Whois 조회란? IP와 도메인 소유자 정보 확인하기
Whois 조회란? IP와 도메인 소유자 정보 확인하기
인터넷에서 특정 도메인이나 IP 주소가 누구의 것인지 궁금한 적이 있으신가요? 의심스러운 이메일의 발신 서버를 추적하거나, 도메인 등록 상태를 확인하거나, 네트워크 관리 연락처를 찾을 때 사용하는 것이 바로 Whois 조회입니다.
이 글에서는 Whois 프로토콜의 기본 개념부터 최신 RDAP까지, 그리고 실무에서 Whois 정보를 활용하는 다양한 방법을 안내합니다.
Whois 프로토콜이란?
Whois는 인터넷 자원(도메인, IP 주소, AS 번호)의 등록 정보를 조회하는 프로토콜입니다. 1982년 RFC 812에서 처음 정의되었으며, 40년 이상 인터넷 거버넌스의 핵심 도구로 사용되고 있습니다.
동작 방식
Whois 클라이언트가 TCP 43번 포트를 통해 Whois 서버에 질의하면, 서버가 텍스트 형식으로 등록 정보를 반환합니다.
# 터미널에서 Whois 조회
whois google.com
# IP 주소 Whois 조회
whois 8.8.8.8Whois 서버 체계
Whois 서버는 계층적으로 운영됩니다:
- IANA: 최상위 Whois 서버, 적절한 하위 서버로 안내
- RIR (Regional Internet Registry): IP 주소 관리
- ARIN (북미), RIPE NCC (유럽), APNIC (아시아-태평양), LACNIC (남미), AFRINIC (아프리카)
- 레지스트리: gTLD별 Whois 서버 (예: Verisign이 .com 관리)
- 레지스트라: 도메인 등록 업체별 Whois (예: GoDaddy, Namecheap)
한국의 IP 주소는 APNIC 관할이며, .kr 도메인은 KISA(한국인터넷진흥원) 의 Whois 서버(whois.kr)에서 관리됩니다.
RDAP: Whois의 후속 프로토콜
RDAP(Registration Data Access Protocol) 은 Whois의 한계를 보완하기 위해 설계된 차세대 프로토콜입니다. 2015년 RFC 7480~7484에서 표준화되었으며, ICANN은 2024년부터 gTLD 레지스트리와 레지스트라에 RDAP 지원을 의무화했습니다.
Whois vs RDAP 비교
| 항목 | Whois | RDAP |
|---|---|---|
| 프로토콜 | TCP 43 (텍스트) | HTTPS (JSON) |
| 응답 형식 | 비구조화 텍스트 | 구조화된 JSON |
| 인증 | 없음 | OAuth 등 지원 |
| 국제화 | 제한적 | 유니코드 완전 지원 |
| 접근 제어 | 없음 | 역할 기반 접근 가능 |
| 부트스트랩 | 수동 서버 지정 | 자동 서버 발견 |
| 상태 | 레거시 | 현행 표준 |
RDAP의 가장 큰 장점은 구조화된 JSON 응답입니다. 프로그래밍 방식으로 데이터를 파싱하고 활용하기가 훨씬 쉽습니다.
{
"objectClassName": "ip network",
"handle": "8.8.8.0 - 8.8.8.255",
"name": "LVLT-GOGL-8-8-8",
"type": "ALLOCATION",
"entities": [{
"objectClassName": "entity",
"handle": "GOGL",
"vcardArray": ["vcard", [
["fn", {}, "text", "Google LLC"]
]]
}]
}Whois로 확인할 수 있는 정보
도메인 Whois
도메인 Whois 조회를 통해 다음 정보를 확인할 수 있습니다:
- 등록자(Registrant): 도메인 소유자 이름, 조직
- 관리 연락처(Admin Contact): 도메인 관리 담당자
- 기술 연락처(Tech Contact): 기술 문제 담당자
- 레지스트라(Registrar): 도메인을 등록한 업체
- 등록일(Creation Date): 도메인 최초 등록 날짜
- 만료일(Expiration Date): 도메인 갱신 기한
- 네임서버(Name Servers): 도메인의 DNS 서버
- 상태(Status): 도메인 현재 상태 코드
IP 주소 Whois
IP 주소 Whois는 도메인과 다른 정보를 제공합니다:
- NetRange/inetnum: IP 주소 범위
- CIDR: CIDR 표기법 네트워크
- NetName: 네트워크 이름
- OrgName: 할당받은 조직
- OrgId: 조직 식별자
- RegDate: 할당 날짜
- Updated: 최종 수정일
- 담당자 정보: Abuse, NOC, Tech 연락처
NetRange: 8.8.8.0 - 8.8.8.255
CIDR: 8.8.8.0/24
NetName: LVLT-GOGL-8-8-8
OrgName: Google LLC
OrgId: GOGL
RegDate: 2014-03-14
Updated: 2014-03-14
Ref: https://rdap.arin.net/registry/ip/8.8.8.0Whois 결과 읽는 법
도메인 상태 코드
Whois 결과에서 가장 혼동하기 쉬운 부분이 EPP 상태 코드입니다.
| 상태 코드 | 의미 |
|---|---|
clientDeleteProhibited | 레지스트라가 삭제 방지 설정 |
clientTransferProhibited | 이전(Transfer) 방지 설정 |
clientUpdateProhibited | 레코드 수정 방지 설정 |
serverDeleteProhibited | 레지스트리가 삭제 방지 설정 |
serverTransferProhibited | 레지스트리가 이전 방지 설정 |
redemptionPeriod | 삭제 후 복구 대기 기간 (30일) |
pendingDelete | 완전 삭제 대기 중 (5일) |
active | 정상 사용 중 |
clientDeleteProhibited, clientTransferProhibited, clientUpdateProhibited 세 가지가 모두 설정되어 있으면, 도메인 도용 방지를 위한 도메인 잠금(Domain Lock) 이 활성화된 상태입니다.
RIR별 IP 관할 범위
IP 주소를 조회하면 해당 IP가 어느 RIR 관할인지에 따라 다른 Whois 서버에서 응답합니다.
| RIR | 관할 지역 | Whois 서버 |
|---|---|---|
| ARIN | 북미, 카리브해 | whois.arin.net |
| RIPE NCC | 유럽, 중동, 중앙아시아 | whois.ripe.net |
| APNIC | 아시아-태평양 | whois.apnic.net |
| LACNIC | 남미 | whois.lacnic.net |
| AFRINIC | 아프리카 | whois.afrinic.net |
한국 IP 주소는 APNIC 관할이며, KISA가 국내 할당을 관리합니다. whois.kisa.or.kr에서 더 상세한 국내 할당 정보를 확인할 수 있습니다.
GDPR과 Whois 프라이버시
2018년 EU의 GDPR(General Data Protection Regulation) 시행 이후 Whois 정보 공개 정책이 크게 변화했습니다.
변화된 점
- 개인 등록자 정보 비공개: 등록자 이름, 주소, 전화번호, 이메일이 마스킹 처리
- Redacted for Privacy: 개인정보 항목이 이 문구로 대체
- 프라이버시 프록시: 레지스트라가 자체 프라이버시 서비스를 기본 제공
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization:
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant Phone: REDACTED FOR PRIVACY
Registrant Email: Please query the RDDS service of the Registrar합법적 접근
법 집행 기관, 사이버 보안 연구자, 지식재산권 보호 목적으로는 RDAP의 인증 기반 접근을 통해 비공개 정보를 요청할 수 있습니다. 다만 ICANN의 SSAD(System for Standardized Access/Disclosure) 프레임워크에 따른 절차를 거쳐야 합니다.
한국의 경우
.kr 도메인의 Whois 정보는 KISA 정책에 따릅니다. 개인 등록자의 경우 이름과 이메일만 공개되며, 상세 주소와 전화번호는 비공개입니다. whois.kr에서 확인할 수 있습니다.
Whois 활용 사례
1. 사이버 보안 조사
의심스러운 IP나 도메인의 소유자, 등록 시기, 네트워크 정보를 파악하여 위협을 분석합니다. 최근 등록된 도메인(Creation Date가 최근)은 피싱 사이트일 가능성이 높습니다.
2. 도메인 거래 및 분쟁
도메인 소유자를 확인하거나, 만료 예정 도메인을 모니터링합니다. 상표권 침해 분쟁(UDRP)에서도 Whois 정보가 증거로 활용됩니다.
3. 네트워크 문제 해결
특정 IP에서 발생하는 문제(스팸, DDoS 등)의 담당자 연락처를 찾아 Abuse Contact에 신고합니다.
# Abuse 연락처 확인
whois -h whois.arin.net 8.8.8.8 | grep -i abuse
# OrgAbuseEmail: network-abuse@google.com4. 경쟁사 분석
경쟁사 웹사이트의 호스팅 업체, 네임서버, 도메인 등록 이력 등을 파악하여 기술 스택을 추정합니다.
5. IP 지리적 위치 보완
Whois의 OrgName과 주소 정보를 GeoIP 데이터와 결합하면, IP 위치 추적의 정확도를 높일 수 있습니다.
Whois 조회 방법
명령줄 도구
대부분의 운영체제에 whois 명령어가 내장되어 있습니다.
# 도메인 Whois
whois example.com
# IP Whois
whois 1.1.1.1
# 특정 Whois 서버 지정
whois -h whois.apnic.net 203.0.113.1
# .kr 도메인
whois -h whois.kr utilo.krRDAP 조회
RDAP는 HTTP 기반이므로 curl로도 조회할 수 있습니다.
# RDAP으로 IP 조회
curl -s https://rdap.arin.net/registry/ip/8.8.8.8 | jq .
# RDAP으로 도메인 조회
curl -s https://rdap.verisign.com/com/v1/domain/google.com | jq .웹 기반 도구
터미널이 익숙하지 않다면, 웹에서 간편하게 조회할 수 있습니다. ip.utilo.kr의 Whois 조회 도구에서 IP 주소나 도메인을 입력하면 Whois 정보를 깔끔하게 정리된 형태로 확인할 수 있습니다.
자주 묻는 질문
Q: Whois 조회 횟수에 제한이 있나요?
네, 대부분의 Whois 서버는 rate limit을 적용합니다. 단시간에 대량 조회를 하면 일시적으로 차단될 수 있습니다. RDAP도 마찬가지이며, API를 사용하는 경우 적절한 간격을 두고 조회해야 합니다.
Q: Whois 정보가 정확하지 않으면 어떻게 되나요?
ICANN 정책에 따라 gTLD 도메인 등록자는 정확한 Whois 정보를 유지할 의무가 있습니다. 부정확한 정보가 발견되면 WDRP(Whois Data Reminder Policy)에 따라 레지스트라가 확인을 요청하며, 미응답 시 도메인이 정지될 수 있습니다.
Q: 비공개 Whois 정보를 확인할 수 있나요?
프라이버시 보호가 적용된 경우, 일반 사용자는 실제 등록자 정보를 확인할 수 없습니다. 법적 근거가 있는 경우에만 레지스트라나 ICANN을 통해 요청할 수 있습니다.
마무리
Whois는 인터넷 투명성의 기반이 되는 필수 도구입니다. 도메인 관리, 보안 조사, 네트워크 문제 해결 등 다양한 분야에서 활용되며, RDAP으로의 전환을 통해 더욱 안전하고 구조화된 방식으로 발전하고 있습니다.
IP 위치 추적의 정확성에 대해 더 알고 싶다면 IP 위치 추적 정확도 분석 글을 참고하세요.
지금 바로 IP나 도메인의 등록 정보를 확인해 보세요.