juxtapose: NameSilo API 옛날부터 생각만 하다가 방금 처음 써 봤는데, 생각보다 너무 쉽고 간단해서 깜짝 놀랐다. 문제가 심각하다. 아니, 그냥 API 키 발급 누르면 즉시 나오고, 그걸로 내 계정의 모든 것을 다 할 수 있으며, 심지어 연장이나 신규 구입 등 카드 결제 일으키는 행위도 할 수 있다고. 있는 거라고는 API 키를 읽기 전용으로 하는 거랑, "Block Restorations" 뿐이다. 도메인 네임을 제때 연장 못해서 소유권 잃은 경우, 좀 더 큰 돈을 내고 소유권을 회복할 수 있는데 이걸 restoration 이라고 한다. 이건 돈이 많이 들고 환불도 어려운 행위이기 때문에, 이것만 API 키로 못하도록 설정하게 해 준다는 것이다. 그러니까 이거 말고는 권한 관리도 없고, 여러 개의 API 키 중에서 하나만 폐지(revoke)하는 기능도 없고, 모든 API 키를 폐지하는 기능도 안 보이고, 이 API 키를 최근에 사용한 IP 주소는 어디냐 같은 기록도 아무 데도 안 보이고, 하다못해 이 API 키로 행할 수 있는 결제액의 상한 같은 것도 설정할 수 없고, 아무것도 없어! 나는 나 자신을 믿지 않는다. 나는 반드시 사고를 칠 것이다. 엔지니어라면 당연히 그렇게 가정해야 한다! 더구나 이 API 키는 내 도메인 네임의 소유권을 다 상실시킬 수도 있는 물건...? 내가 뭔가 잘못 이해하고 있는 건가? 멀쩡한 관리 페이지가 따로 있는데 네임사일로가 꽁꽁 숨겨 놔서 못 찾고 있는 건가? 거의 10년 넘게 쓰던 서비스인데 진지하게 탈출 고민이 생겼다. 여러분은 서비스가 "쓰기 쉽다는 이유로" 탈출을 고려하는 장면을 보고 계십니다. 이것이 2025년이다.

NameSilo API 옛날부터 생각만 하다가 방금 처음 써 봤는데, 생각보다 너무 쉽고 간단해서 깜짝 놀랐다.

문제가 심각하다.

아니, 그냥 API 키 발급 누르면 즉시 나오고, 그걸로 내 계정의 모든 것을 다 할 수 있으며, 심지어 연장이나 신규 구입 등 카드 결제 일으키는 행위도 할 수 있다고. 있는 거라고는 API 키를 읽기 전용으로 하는 거랑, "Block Restorations" 뿐이다. 도메인 네임을 제때 연장 못해서 소유권 잃은 경우, 좀 더 큰 돈을 내고 소유권을 회복할 수 있는데 이걸 restoration 이라고 한다. 이건 돈이 많이 들고 환불도 어려운 행위이기 때문에, 이것만 API 키로 못하도록 설정하게 해 준다는 것이다.

그러니까 이거 말고는 권한 관리도 없고, 여러 개의 API 키 중에서 하나만 폐지(revoke)하는 기능도 없고, 모든 API 키를 폐지하는 기능도 안 보이고, 이 API 키를 최근에 사용한 IP 주소는 어디냐 같은 기록도 아무 데도 안 보이고, 하다못해 이 API 키로 행할 수 있는 결제액의 상한 같은 것도 설정할 수 없고, 아무것도 없어!

나는 나 자신을 믿지 않는다. 나는 반드시 사고를 칠 것이다. 엔지니어라면 당연히 그렇게 가정해야 한다! 더구나 이 API 키는 내 도메인 네임의 소유권을 다 상실시킬 수도 있는 물건...? 내가 뭔가 잘못 이해하고 있는 건가? 멀쩡한 관리 페이지가 따로 있는데 네임사일로가 꽁꽁 숨겨 놔서 못 찾고 있는 건가?

거의 10년 넘게 쓰던 서비스인데 진지하게 탈출 고민이 생겼다.

여러분은 서비스가 "쓰기 쉽다는 이유로" 탈출을 고려하는 장면을 보고 계십니다. 이것이 2025년이다.

아무래도 네임사일로의 API 보안 모형이 끔찍하다는 것은 확실해 보인다. 어휴 진짜 생산적인 일 좀 하려고 했더니 이런 게 발목을… 빨리 탈출하자. 어디로 탈출하면 좋을까? 어떤 도메인 네임 레지스트라가 좋은 도메인 네임 레지스트라인가?

내 기억으로는 엔지니어들의 레지스트라 평판에서 한쪽 극단에 있는 것이 GoDaddy 이고 반대쪽 극단에 있는 것이 Gandi 이다. (어느 쪽이 어느 쪽이라고는 하지 않았습니다.) 아무튼 한번 최신화를 해 보자.

이런 것은 보통 나 같은 가짜 광기가 흉내낼 수 없는 훌륭한 진정한 광인들께서 조사해 주신 바가 있게 마련인데, 예를 들어 FSF 나 EFF 같은 데서 옥음을 내리신 게 없는가 기웃거려 본다. EFF 에서 Which Internet Registries Offer the Best Protection for Domain Owners? 라는 자료를 발표한 바가 있긴 하다.

근데 이건 레지스트라(registrar)가 아니라 레지스트리(registry)에 관한 이야기다. 물론 이것도 중요하고 알찬 이야기이긴 한데, 이건 새로운 도메인 네임을 등록할 때 참고할 이야기이고, 나는 이미 있는 도메인 네임을 들고 나가려는 거라서…

하지만 웃기게도 이게 도메인 네임 문제이다 보니 정보가 있는데, 바로 fsf.org 와 eff.org 라는 도메인 네임은 어디서 등록되어 있는지 (ㅋㅋㅋㅋㅋㅋㅋㅋ) WHOIS 찍어 볼 수 있다는 것이다. 아니 이럴 수가 두 군데 다 Gandi 쓰는군요!

그러자 갑자기 뇌리를 스치는 생각이 있었다. 이거 이거 왠지… 끼리끼리 놀 것 같은 그분들 도메인 네임 레지스트라 어디인지 다 찍어 보자

fsf.org
fsfe.org
gnu.org
eff.org
sfconservancy.org
softwarefreedom.org

이분들 다 레지스트라가 Gandi 이다. 아니. 그밖에 openwrt.org 도, mastodon.social 이나 joinmastodon.org 도…

Syntax	Description	Examples
`"` keyword `"`	Finds the string within quotes, including spaces. Case-insensitive. (Escape quotes inside with `\"`)	`"Hackers' Pub"`
`from:` handle	Finds content written by the specified user.	`from:hongminhee` `from:hongminhee@hollo.social`
`lang:` ISO 639-1	Finds content written in the specified language.	`lang:en`
`#` tag	Finds content with the specified tag. Case-insensitive.	`#HackersPub`
condition condition	Finds content that satisfies both conditions on either side of the space (logical AND).	`"Hackers' Pub" lang:en`
condition `OR` condition	Finds content that satisfies at least one of the conditions on either side of the OR operator (logical OR).	`#HackersPub OR "Hackers' Pub" lang:en`
`(` condition `)`	Combines the operators within the parentheses first.	`(#HackersPub OR "Hackers' Pub" OR "Hackers Pub") lang:en`