「이 웹사이트는 누가 소유하고 있나?」, 「이 도메인은 언제 만료되나?」, 「이 IP 주소는 어느 조직에 속하나?」—이런 질문에 답해주는 도구가 바로 WHOIS입니다. WHOIS(「후이즈」라고 읽음)는 인터넷에서 가장 오래된 조회 프로토콜 중 하나로, 1982년부터 운영되어 현재까지 도메인 관리, 보안 조사, 디지털 포렌식의 기초 도구로 활용되고 있습니다.
1. WHOIS란 무엇인가?
WHOIS는 TCP 기반의 조회/응답 프로토콜(RFC 3912)로, 도메인 이름·IP 주소·자율 시스템(AS)의 등록 정보를 조회하는 데 사용됩니다. 설계는 매우 단순합니다: WHOIS 서버에 조회 문자열을 전송하면 서버가 일반 텍스트 형식의 등록 데이터를 반환합니다.
WHOIS 데이터는 각 도메인 레지스트리와 레지스트라가 관리하는 데이터베이스에서 제공됩니다. 시스템은 분산형 구조를 채택:
- ICANN:.com, .org 등 글로벌 최상위 도메인(gTLD) 정책 감독
- 지역 인터넷 레지스트리(RIR):APNIC(아태), ARIN(북미), RIPE NCC(유럽)가 IP 주소 할당 기록 관리
- 국가 코드 도메인(ccTLD) 기관:각국 도메인(.kr 등)의 WHOIS 데이터 관리
WHOIS는 1970년대 후반 Elizabeth Feinler가 ARPANET의 사용자와 호스트를 추적하기 위해 설계했습니다. 1982년 RFC 812로 공식 표준화되어 40년 이상 사용되고 있습니다.
2. WHOIS로 조회할 수 있는 정보
완전한 도메인 WHOIS 레코드에는 보통 다음 필드가 포함됩니다:
| 필드 | 설명 | 예시 |
|---|---|---|
| Domain Name | 조회한 도메인 | example.com |
| Registrar | 도메인 등록 대행사 | GoDaddy, 가비아 |
| Creation Date | 도메인 최초 등록일 | 1995-08-14T04:00:00Z |
| Updated Date | 최종 업데이트일 | 2023-08-13T07:18:12Z |
| Registry Expiry Date | 도메인 만료일 | 2024-08-13T04:00:00Z |
| Name Servers | DNS 서버 주소 | ns1.example.com |
| Domain Status | EPP 상태 코드 | clientTransferProhibited |
| Registrant | 도메인 소유자 (가려질 수 있음) | Privacy Protected |
2.1 도메인 상태 코드 해석
- clientTransferProhibited:다른 레지스트라로의 이전 금지 (가장 일반적, 도메인 탈취 방지)
- clientDeleteProhibited:도메인 삭제 금지
- pendingDelete:만료 후 삭제 대기 상태
- redemptionPeriod:만료 후 재매입 기간 (보통 30일, 고액 비용 필요)
- serverHold:레지스트리에 의한 DNS 정지 (정책 위반 또는 법적 사유)
3. 주요 활용 사례
3.1 도메인 만료일 모니터링
갱신 실수로 인한 도메인 만료는 많은 서비스 장애의 원인입니다. WHOIS로 만료일을 확인하고 사전 알림 체계를 구축하는 것이 중요합니다.
2003년 Microsoft는 hotmail.co.uk 갱신을 잊어 사이트가 일시 중단되었습니다. 2018년 미국 정부의 Pay.gov도 도메인 만료로 장애가 발생했습니다. 정기적인 만료일 모니터링은 모든 조직의 기본 운영 과제입니다.
3.2 보안 조사 및 피싱 사이트 추적
보안 연구원들은 피싱 또는 악성 도메인 조사 시 WHOIS를 첫 번째 정보 소스로 활용합니다:
- 등록일 확인 (새 도메인은 피싱의 지표인 경우가 많음)
- 동일 레지스트라 계정 또는 연락처로 등록된 다른 악성 도메인 추적
- 네임서버 비교를 통한 관련 공격 인프라 파악
3.3 IP 주소 귀속 확인
IP WHOIS 조회(RIR에 대한 질의)로 IP 주소를 소유한 조직·ISP·지리적 지역, DDoS나 스팸을 신고할 수 있는 Abuse 연락처를 확인할 수 있습니다.
# 명령줄 WHOIS 조회
whois example.com # 도메인 조회
whois 8.8.8.8 # IP 주소 조회
whois AS15169 # 자율 시스템 번호 조회4. WHOIS의 한계:GDPR과 개인정보 보호
2018년 5월 EU GDPR 시행 이후, 대부분의 gTLD WHOIS 데이터에서 등록자 개인정보가 가려지게 되었습니다. 도메인 소유자의 실명·이메일·전화번호·주소는 대부분 제거되었습니다.
만료일·네임서버·등록일·상태 코드 등 기술적 정보는 개인정보 보호의 영향을 받지 않아 공개 조회가 가능합니다. 법 집행 기관은 법적 절차를 통해 레지스트라에서 등록자 정보를 확보할 수 있습니다.
5. WHOIS vs RDAP:차세대 프로토콜
기존 WHOIS의 단점(비정형 텍스트, 기관별 형식 불일치, 암호화 미지원)을 해결하기 위해 IETF는 2015년 RDAP(Registration Data Access Protocol)를 제정했습니다:
| 특성 | WHOIS | RDAP |
|---|---|---|
| 데이터 형식 | 일반 텍스트 (비표준) | JSON (표준화) |
| 전송 프로토콜 | TCP Port 43 (평문) | HTTPS (암호화) |
| 프로그래밍 처리 | 텍스트 파싱 필요 | JSON 직접 파싱 |
| 국제화 지원 | 제한적 (ASCII 중심) | 완전한 유니코드 지원 |
| ICANN 요구사항 | 단계적 폐지 예정 | 2019년부터 gTLD 필수 지원 |
6. 정리
WHOIS는 인터넷 투명성의 기반입니다——도메인과 IP 주소의 귀속을 조회 가능하게 하여 네트워크 책임성을 제공합니다. GDPR의 개인정보 보호로 개인 정보 조회 가능성이 줄었지만, 도메인 만료일 모니터링·보안 조사·IP 추적 등에서의 실용적 가치는 여전합니다. WHOIS의 작동 원리와 한계를 이해하면 도메인 관리와 사이버보안 업무에서 이 도구를 보다 효과적으로 활용할 수 있습니다.