2020년 3월 5일 || (그알) 팝콘TV + 더이앤엠 추적 1일차

1. 시작

 

"그것이알고싶다" 팀으로 부터 이번에 추적할 대상은 인터넷 방송 플랫폼으로 이미 잘 알려진 팝콘TV 와 그 소유 회사인 더이앤앰의 관계 그리고, 팝콘TV 에서 서비스 하는 다른 IT 관련 서비스에 대한 연결 고리에 대해서 찾고, 최종적으로 커뮤니티 사이트인 "일베" 와의 연결고리를 찾을 수 있는지에 대한 요청이었다.

 

결론 부터 정리하자면 "팝콘TV" 가 소유한 다른 유사 서비스는 수십종에 달했으며, 대부분 인터넷 방송 플랫폼이거나 성인 컨텐츠를 서비스 하는 곳이 대부분이었다. 추적 하고자 했던 "일베" 와는 서비스 구조가 완전히 달랐으며 제보 등으로 확보한 소유 지배 구조를 IT 적인 요소로는 찾는데 한계가 있었다. 

 

이것은 2가지를 의미 하는 것인데 하나는 두 시스템 혹은 운영 주체가 실제로 아무 연관관계 없이 별도로 운영이 되어서 그런 것일 수도 있고, 다른 하나는 사업적인 운영은 한 곳에서 하지만 시스템적인 출발은 전혀 다르게 시작하여 어느 한 부분이라도 합치기 힘들어서 따로 운영되고 있는 것이다.

 

각설하고, 추적하고 분석한 내용을 정리해본다.

 

우리가 추적을 시작해야 하는 도메인은 "popkontv.com" 이다.

앞서 분석 내용에서도 사용했지만 도메인이 가르키고 있는 IP 주소, 그리고 해당 웹 서버에서 SSL 서비스를 위해서 설치된 인증서의 Thumprint Fingerprint 해쉬 정보 등은 추적의 많은 요소를 제공 한다.

 

팝콘TV 는 그 규모에 알맞게 가장 중요한 2가지로 먼저 시작했다.

1) 설치된 인증서 정보의 Thumprint Fingerprint 해쉬 정보

2) 팝콘TV 도메인 소유주의 이메일 주소

 

먼저 설치된 인증서 정보의 Thumprint Fingerprint 해쉬 정보를 추적했다.

 

popkontv.com 에 설치된 SSL 인증서 정보

인증서 정보를 보면 실제 popkontv.com 용도로 발급 받았다기 보다는 "THE E&M Co., Ltd." 라는 회사가 "www.celuv.tv" 서비스를 위해서 발급 받은 인증서라는 것을 확인 할 수 있었다. 실제 서비스하기 위한 사이트는 팝콘TV 인데 SSL 서비스를 위한 인증서는 www.celuv.tv 라니! 이해 해 할 수 없었지만 뭐 그냥 그런가 보다 하고 추적을 계속했다.

 

SSL 인증서 정보를 보면 위에서 4번째 줄에 Thumbprint 정보가 나오는데 이것이 바로 추적의 단서가 될 수 있는 중요한 정보이다. 다른 쪽 사이트의 정보를 크롤링해서 해당 정보의 인증서 정보를 보유 하고 있으면, 같은 인증서로 서비스를 하고 있는지에 대한 확인이 가능해진다. 이미 이러한 정보는 malwares.com 이나 VirusTotal 등에서 제공하고 있기 때문에 해당 정보를 이용해서 같은 Thumbprint 정보를 가진 도메인 주소를 찾아 보았다.

 

popkontv.com 
icentertainment.co.kr 
tv10.co.kr 
popkonup.com 
bbongtv.co.kr 
hotbatv.co.kr 
xlivetv.co.kr 
lookastv.co.kr 
79tv.co.kr 
spoontv.co.kr 
yajatv.co.kr 
sunyoungatv.com 
owltv.co.kr 
mlivetv.co.kr 
drlive.co.kr 
chocotv.co.kr 
hotv.co.kr 
yagalltv.co.kr 
boratv.net 
4tentv.com 
blanctv.co.kr 
koongtv.co.kr 
77tv.co.kr 
clubtv.co.kr 
carrottv.co.kr 
doremitv.co.kr 
wondertv.co.kr 
popstartv.co.kr 
holictv.com 
raktv.kr 
mutelive.com 
yokitv.com 
jokertv.co.kr 
kklive.co.kr 
yangpatv.co.kr 
njtv.co.kr 
cooltv.co.kr 
okaytv.co.kr 
ajaetv.com 
popkonlive.com 
jjoatv.com 
bomlive.co.kr 
gazatv.co.kr 
toktoktv.co.kr 
kingtv.co.kr 
ggbamtv.com 
daltv.co.kr 
99tv.co.kr 
tv3040.com 
101tv.net 
salgutv.com 
hotspottv.co.kr 
macarong.co.kr 
vitatv.co.kr 
burningtv.co.kr 
hotdogtv.co.kr 
zazatv.co.kr 
girltv.kr 
96tv.co.kr 
thepodotv.com 
bubbletv.co.kr 
instartv.co.kr 
bjlive.co.kr 
yellatv.com 
chongaltv.com 
mooltv.net 
bambootv.co.kr 
orgtv.co.kr 
remontv.co.kr 
zaratv.co.kr 
outv.co.kr 
gguktv.co.kr 
o2tv.co.kr 
firsttv.co.kr 
kkangtongtv.com 
ssunlive.com 
redlive.co.kr 
bullettv.co.kr 
juditv.co.kr 
dochitv.com 
www.bullettv.co.kr 
ch.bambootv.co.kr 
www.yellatv.com 
kisstv.co.kr 
wegostars.com 
kingkongtv.com 
celuv.tv 
wegostars.celuv.tv 
m.wegostars.celuv.tv 
m.celuv.tv 
www.celuv.tv 
m.bullettv.co.kr 
m.yellatv.com 
ggaggatv.com

 

추적 하고자 하는 팝콘TV 를 비롯하여 총 94개의 도메인에서 같은 인증서로 서비스 하는 것이 확인 되었다. 이 정보는 실제 크롤링 하면서 수집한 SSL 정보를 바탕으로 생성된 정보이기 때문에 해당 서비스를 실제 서비스 중이었고, 수집한 Tumbprint 정보는 위조가 불가능하기 때문에 100% 사실에 근거한 정보라는 것을 거듭 강조 할 수 있다.

 

수집된 도메인 정보를 쭉 살펴 보면 성인용 서비스를 연상 시킬 수 있는 단어들의 조합으로 만들어진 도메인과 각종 인터넷 방송 플랫폼을 지칭하는 TV 라는 단어가 붙은 도메인들, 그리고 두가지 조합으로 만들어진 도메인이 대부분이었다. 한눈에 봐도 굉장히 다양한 인터넷 방송 플랫폼을 서비스 하는 회사라는 것을 알 수 있었고, 만약 이 인증서를 발급 받은 "The E&M Co., Ltd." 라는 회사가 실제 서비스 하고 있는 도메인들이라면 어마무시하게 큰 서비스를 하고 있는 회사라는 것을 한눈에 확인 할 수 있었다.

 

팝콘TV 와 (주)더이앤앰의 관계는 생각보다 빠르게 그 관계가 도메인 인증서를 통해서 확인 할 수 있었고, (주)더이앤앰이라는 회사는 팝콘TV 뿐만 아니라 굉장히 다양한 다른 서비스를 하고 있다는 사실도 확인 할 수 있었다. 

 

여기에서 멈출 수 없으니 더 파보기로 했다.

인증서의 중추가 되는 "www.celuv.tv" 를 중심으로 다시 분석을 시도 했다.

 

www.celuv.tv 의 인증서 정보는 앞서 우리가 살펴 보았단 팝콘TV 와 동일한 인증서를 사용하니까 그 부분을 더 볼 필요는 없을 것 같고, 실제 서비스 하고 있는 서버에 접속해서 확인 해보는 것이 좋을 것 같다고 생각했다. 그래서 먼저 아이피를 확인 했다.

 

www.celuv.tv 의 IP 정보

"114.31.51.72" 라는 IP 를 통해서 서비스 하고 있었다. (일단 이거 킵하고) 그리고 www.celuv.tv 의 도메인 소유자 메일 주소를 확인 해보니 "celuv.tv@daum.net " 라는 주소를 가지고 등록을 했었다. 그럼 앞에 골드라이브 추적때도 활용 했지만 해당 도메인으로 등록한 다른 도메인 주소는 없는지 또 찾았다.

 

celuv.tv (114.31.51.72) 
(서비스안함) celuvlive.co.kr (211.234.63.232) 
(서비스안함) celuvlive.com (211.234.63.232) 
(서비스안함) celuvlive.kr (211.234.63.232) 
(서비스안함) celuvlive.net (211.234.63.232) 
celuvtv.co.kr (114.31.51.72) 
celuvtv.kr (114.31.51.72) 
celuvtv.net (114.31.51.72)

 

모두 celuv.tv 관련된 도메인만 구매하는데 사용한 것을 확인 할 수 있다. (그래서 그런지 메일 주소도 celuv.tv@~~ 이다.) 실제 서비스 하지 않고 도메인 호스팅 사이트에 연결 시켜 놓은 도메인을 제외 하고는 모두 우리가 앞에서 킵 해놓은 IP 주소인 114.31.51.72 주소 인 것을 확인 할 수 있었다.

 

www.celuv.tv 에서 서비스 하는 웹서버 접속 화면 (평범한 인터넷 방송 플랫폼 같다)

 

실제 서버도 그 IP 를 통해서 서비스 하고 있는 것을 확인했다.

그럼 다시 IP 를 통해서 다른 도메인을 찾을 차례, 찾은 IP 를 기반으로 프로파일링 정보를 조회를 해보았다.

 

114.31.51.72 IP 프로파일링 정보

조회 했더니 약 145 개의 도메인 정보를 추출 할 수 있었다.

 

icentertainment.co.kr A 114.31.51.72 
xlivetv.co.kr A 114.31.51.72 
juditv.co.kr A 114.31.51.72 
m.yellatv.com A 114.31.51.72 
www.yellatv.com A 114.31.51.72 
m.wegostars.celuv.tv A 114.31.51.72 
www.celuv.tv A 114.31.51.72 
wegostars.celuv.tv A 114.31.51.72 
m.celuv.tv A 114.31.51.72 
lookastv.co.kr A 114.31.51.72 
ch.bambootv.co.kr A bambootv.co.kr.,114.31.51.72 
www.bullettv.co.kr A 114.31.51.72 
m.bullettv.co.kr A 114.31.51.72 
popstartv.co.kr A 114.31.51.72 
bananalive.co.kr A 114.31.51.72 
outv.co.kr A 114.31.51.72 
cooltv.co.kr A 114.31.51.72 
popkontv.net A 114.31.51.72 
hotdogtv.co.kr A 114.31.51.72 
boratv.net A 114.31.51.72 
popkonlive.com A 114.31.51.72 
tv10.asia A 114.31.51.72 
remontv.co.kr A 114.31.51.72 
celuvtv.net A 114.31.51.72 
girltv.kr A 114.31.51.72 
koongtv.co.kr A 114.31.51.72 
salgutv.com A 114.31.51.72 
tv10plus.com A 114.31.51.72 
popkontv.co.kr A 114.31.51.72 
instartv.co.kr A 114.31.51.72 
holictv.com A 114.31.51.72 
dochitv.com A 114.31.51.72 
o2tv.co.kr A 114.31.51.72 
kisstv.co.kr A 114.31.51.72 
raktv.kr A 114.31.51.72 
jjoatv.com A 114.31.51.72 
kingkongtv.net A 114.31.51.72 
kkangtongtv.com A 114.31.51.72 
ggaggatv.com A 114.31.51.72 
tvya.co.kr A 114.31.51.72 
ggbamtv.com A 114.31.51.72 
macarong.co.kr A 114.31.51.72 
daltv.co.kr A 114.31.51.72 
yajatv.co.kr A 114.31.51.72 
toktoktv.co.kr A 114.31.51.72 
96tv.co.kr A 114.31.51.72 
ssunlive.com A 114.31.51.72 
mooltv.net A 114.31.51.72 
redlive.co.kr A 114.31.51.72 
blanctv.co.kr A 114.31.51.72 
bubbletv.co.kr A 114.31.51.72 
zazatv.co.kr A 114.31.51.72 
owltv.co.kr A 114.31.51.72 
chongaltv.com A 114.31.51.72 
mutelive.com A 114.31.51.72 
clubtv.co.kr A 114.31.51.72 
hotspottv.co.kr A 114.31.51.72 
vitatv.co.kr A 114.31.51.72 
orgtv.co.kr A 114.31.51.72 
kangtv.kr A 114.31.51.72 
yangpatv.co.kr A 114.31.51.72 
4tentv.com A 114.31.51.72 
99tv.co.kr A 114.31.51.72 
bjlive.co.kr A 114.31.51.72 
chocotv.co.kr A 114.31.51.72 
mlivetv.co.kr A 114.31.51.72 
bbongtv.co.kr A 114.31.51.72 
yokitv.com A 114.31.51.72 
drlive.co.kr A 114.31.51.72 
limetv.co.kr A 114.31.51.72 
kingkongtv.com A 114.31.51.72 
soratv.net A 114.31.51.72 
spoontv.co.kr A 114.31.51.72 
thepodotv.com A 114.31.51.72 
yellatv.com A 114.31.51.72 
tv10plus.net A 114.31.51.72 
ppap.co.kr A 114.31.51.72 
tv3040.com A 114.31.51.72 
wegostars.com A 114.31.51.72 
bomlive.co.kr A 114.31.51.72 
doremitv.co.kr A 114.31.51.72 
burningtv.co.kr A 114.31.51.72 
gazatv.co.kr A 114.31.51.72 
sunyoungatv.com A 114.31.51.72 
yagalltv.co.kr A 114.31.51.72 
playchannel.co.kr A NXDomain 
celuvtv.co.kr A 114.31.51.72 
njtv.co.kr A 114.31.51.72 
kingtv.co.kr A 114.31.51.72 
101tv.net A 114.31.51.72 
tv10.co.kr A 114.31.51.72 
kklive.co.kr A 114.31.51.72 
77tv.co.kr A 114.31.51.72 
hotv.co.kr A 114.31.51.72 
carrottv.co.kr A 114.31.51.72 
hotbatv.co.kr A 114.31.51.72 
jokertv.co.kr A 114.31.51.72 
popkonup.com A 114.31.51.72 
79tv.co.kr A 114.31.51.72 
popkontv.cn A NXDomain 
freewillcompany.net A NXDomain 
syckorea.com A 23.107.2.201 
popkontv.com A 114.31.51.72 
zaratv.co.kr A 114.31.51.72 
popkontv.kr A 114.31.51.72 
noljatv.co.kr A 114.31.51.72 
wondertv.co.kr A 114.31.51.72 
jjangtv.co.kr A 114.31.51.72 
ajaetv.com A 114.31.51.72 
okaytv.co.kr A 114.31.51.72 
gguktv.co.kr A 114.31.51.72 
bambootv.co.kr A 114.31.51.72 
firsttv.co.kr A 114.31.51.72 
bullettv.co.kr A 114.31.51.72 
hyunheui.co.kr A 114.31.51.72 
www.hyunheui.co.kr A 114.31.51.72 
carameltv.co.kr A NXDomain 
daeryuktv.com A NXDomain 
ddalkitv.kr A NXDomain 
avatatv.or.kr A NXDomain 
espressotv.co.kr A NXDomain 
jadutv.kr A NXDomain 
angdotv.kr A NXDomain 
bandtv.co.kr A 211.234.63.232 
m.ddalkitv.kr A NXDomain 
m.jadutv.kr A NXDomain 
m.angdotv.kr A NXDomain 
goreala.co.kr A NXDomain 
longtututv.com A NXDomain 
m.popkonmall.co.kr A 114.31.51.72 
livestar19.com A NXDomain 
tvsaya.com A 216.239.32.21,216.239.34.21,216.239.36.21,216.239.38.21 
landing.popkontv.com A 114.31.51.72 
bogotv.co.kr A 115.93.128.90 
www.popkontv.co.kr A 114.31.51.72 
www.syckorea.com A 23.107.2.201 
m.syckorea.com A 23.107.2.201 
celuv.tv A 114.31.51.72 
oopsq.com A 211.234.63.232 
nachotv.com A 154.80.136.54 
cidertv.kr A NXDomain 
cookietv.co.kr A 
tvplay19.com A NXDomain 
coolooctv.com A NXDomain 
kpoplive.co.kr A 211.234.63.232

 

팝콘TV 뿐만 아니라 다른 도메인들이 아주 많이 서비스 되고 있는 것을 확인 할 수 있었다.

이 중에 특이 한 IP 들을 몇 개 볼 수 있는데 대부분 우리가 찾은 114.31.51.72 아이피로 서비스 되고 있었지만 이중 일부는 전혀 다른 IP 로 서비스 되는 것을 확인 할 수 있었고, 그 대표적인 IP가 바로 211.233.62.254 이다.

 

이 IP 정말 무서운 IP 였다.

이 IP 에 대한 추적 기록은 다음날 계속.