닷온라인(.online) 도메인은 절대 사지 말 것

 (0xsid.com)
3P by GN⁺ 17시간전 | ★ favorite | 댓글 1개
  • .com 중심으로 운영해온 개발자가 무료 프로모션을 통해 .online 도메인을 사용했다가 사이트 차단과 도메인 정지를 겪은 사례
  • Namecheap에서 무료로 받은 .online 도메인이 Google Safe Browsing의 ‘위험 사이트’ 경고를 받으며 접속 불가 상태로 전환
  • WHOIS 조회 결과 serverHold 상태로 표시되어, 레지스트리(Radix)가 도메인을 정지시킨 것으로 확인
  • Google 검증 절차와 레지스트리 해제 조건이 서로 맞물려 도메인 복구가 불가능한 ‘검증의 딜레마’ 에 빠짐
  • .com 도메인은 여전히 골드 스탠다드이며, 비표준 TLD 사용은 위험함

Namecheap의 무료 .online 프로모션

  • Namecheap이 .online 또는 .site 도메인을 무료 제공하는 프로모션을 진행
    • 작성자는 소규모 앱 프로젝트용으로 .online 도메인을 선택
    • ICANN 수수료 0.20달러만 지불하고 Cloudflare와 GitHub Pages에 연결해 사이트를 개설
  • 초기에는 정상 작동했으나, 이후 Google과 브라우저에서 ‘위험 사이트’ 경고가 표시되며 접속 차단 발생

사이트 차단과 도메인 정지

  • Firefox와 Chrome 모두에서 전체 화면 경고 페이지가 표시되어 방문자 접근이 차단
    • 사이트에는 App Store 링크, 스크린샷, 간단한 설명만 포함되어 있었음
  • WHOIS 조회 결과 도메인 상태가 serverHold 로 표시되어, 레지스트리(Radix) 가 직접 정지시킨 것으로 확인
  • dig NS 명령 실행 시 네임서버 정보가 비어 있었고, Cloudflare 설정은 정상 상태였음

복구 시도와 검증의 딜레마

  • 작성자는 Namecheap과 Radix에 각각 문의했으나, Google Safe Browsing 블랙리스트 해제 없이는 복구 불가
  • Google Search Console에서 도메인 소유권을 증명해야 검토 요청 가능하지만,
    • 도메인이 정지되어 DNS 레코드 추가가 불가능, 검증 자체가 실패
  • Google은 “유효한 페이지가 제출되지 않았다”는 응답만 반환
  • 작성자는 Safe Browsing, Safe Search, 피싱 신고 등 여러 경로로 오탐 신고를 시도했으나 효과 없음

문제의 원인과 교훈

  • 작성자는 세 가지 실수를 지적
    • 비표준 TLD(.online) 사용
    • Google Search Console 미등록
    • 가동 상태 모니터링 미설정
  • Radix와 Google 모두 자동 차단과 복구 절차의 불투명성으로 비판받음
  • 원인은 명확하지 않으나, .online TLD의 신뢰도 문제 또는 오탐 가능성이 언급됨

결론 및 후속 조치

  • 이후 Google의 Safe Search 블랙리스트에서 사이트가 제거되고, Radix의 serverHold도 해제되어 사이트가 복구됨
  • 작성자는 “.com은 여전히 골드 스탠다드이며, 다시는 다른 TLD를 구매하지 않겠다”고 언급
  • 사례는 저가 또는 무료 TLD 사용 시 발생할 수 있는 리스크를 보여주는 경고로 제시됨
GN⁺ 17시간전  [-]
Hacker News 의견들

  • 대기업들의 끝없는 계정 인증 루프는 정말 고통스러운 문제임
    “계정을 확인해주세요”라는 이메일을 받았을 때 “이건 내가 아님”을 클릭할 수 있는 옵션조차 없는 게 황당함
    이런 시스템을 설계한 사람들이 일을 몰라서 그런 건지, 아니면 소비자와 목표가 완전히 어긋나서 그런 건지 모르겠음

    • 우리 회사에서도 비슷한 일이 있었음. Apple 개발자 계정을 관리하던 사람이 갑자기 퇴사했는데, 그 이후로 Apple 지원팀과의 이메일 왕복이 몇 달째 이어지고 있음
      문서를 요청하더니 보안 링크를 안 보내고, 또 일주일 기다리고, 문서에 문장 하나 빠졌다고 다시 요청하고…
      명함을 요구하길래 20년 만에 새로 만들어야 했음. 이 정도면 사기꾼이 더 빨리 통과할 프로세스임
    • 나도 Google에서 이런 루프를 겪었음. Gmail이 2FA를 요구했는데 전화번호가 없어서 복구 이메일을 사용함 → 그 복구 이메일도 2FA를 요구함 → 그 복구의 복구 이메일은 이미 사라진 sbcglobal.net 주소였음
      결국 Google이 복구 이메일을 2FA 수단으로 잘못 사용한 것이 문제였고, 해결하려면 AT&T에 연락해야 했음. 20년 전 고객 정보를 업데이트해달라고 부탁해야 하는 상황이었음
    • “이건 내가 아님” 버튼이 있어도 실제로 바뀌는 건 거의 없음
      대부분의 경우, 상대방은 이메일 인증을 완료하지 못해서 더 이상 아무것도 못 하고, 사이트도 추가 메일을 보내지 않음
      문제는 그 상태에서 내가 같은 이메일로 새 계정을 만들 수 없다는 점임. 하지만 “비밀번호 재설정” 절차를 통해 결국 그 계정을 인수할 수 있음
    • 누군가 내 Gmail 주소를 자기 계정의 백업 이메일로 계속 추가함
      Gmail에서 알림이 올 때마다 삭제하지만, 혹시라도 이걸 방치하면 계정 탈취 위험이 있을까 걱정됨
    • 예전에 누군가 내 이메일을 Santander UK 은행 계정에 연결했음
      연락하려 했지만 국제전화나 종이 편지밖에 방법이 없어서 포기하고, 그냥 그 메일들을 따로 분류해두었음

  • 도메인 등록기관이 Google Safe Browsing을 근거로 도메인 정지를 하는 건 충격적임
    이런 식이면 해당 TLD 전체가 신뢰할 수 없는 수준이 됨

    • .online 같은 TLD는 등록은 1달러지만 갱신은 30~35달러로 뛰는 구조임
      이런 가격 정책이 진지한 TLD와 단기 사기용 TLD를 구분하는 신호가 됨
    • 문제는 레지스트리임. 내가 만든 tldrisk.com의 도메인 리스크 설명 페이지에서도 다룸
      ICANN의 감독 부재로 인해 레지스트리들이 마음대로 정책을 바꾸고, 결국 사람들은 .com, .org 같은 역사가 긴 TLD만 신뢰하게 됨
      개인적으로는 .com.ca만 믿을 수 있다고 생각함
    • 결론은 Radix가 관리하는 도메인은 피해야 함
    • Safe Browsing은 웹사이트 단위로 작동하는데, Radix는 그걸 이유로 계정 전체를 정지시킴
      서브도메인만 차단해도 될 일을 전체 계정 동결이라니 말이 안 됨
    • 어쩌면 Radix의 비즈니스 모델 자체가 “진지한 사용”이 아닐 수도 있음

  • 이번 사건의 TLD 소유자는 Radix였음
    .store, .online, .tech, .site, .fun, .pw, .host, .press, .space, .uno, .website 등을 운영함
    radix.website

    • 이런 TLD들은 사기 사이트와 자주 연관되어 있음
      아예 해당 TLD 전체를 차단하는 게 나을 수도 있음
    • 나도 .tech 도메인을 개인 이메일로 몇 년째 쓰고 있었는데, 이런 레지스트리 소속인 줄 몰랐음
    • 집 DNS에서 66개 TLD와 모든 IDN ccTLD를 차단했는데, 이건 빠져 있었음
      이제는 hagezi rpz 위협 정보 피드를 써서 대부분의 이상한 도메인을 막고 있음

  • “Google Safe Browsing 블랙리스트 때문에 도메인이 정지됐다”는 건 내가 10년 전부터 경고하던 검열의 미끄러운 경사면
    Google Search Console에 등록하지 않은 게 큰 실수였음. 결국 Google의 독점적 영향력이 더 커졌음

    • 이건 Google이 아니라 Radix의 책임임
      Google과 Microsoft가 악성 사이트 목록을 유지하는 건 괜찮지만, 그걸 절대적 기준으로 삼아 도메인을 정지시키는 건 문제임
      Google이 권력을 쥔 게 아니라 Radix가 자발적으로 넘겨준 것
    • Google이 의견을 가질 수는 있지만, 레지스트라의 정지 조치와는 분리되어야 함
    • 명백히 Radix의 잘못임
    • BBB 평점 낮다고 회사를 해산시키는 꼴임. 완전히 비상식적
    • 왜 제3자의 블랙리스트를 근거로 도메인을 정지시키는지 이해할 수 없음
      반대로, 사기 사이트를 신고해도 삭제가 안 되는 경우도 많음

  • Google Search Console에 등록하지 않았다는 이유로 이런 일이 생긴다면, 이는 반독점 조사로 이어져야 함
    Google이 인터넷 존재 자체의 게이트키퍼가 되어버린 셈임

  • Radix가 부정적 피드백 루프를 만든 것 같음
    Google 입장에서는 Safe Browsing에 걸린 뒤 DNS가 사라지는 걸 보고 “사기 행위”로 오인할 수 있음

  • 문제는 .online이 “이상한” 게 아니라 무료였다는 점
    무료 TLD는 스패머와 사기꾼을 끌어들이고, 결국 사기 신호로 인식됨
    물론 .com 외에도 괜찮은 도메인은 많음

    • .online, .top, .xyz, .info, .shop사기 사이트 상위 TLD
      너무 싸서 단기 피싱용으로 쓰이기 때문임. 새 도메인을 만들 때는 이런 TLD를 피해야 함
    • 아마도 OP의 도메인이 과거에 악용됐거나, 저가 TLD의 낙인 때문에 자동으로 고위험군으로 분류된 듯함
      공짜는 좋지만, 때로는 치명적인 리스크가 따름

  • 내 경험상 vanity 도메인은 기업 보안 시스템에서 자주 차단됨
    친구의 .homes 도메인이 6개월 동안 quad9과 회사 보안망에서 막혀 있었음
    나도 새 TLD를 샀을 때 한 달간 일부 ISP의 “안전 브라우징” 기능 때문에 접속이 차단됐음
    결국 배운 건, 새 도메인은 기본적으로 신뢰받지 못한다는 것

    • 흔치 않은 국가 TLD도 마찬가지임. 내 .vg 도메인은 SPF, DKIM, DMARC 다 설정했는데도 스팸함으로 자주 빠짐
    • Fortinet은 새 도메인을 기본 차단함. 그래서 요즘 새 프로젝트 사이트를 확인조차 못함
    • 이런 정책이 실제로 보안 효과가 있긴 함
      내 할머니가 받은 사기 링크 대부분이 .top 도메인이었음. DNS에서 90일 이내 등록된 사이트를 전부 차단하니 사기 클릭이 완전히 사라졌음
      그래서 나도 도메인을 살 때 1달러짜리 TLD는 전부 제외
    • 결국 웹 보안의 핵심은 여전히 도메인 이름을 신뢰하는 구조
      TLD가 끝에 있어서 사람들이 놓치기 쉬움

  • .online 같은 도메인에서 보낸 이메일은 스팸함으로 갈 확률이 훨씬 높음
    Spamhaus의 TLD별 악성 비율 통계를 보면 명확함

  • 예전에 Google이 이유도 설명하지 않고 내 Android 앱 계정 전체를 정지시킨 적이 있었음
    단순한 피트니스 앱이었는데, 이유도 모르고 복구도 불가능했음. 그 이후로 Android 개발을 완전히 접었음

    • 친척의 사업체도 Google 리뷰가 몇 년째 동결 상태임. 항소를 넣어도 아무 응답이 없음
      결국 소규모 사업은 실리콘밸리의 기분에 달린 셈임
    • Google은 앞으로 Android 앱 배포도 자기 플랫폼만 허용하려는 듯함
    • 나도 비슷한 일을 겪었음. 어느 날 갑자기 Google 계정이 차단되어 디지털 생활 전체가 잠김
      그 이후로 완전히 탈구글(UnGoogled)
답변달기