linkedin.com, weather.com 등 일부 주요 도메인들이 잘못된 DNS 서버 정보(nsxxx.ztomy.com)로 변경되어 수시간동안 접속이 되지 않거나 지금까지도(21일 16시경) 잘못된 홈페이지로 연결되는 심각한 사고가 발생했다. 
 

지난 6월 20일, 최대의 도메인 등록 업체중 하나인 Networksolutions에 등록된 도메인중 약 5,000여개의 도메인에서 이 현상이 발생하였으며, 특히 2억명 이상의 회원수를 가진 최대의 인맥 사이트인 linkedin.com의 경우 수시간동안 도메인 판매 사이트로 접속되는 현상도 발생했다. 


                        [ 도메인 판매 사이트로 접속된 linkedin 홈페이지 ]

networksolutions에서는 정보유출 등 해킹등의 사고는 발생하지 않았으며, DDoS 공격을 대응하는 과정에서 발생한 일이라고 언급하였으나 구체적인 내용에 대해서는 아직 언급하지 않고 있다. 다만 해당 DNS 서버에 대해 traceroute를 해 보면 DDoS대응 서비스 업체인 prolexic을 거치는 것으로 보아 DNS에 대한  DDoS공격을 받아 이를 대응하는 과정에서 운영자의 실수로 인한 장애가 아닐까 추측되고 있다.

$  traceroute -q 1 ns1624.ztomy.com.
.......
15  209.200.136.34 (209.200.136.34)  118.578 ms
16  unknown.prolexic.com (72.52.18.126)  239.717 ms
17  204.11.56.20 (204.11.56.20)  235.350 ms

 
이 사고로 인해 영향을 받은 도메인은 약 5,000여개로 알려져 있으며 아래의 사이트에서 전체 도메인 정보를 확인할 수 있다.

http://blogs.cisco.com/wp-content/uploads/affected-domainlist.txt
http://www.dailychanges.com/ztomy.com/2013-06-21/#transferred-in를 보면 6월 21일 기준, 하루동안 7만여개 이상의 도메인들이 이 DNS서버로 변경된 것으로 보아 실제 피해 도메인의 숫자는 더 많을 수도 있을 것으로 보여지고 있다.
 
도메인의 경우 cache 기능으로 인해 DNS 정보 변경을 해도 수시간에서 수일간 이전의 정보로 응답을 하므로 실제 완전 정상화까지는 다소의 시간이 소요될 것으로 보인다.
 

아울러 도메인 관리자들은 보안적으로 신뢰할 수 있는 도메인 관리 업체의 서비스를 이용하고, 도메인 관리업체에서 제공하는 "registrar-lock"  보안 기능을 활성화할 경우 유사한 사고를 줄일 수 있다.

[글. 홍석범 씨디네트웍스 시스템 UNIT 부장 / antihong@gmail.com]