2020년 2월 27일 || (그알) 골드라이브 + 센클라우드 추적 1일차

SBS "그것이알고싶다" 팀의 자문 요청에 따라, 특정 도메인의 실제 소유주와 그 소유주가 가지고 있는 다른 도메인 간의 연관관계를 파악하기 위해 추적을 시작한다. 전체 추적의 내용은 실제 정보를 기반하고 있으며, 추적의 내용에 따라 분석가의 주관적인 의견이 일부 포함될 수 있음을 미리 밝힌다.

 

1. 시작

 

어떤 도메인을 먼저 추적하고 분석할지 고민을 많이 했다.

하지만 역시, 아무거나 손에 잡히는 대로 먼저 시작을 해야 이 추적의 갈피를 잡을 수 있을까 고민하다가 제일 처음에 있는 도메인부터 시작하기로 생각했다.

 

https://www.goldlive.co.kr 

 

해당 도메인은 아래와 같이 BJ 들의 콘텐츠를 서비스하는 회사로 보인다.

 

골드라이브 웹 페이지 화면

 

콘텐츠 자체는 별 흥미가 없으니, 아이피를 알아보도록 하자.

그냥 아주 심플하게 커맨드 창에서 해당 사이트의 도메인 아이피를 조회했다.

 

 

해당 도메인의 아이피는 "222.239.163.70" 이다.

해당 아이피는 어디서 서비스되고 있는지 알아보았다.

 

먼저, malwares.com 을 이용한 조회.

 

별 특별할 것 없는 아주 대표적인 국내 서비스의 전형적인 모습과 동일하다.

malwares.com 에서만 조회하면 부족할 수 있으니 다른 인텔리전스를 제공하는 사이트에서도 조회를 해보았다.

이번에 이용한 정보 사이트는 www.domaintools.com 이다.

 

한국에서 서비스를 하고 있는 사이트는 확실한 것 같다.

혹시 몰라서 아이피로 접속해보았다.

 

큰 기대를 한 것은 아니지만 또, 막상 접속이 안되니 서글프다.

그래도 보니까 웹 서버는 Apache 안 쓰고 nginx 사용했나 보다. (그냥 찍히는 글로만 봤을 때)

에러 페이지 수정 등의 노가다는 하지 않은 것으로 보인다.

 

혹시 몰라 http 말고 https를 붙여서 접속해보았다.

 

 

뭔가 약간 다른 메시지가 뜬다.

 

https (SSL) 서비스는 되는데 실제 서버에 설치된 인증서 정보와 내가 접속 시도한 호스트의 정보가 매치되지 않아서 위와 같은 경고 메시지가 뜬 것 같다. 서버에 설치된 (그리고 웹 서비스를 하기 위해서 적용된) 인증서는 "admin.pangpangtv.co.kr" 인 것 같다. 이 도메인은 조금 있다가 다시 살펴볼 수 있도록 하자.

 

별다르게 할 것 없다.

 

SSH 접속을 시도해봤지만, 방화벽으로 막힌 것인지 접속이 되지 않았다.

윈도우 원격 데스크톱을 이용해서 접속해봤지만, 그래도 막혀 있는 것 같았다. (뭔가 서비스 디폴트 설정을 막아 둔 것인지 아니면 서비스 포트를 바꿨는지, 현재 상황에서는 알아내기 힘들었다.)

 

그렇다고 불법인 Network Scan 은 할 수 없으니, 그냥 내버려 두고 다시 지금까지 나온 정보를 다시 훑어보기로 했다.

DomainTools의 결과 리포트를 보면 DomainTools 데이터베이스 정보에 해당 아이피가 사용한 다른 Host 이름 정보가 있는 것을 알 수 있었다. 그런데 그 정보를 조회하려고 하면 추가적인 돈을 내야 했다.

 

 

무려 거의 10만 원!! (한 달만 이용해도!!)

사실 의뢰를 받은 건이긴 하지만, 10만원 돈을 투입할 수는 없기에 다른 정보를 조회해보기로 했다.

(구글 신의 도움을 받기로 했다.)

 

 

캬~ 많은 도메인 서비스도 했다.

 

약, 71개 도메인이 해당 아이피에서 발견되었다.

이 도메인을 다시 정리를 해보면, 아래와 같다. (2020년 2월 27일 오후 9시 32분 현재)

livestar.co.kr (222.239.163.70)
goldlive.co.kr (222.239.163.70)
maximkorea.net (221.139.0.38) || www.live.maximkorea.net (222.239.163.70)
gunbbangtv.com (222.239.163.70)
gogolive.co.kr (222.239.163.70)
k-live.co.kr (222.239.163.70)
pangpangtv.net (222.239.163.70)
tvnori.com (222.239.163.70)

위의 약 8개 도메인으로 정리를 해볼 수 있었다.

모든 도메인이 222.239.163.70 서버에서 동작되고 있음을 확인할 수 있었다.

 

다만, 하나의 도메인에서만 약간 차이점이 있는데 바로 "maximkorea.net"이다.

이 도메인은 221.139.0.38 아이피를 가지고 있는데 접속해보면 실제 남성 잡지 "맥심코리아" 사이트 인 것을 확인 할 수 있다. 여기서 위의 큰 메뉴를 살펴 보게 되면 "Live" 라고 되어 있는 것을 볼 수 있는데 이 메뉴를 통해서 접속한 사이트가 위에서 언급한 "www.live.maximkorea.net" 으로 연결 되는 것을 확인 할 수 있었다.

 

 

조금 정리를 해보자면...

 

"MAXIM Korea" 자체 사이트는 우리가 추적하고자 하는 대상과 서버 운영 등의 직접 관여는 없으나 추적 대상이 "맥심코리아" 측에 돈을 주고 일종의 배너 혹은 링크 연결 등을 통해서 접속하는 사용자의 트래픽을 유도하려고 하고 있는 것이 아닌가? 라는 합리적 의심이 든다.

 

이 추적은 또 별도로 하도록 하고,

각 사이트를 다 접속해보았다.

 

www.livestar.co.kr

www.goldlive.co.kr

www.live.maximkorea.net

www.gunbbangtv.com

www.gogolive.co.kr

www.k-live.co.kr

www.pangpangtv.net

www.tvnori.com

 

"팡팡티비" 와 "티비노리" 는 서비스를 중단한 것으로 보인다.

그래서 나무 위키를 찾아봤다.

 

골드라이브 계열에서 "라이브스타" "K-live" 를 서비스하는 것을 확인할 수 있었고, 위의 스크린샷에서 보면 알겠지만 모두 도메인만 다르지 전부 같은 콘텐츠가 돌아가고 있다고 해도 과언이 아닐 정도로 같이 돌아가고 있었다. 팡팡티비, 티비놀이는 K-live로 통합된 것으로 보인다. (나무 위키 지식 활용)

 

그럼 이제 웹 콘텐츠를 분석해보자. 골드라이브 www.goldlive.co.kr 웹을 접속했다.

Google Chrome의 개발자 도구를 이용했다.

분석해볼 건덕지들이 많이 있지만, 대놓고 IP 가 박혀 있는 것부터 보기로 했다.

 

222.239.163.81

222.239.163.82

222.239.163.83

 

이 보인다.

웹 서비스를 하는 222.239.163.70과 비슷한 대역인데, 222.239.163.* 대역을 거의 임대해서 쓰는 것은 아닌지 의심이 든다. 그리고 주목할 만한 것이 Google Analytics를 사용하는 것 같은데 개인 식별을 하기 위해서 사용하는 값이

 

UA-129307371

 

으로 보인다. 혹시 그럴 일 없겠지만, 다른 코드에도 이 값이 들어가 있다면, 같은 사용자일 가능성이 커진다.

그럼 추출된 3개의 아이피를 다시 조사해보자. 먼저 그냥 접속해보았다.

 

위와 같은 메시지가 출력되면서 접속이 안된다.

https 접속을 시도했지만, 접속이 되지 않았다.

이렇게 같은 메시지를 출력하면서 서버 접속이 안 되는 동일한 곳이 있었는데,

 

222.239.163.80

222.239.163.81

222.239.163.82

222.239.163.83

 

이 4곳이었다.

이중에 특이한 서버 한 곳이 뒤에 83으로 끝나는 서버.

 

위의 스크린샷과 같이 위 서버 중 유일하게 다른 서비스가 하나 올라가 있었다.

 

codewiz.kr 

 

서브 도메인이 vr이라고 되어 있는 것으로 보아, VR 관련 서비스를 하는 곳이 아닌가 의심이 들었다.

구글 검색을 해보았다.

익숙한 사이트들이 많이 보인다.

접속해보았다.

접속이 안되었다.

 

그런데 다른 사이트와 다르게 SSL 인증서가 적용되어 있는 것을 확인할 수 있었고, 유효했다.

그래서 인증서를 확인해봤다.

 

2020년 4월까지 유효한 *.codewiz.kr 인증서를 적용해놓았다.

인증서 정보를 더 살펴보면 유효한 정보가 나올 수 있을 것 같았다.

각 SSL 인증서는 Thumbprint라고 하는 고유 해쉬 정보 값이 있다. 이 정보 값은 변경될 수도 없고 변경되어서도 안된다. 인증서 발급 시에 같이 생성되는 정보라 추적할 때 유용한 정보로 활용된다.

 

codewiz.kr 서버 혹은 goldlive.co.kr 서버라고 생각할 수 있는 서버에 codewiz.kr 인증서가 설치되어 있으니 그 관계가 다를 것이라고 생각하지 않는다. 결코 연관이 없을 수 없다.

 

 

codewiz.kr의 SSL Thumbprint 정보를 추출했다.

매년 거의 갱신을 한 것을 알 수 있다. SSL 인증서는 Let's Encrypt를 사용했는데 이 SSL 인증서는 공짜다.

 

과거에 사용했던 IP 주소 흔적을 살펴보면...

 

위와 같은 아이피를 사용했었고,

서브 도메인은...

 

위와 같이 다양한 서브 도메인을 사용한 것을 확인할 수 있다.

특히, 최근 들어서 우리가 관심 있어하는 222.239.163.x 대역 사용 흔적이 뚜렷하고 1.11.70.6 아이피 사용 흔적 또한 뚜렷하다. 1.11.70.6 아이피는 현재까지 *.codewiz.kr 인증서가 설치되어 운영되고 있다.

 

www1.codewiz.kr 

 

에 접속해보았다.

 

www1.codewiz.kr

 

짜잔~

아주 익숙한 사이트 정보가 나왔다.

 

즉, *.codewiz.kr 은 현재 골드라이브 플랫폼이 서비스하는 2중화 서버 혹은 백업 서버 혹은 같이 서비스 하는 서버 정도의 개념이라고 봐도 무방 할 것으로 보인다. 그럼 codewiz의 메인은 어디인가?

 

가장 많이 사용하는 www.codewiz.kr을 조회해보니 1.11.70.6 아이피가 나왔다. 

골드라이브의 대부분의 콘텐츠는 codewiz 서버를 통해서도 2중화 혹은 백업 혹은 추가 서비스가 되고 있는 것이다.

 

코드위즈의 회사 정보는 다음과 같다.

 

도메인 또한 앞서 이야기했던 주소가 맞았다.

회사 주소도 찾아보자. 양천구 신정동 1320-4 이 주소는 양천구 신정동 이펜하우스타워 701호 주소인 센클라우드 주소와 동일한 것으로 추정된다.

 

그럼 센클라우드 정보를 또 추적해보자.

 

골드라이브를 서비스하고 있는 센클라우드는 cencloud.co.kr이라는 도메인 주소를 사용하고 있다.

해당 도메인의 IP를 조회해보면

 

또 익숙한 IP 대역이 나온다. 222.239.163.84.

해당 IP 대역에 대한 히스토리 정보를 조회해보자.

 

익숙한 주소와 함께 2개 새로운 정보를 찾을 수 있었다.

dotoritv.co.kr과 함께 zulcall.kr이다.

 

센클라우드 서버에서 돌아가고 있는 또 다른 서비스. 도토리TV.

그리고, 완전 새로운 서비스!!

 

즐콜! (www.zulcall.kr) 이다.

이 서버는 또 다른 곳에서 동작하고 있으며 SSL 이 적용되어 있는데 또 다른 인증서 정보로 만들어져 있었다.

 

즐콜에 적용된 인증서 정보를 생성한 phting.net이라는 도메인을 접속해 보았다.

 

색만 다르지 같은 사이트라고 봐도 무방할 정도였다.

 

그리고 해당 서비스가 동작 중인 211.253.10.71 아이피. 이 문제의 아이피를 다시 확인을 해보았더니, 경악을 금치 못하였다. 해당 아이피 관련해선 다음 포스팅에서 계속 이어가겠다.