2020년 3월 3일 || (그알) 골드라이브 + 센클라우드 추적 2일차

2. 추적

 

마지막까지 추적했던 IP (211.253.10.71)에 대해서 더 추적을 해보았다.

아무래도 이 IP에서 뭔가 작업들이 일어나고 있는 것 같아서.

 

보통은 DNS를 통해서 Domain에 매핑되어 있는 IP 주소를 찾고 찾은 IP를 프로파일링 하여 저장해두면 나중에 역으로 IP를 통해서 Domain을 다시 찾을 수 있는 구조를 만들 수 있다. 일명 Reverse IP, Reverse Domain 등으로 이름이 불리고 있는데 이것이 가능하게 하려면 수개월 이상의 추적 정보를 프로파일링하고 있어야 가능하다.

 

malwares.com, VirusTotal.com, DomainTools 등이 관련된 정보를 제공하고 있어 추적에 많은 활용을 하였다.

 

다시, 본문으로 돌아가서 1일 차 goldlive 조직에서 사용하는 Domain과 IP 정보를 기반으로 찾은 마지막 정보인 211.253.10.71 기반으로 다시 추적을 시작했다. 해당 IP는 국내에서 서비스되고 있는 IDC에 있는 서버로 식별이 되었다. (국내에서 서비스를 대놓고 해도 될 정도의 합법적인 서비스를 하고 있는 건가?)

 

해당 IP 를 malwares.com 에서 조회한 결과

 

IP를 찾았으니 Reverse Domain을 해서 해당 IP를 바라보고 있는 다른 도메인 정보를 뽑아 볼 차례이다.

해당 IP에서는 어떤 도메인들이 매핑되어서 서비스되었는지 확인해보았다. 무려 144개의 도메인 정보들이 쏟아져 나왔다. 이 도메인들이 전부 211.253.10.71 서버를 바라보고 있는 것이다.

 

xn--287bvq.com (폰팅.com) 
pc.zulcall.kr 
xn--o11b45o24f0ma.net (오빠어때.net) 
xn--on3b2zt9npg.net (여보오빠.net) 
zulcall.kr 
choiceting.net 
xn--2e0bl0zyub5w2a.net (비밀친구.net) 
xn--2n1bp39a2qgg9a81b.net (데이트토크.net) 
bananating.kr 
xn--7y2br0ovllba35m.net (시크릿토크.net) 
xn--287bvq.net (폰팅.net) 
xn--2x3b23kmoa83dp61anhb.net (오빠야전화해.net) 
xn--wk4blxfss69bbva.net (썸팅스페셜.net) 
xn--pg4ba.net (색색.net) 
xn--dm2b48vtqj.net (럽앤톡.net) 
xn--oi2bm8jnwim9h.net (라이브콜.net) 
xn--e49au23c.net (같이.net) 
xn--3z2bu6kf5f02p.net (전화맞선.net) 
somecall.net 
okphoneting.net 
xn--ok-q85kl3a.net (ok폰팅.net) 
xn--9t4b11gnwfj5g.net (초이스팅.net) 
xn--3z2bu6kh5f02p.net (전화맞선.net) 
xn--vv4b11c.net (야시.net) 
xn--om2bq6vevk30a.net (레알폰팅.net) 
xn--9m1b581a.net (썬더.net) 
xn--2n1bp39a2ni.net (데이팅.net) 
xn--cs0bn5akz7d.net (꼼냥톡.net) 
xn--2w2b155b.net (토르.net) 
zulcall.net 
9090ting.com 
xn--om2bi2c.net (레몬.net) 
3535ting.com 
xn--cw0b24dnvzp9n.net (꿈의대화.net) 
www.yhasi.co.kr 
www.kkomtalk.co.kr 
livephone.co.kr 
filgood.co.kr 
www.mullebnag.co.kr 
www.phmting.co.kr 
dreamting.co.kr 
www.secrettok.co.kr 
yeolae.co.kr 
www.somecall.kr 
mullebnag.co.kr 
realting.co.kr 
bbam.co.kr 
www.phting5678.co.kr 
www.callssom.co.kr 
www.dreamting.co.kr 
www.freeting.kr 
kkomtalk.co.kr 
www.yeobooppa.co.kr 
somethings.co.kr 
www.yeolae.co.kr 
www.zulcall.kr 
58atae.co.kr 
phmting.co.kr 
toreu.co.kr 
www.58play.co.kr 
yeobooppa.co.kr 
www.secsac.net 
tingphone.co.kr 
www.ssunder.kr 
lovtok.co.kr 
secsac.net 
callssom.co.kr 
www.secretfnd.co.kr 
www.wolfya.co.kr 
www.lovtok.co.kr 
58play.co.kr 
www.filgood.co.kr 
www.realting.co.kr 
yhasi.co.kr 
www.bbam.co.kr 
ssunder.kr 
wolfya.co.kr 
gashena.co.kr 
www.gashena.co.kr 
foxtalk.co.kr 
www.toreu.co.kr 
www.somethings.co.kr 
secretfnd.co.kr 
secrettok.co.kr 
www.dateting.co.kr 
www.foxtalk.co.kr 
www.livephone.co.kr 
freeting.kr 
www.mskim.net 
www.tingphone.co.kr 
www.58atae.co.kr 
www.livekol.co.kr 
mskim.net 
phting5678.co.kr 
www.phting.net 
dateting.co.kr 
somecall.kr 
livekol.co.kr 
xn--o39a40g1ut.net (가시나.net) 
phting.net 
xn--2f5bi0c.net (야전.net) 
xn--qh3ba.net (밤밤.net) 
xn--5678-973tj4b.net (폰팅5678.net) 
xn--oy2bo77b0mb.net (프리팅.net) 
xn--4k0b43xo8e.net (미스김.net) 
xn--om2b21rpullub.net (텔레파시.net) 
xn--w80b47v9pfftai9c.net (오빠야놀자.net) 
xn--mf0b476e.net (필굿.net) 
xn--9e5bpk.net (열애.net) 
xn--c04b58az0q.net (콜앤썸.net) 
xn--oi2bm8jnwik3m.net (라이브폰.net) 
xn--9i5b2nf5vg9a.net (여우토크.net) 
callting.co.kr 
www.okphoneting.net 
voicechat.kr 
www.voicechat.kr 
buddychat.co.kr 
www.9090ting.com 
xn--om2bp2dmuao0y.net (물레방아.net) 
www.buddychat.co.kr 
www.3535ting.com 
www.bananating.kr 
www.okting.com 
www.yajeon.co.kr 
Yajeon.co.kr 
Okting.com 
Lemonting.co.kr 
www.callting.co.kr 
Telepathyting.co.kr 
58call.co.kr 
www.lemonting.co.kr 
www.58call.co.kr 
www.choiceting.net 
www.tomatoting.co.kr 
www.xn--287bvq.net  (www.폰팅.net) 
www.datetok.co.kr 
www.telepathyting.co.kr 
gatti.co.kr 
www.sorating.kr 
www.gatti.co.kr 
sorating.kr 
tomatoting.co.kr 
datetok.co.kr 
wlab.xyz

 

정말 많기도 하다.

진짜 프로파일링 한 정보들이 맞는지 확인해보기 위해서 몇 가지 도메인을 DNS 쿼리를 해보았다.

DNS 서버 주소는 CloudFlare에서 서비스하고 있는 1.1.1.1로 설정하여 쿼리를 수행하였다.

 

도메인에 설정된 IP 정보 추출

 

프로파일링 한대로 모두 같은 IP를 바라보고 있었다.

 

대충 봐서 "콜" "팅" 이런 것들이 도메인 주소에 많이 들어가 있는 것으로 봐서 성인용 폰팅(?) 서비스를 하고 있는 것으로 확인이 되었다. 그리고 도메인 중간중간에 "xn--" 이런 형태로 들어가 있는 주소들이 많이 있는데 이것은 국내에서 제공하는 "한글 도메인" 서비스가 매핑되어 있다. 

 

한글 도메인 서비스에 설정되어 있는 도메인 성격만 봐도 기존의 영문 도메인 서비스와 크게 차이 나지 않는다는 것을 금방 알 수 있다. 그것 그렇고 정말 아이디어 좋은 것 같다. 비슷한 느낌의 다른 도메인을 무려 100여 개가 넘게 보유를 하면서 서비스를 할 수 있다는 것은 유사 서비스를 그만큼 많이 만들고 운영한다는 이야기인데 저 정도 사이즈가 되면 내가 보유하고 있는 도메인 정보를 다 외우지도 못할 것 같다.

 

아무튼, 1차 적인 정리를 하자면 일명 골드라이브에서 운영하고 있는 각종 방송 관련 플랫폼과 팅 시리즈로 연결되는 각종 성인용 서비스는 같은 서버를 바라보도록 설정되어 있으며, 다양한 도메인이 하나의 서버를 바라보도록 설정되어 있다는 것은 그 도메인들의 관리자 혹은 운영주체가 하나라는 소리이다. 즉, 골드라이브 방송 플랫폼을 운영하는 사업자와 여우토크 라는 성인용 폰팅 서비스를 운영하는 사업자가 다르지 않다는 것이다. (물론 사업자 등록 번호 등은 별도 구분해놓았겠지만.)

 

더불어, 교차 검증을 하기 위해서 도메인 등록자의 소유자 이메일로도 추적해보았다.

 

도메인을 사본 사람은 잘 알겠지만 도메인을 사려면 소유자의 이메일 주소는 필수적으로 필요한 정보이다.

도메인 프로파일링을 할 때 Whois 정보를 모두 프로파일링 해서 저장해두면 IP, 도메인뿐만 아니라 등록자의 이메일 주소로도 추적할 수 있게 된다.

 

"goldlive.co.kr"의 도메인 등록자 정보를 확인해보자.

 

도메인 등록자 정보 추출

 

"daysis77@gmail.com"이라는 책임자 전자 우편 주소를 확인할 수 있었다.

보통 호스팅 업체나 도메인 구매처에서 해당 정보를 대행사의 주소로 변경할 수 있는 추가 서비스도 제공하고 있어서 요즘은 많이 숨기는 편인데, goldlive 측은 그 서비스는 신청하지 않은 것으로 보인다.

 

도메인 등록자 정보를 숨긴 예시

 

등록된 이메일 주소를 가지고 등록된 다른 도메인 주소를 찾아보았다. 골드라이브의 등록된 주소는 위에서 살펴보았으니 해당 메일 주소를 가지고 검색을 해보았더니 아래와 같은 결과를 찾을 수 있었다.

 

3535ting.com 
365buyday.co.kr 
365buyday.com 
365mobiletv.co.kr 
365mobiletv.com 
69disk.com 
9090ting.com 
arsmaster.co.kr 
arsmaster.com 
bananadisk.com 
bblive.co.kr 
bblive.kr 
bbongdisk.com 
bbongdisk.kr 
callmecall.kr 
cencloud.co.kr 
cencloud.com 
cencloud.kr 
cencloud.net 
cenmrtg.com 
chemibox.co.kr 
chemibox.kr 
chemilive.co.kr 
chemilive.com 
chemilive.net 
coolstory.kr 
corelive.co.kr 
corelive.kr 
ddali.net 
dotoritv.co.kr 
dotoritv.kr 
fortunemaster.co.kr 
fortunemaster.kr 
fortunemaster.net 
gogolive.co.kr 
goldlive.co.kr 
goldlive.kr 
greenlight69.com 
gunbbangtv.com 
healingzone.kr 
hilive.co.kr 
hilive.kr 
hobbang.kr 
jjang9.net 
jjang9ting.com 
jjlive.co.kr 
jjlive.kr 
jjtv.co.kr 
k-live.co.kr 
k-live.kr 
k-live.net 
kpop-tv.co.kr 
kpop-tv.com 
lovepang.kr 
mangodisk.com 
marip.co.kr 
marip.kr 
mental-care.co.kr 
mugoonghwa.com 
mugoongwha.com 
oangirl.com 
ohdisk.net 
okting.kr 
pangbj.com 
panglove.kr 
pangpanglive.co.kr 
pangpangtv.net 
pangsee.com 
pangtn.com 
phting.co.kr 
phting.kr 
playernews.net 
pting.net 
sajudaega.com 
sinsudaega.com 
soggup.kr 
soradisk.net 
soulting.kr 
thekootv.co.kr 
thekootv.com 
tvnori.com 
tvnori.net 
unsedaega.com 
whispering.kr 
wizoz.co.kr 
xn--287bvq.com (폰팅.com) 
xn--287bvq.kr (폰팅.kr) 
xn--2z1b60x0uc4uo.net (오디스크.net)  
xn--2z1bl8qwuchxt.com (뽕디스크.com) 
xn--2z1bl8qwuchxt.kr (뽕디스크.kr)  
xn--2z1bq9b1yoc6a993b.net (소라디스크.net) 
xn--o39at6k89lh7h.com (사주대가.com) 
xn--o39at6k8xmpkf.com (운세대가.com) 
xn--o39at6kgtn3wa.com (신수대가.com) 
yomul.co.kr

 

어찌 도메인의 생김새가 위에서 도메인과 IP정보를 기반으로 찾은 정보들과 비슷했다.

 

하나의 특이 한점이 있었는데 아직 서비스하지 않고 있는 서비스들이 있다는 것이다. IP가 매핑되어서 서비스되고 있는 도메인들과 다르게 아직은 보유만 하고 있는 도메인들이 있었는데 추가 서비스 혹은 기존의 서비스들이 차단당하거나 했을 때를 염두에 두고 구매한 것 아닌가 생각이 든다.

 

또한, 각종 팅서비스와 방송 플랫폼을 제외하고 "운수" "신수" 등을 볼 수 있는 서비스도 하고 있는 것으로 보이는데 이러한 서비스는 대부분 생년월일, 이름, 이메일 주소, 연락처 같은 것들을 넣도록 되어 있어서 개인 정보 노출로 이어질 수 있고 이들의 사업 형태를 봤을 때는 다른 마케팅적 요소로도 활용될 수 있으니 주의를 할 필요가 있어 보인다.

 

제보자의 제보와 등기부 등본 등으로 확인 할 수 있는 정보는 제한 적일 수밖에 없고 증거로써 확실하게 확인할 수 있는 것에 제한이 있을 수밖에 없어서 실체 확인에는 한계가 있을 수밖에 없는데, 이렇게 IT 정보를 기반으로 프로파일링 된 정보를 통해서 실제 서비스를 확인하면서 추적하면 좀 더 이 조직에 대한 규모나 서비스 내용 등을 확인하기 좋았다.

 

골드라이브 - 센클라우드 - 라이브스타 - 건빵티비 - 케이라이브 - 각종 성인용 팅 서비스들의 연관관계를 찾을 수 있었고 특히 맥심코리아와의 연결 관계는 더 추적을 해봐야 할 것으로 보인다.

 

마지막으로 이들의 전체 관계를 (너무 복잡해서) 개인적으로 PPT 로 정리한 것이 있는데 전체 모식도를 보면서 마무리 짓도록 하겠다.

 

골드라이브 조직읜 서비스 구조도 (추적 내용)

 

추적 완료.