지불한 28만 2000 여건.
Google의 설명에 따르면 도메인등록 갱신관리 프로그램에 결함이 있어 도메인 연장은 되었지만, 이 익명 서비스는 자동 갱신이 되지 않았기 때문에 원치 않게 공개된 사용자가 발생했다고 합니다.
올해 2월에 이 문제를 발견한 Cisco 보안 연구팀에 따르면 유료로 보호를 희망했던 WHOIS 정보가 공개상태가 된 것은 2013년 중반부터.
Google은 영향을 받은 사용자는 이미 개별적으로 연락하고 이미 WHOIS 정보는 다시 숨겨진 상태로 고쳤다고 합니다. 그러나 일단 데이터베이스로서 널리 인터넷에 공표된 이상, 이름과 주소를 쉽게 바꾸기도 힘들어, 영향을 받은 사용자에 대한 잠재적인 피해는 이미 발생했다고도 할 수 있습니다.
WHOIS는 형식적으로는 정확한 정보를 등록해야하지만, 실제로 엄격하게 주소 등을 확인하는 절차가있는 것도 아니고, 원래부터 메일 주소 이외는 적당히 입력하는 경우도 자주 있습니다. 또한 기업의 경우라면 원래부터 공개하고 있던 연락처를 등록하면 되는 것이어서 본래 피해는 없었을 수도 있습니다.
그러나 이번 피해자는 옵션의 개인정보 보호를 희망하고 있었기 때문에, 개인들은 인터넷에서 비공개로 하고 있던 주소와 전화 번호를 정직하게 등록하고 있던 경우도 많다고 생각합니다. 일부러 유료로 개인정보 보호 서비스를 신청했었던 사람들은 예상치 못한 피해도 있지 않을까 걱정도 되네요.
