회사 도메인이 하루아침에 남의 것이 된다면? 수출 기업의 디지털 자산 보안 맹점

회사 도메인이 하루아침에 남의 것이 된다면? 수출 기업의 디지털 자산 보안 맹점

💡 핵심 요약 (TL;DR) 도메인 보안 취약점은 수출 기업의 이메일 신뢰도 붕괴와 비즈니스 이메일 사기(BEC)로 직결되는 심각한 리스크입니다. GoDaddy 무단 이전 사례처럼 Auth Code 방식의 구조적 결함으로 도메인 탈취가 실제로 발생하고 있으며, 수출바우처 외주 제작 기업은 도메인 소유권 귀속 여부를 즉시 확인해야 합니다. 지금 당장 Whois 조회·Registry Lock·MFA 설정 5단계 체크리스트로 선제 대응이 가능합니다.

---

수출 담당자님, 지금 이 순간 우리 회사 도메인 소유자가 누구인지 확인해 보셨나요?

도메인 보안은 수출 기업이 가장 쉽게 놓치는 디지털 자산 리스크입니다. 바이어에게 보내는 이메일 주소, 회사 홈페이지 URL, 계약서에 찍힌 도메인 — 이 모든 것이 하루아침에 남의 것이 될 수 있다면 어떨까요? 실제로 이런 일이 일어났어요. GoDaddy에서 도메인 소유자의 명시적 동의 없이 제3자에게 도메인이 이전된 사건이 보고됐거든요. 더 충격적인 건, 이게 특정 회사의 단순 실수가 아니라는 점이에요. 도메인 이전 프로토콜 자체가 가진 구조적 결함에서 비롯된 문제입니다.

[[인터넷 브라우저 주소창에 '도메인 없음' 오류 화면이 뜬 노트북 앞에서 당혹스러운 표정으로 화면을 바라보는 직장인]]

당신의 회사 이메일, 정말 '당신 것'이 맞습니까?

도메인 보안 사각지대: GoDaddy 무단 이전 사건, 서류 한 장 없이 도메인이 넘어갔다

도메인 등록 업계 1위로 알려진 GoDaddy에서 소유자가 전혀 인지하지 못한 상태로 제3자 이전이 승인된 사례가 보고됐어요. 정확한 내부 메커니즘이 소셜 엔지니어링인지, 시스템 허점인지는 공개 자료에서 명확히 밝혀지지 않았습니다. 그런데 피해자 입장에서 결과는 언제나 똑같죠. 어느 날 아침 자신의 도메인으로 접속이 안 되거나, 이메일 발송이 갑자기 먹통이 되는 상황을 마주하게 됩니다.

도메인 무단 이전을 가능하게 만드는 Auth Code 방식의 구조적 결함

ICANN(인터넷 이름·주소 관리 기구)의 도메인 이전 정책은 도메인 이전 요청 시 Auth Code(인증 코드) 제출을 핵심 인증 수단으로 삼아요. 문제는 이 방식이 '실제 소유자 인증'이 아니라 '코드 보유자 인증'에 의존한다는 점입니다. Auth Code를 누군가 탈취했거나 레지스트라 내부 프로세스에 허점이 생기면, 소유자가 아무 조치를 하지 않았는데도 도메인이 이전될 수 있는 구조거든요. 지금 이 글을 읽는 순간에도, 도메인 관리 계정에 MFA(다중 인증)가 걸려 있지 않다면 동일한 리스크에 노출되어 있는 셈이에요.

[[사무실 책상 위에 놓인 스마트폰 화면에 '도메인 이전 요청이 승인되었습니다' 알림이 뜬 장면]]

도메인 탈취로 잃게 되는 것들

이메일 발송 신뢰도(SPF·DKIM·DMARC)가 즉시 붕괴된다

도메인을 잃는 순간, 수출 기업에게 가장 먼저 무너지는 건 이메일 신뢰도예요. SPF(발신 서버 인증), DKIM(이메일 서명), DMARC(수신 정책 지시어) — 이 세 가지는 모두 도메인의 DNS 레코드에 종속되어 있습니다. 도메인 제어권을 잃는 순간 공들여 설정해 둔 이메일 인증 체계 전체가 한꺼번에 무력화되죠. 해외 바이어의 Gmail·Outlook은 수신 시 발신 도메인의 SPF·DKIM 정합성을 자동으로 검증해요. 인증 실패 시 스팸함으로 분류하거나 경고 표시를 띄우고, 수개월 공들인 바이어와의 신뢰가 이메일 한 통으로 끊어질 수 있습니다.

비즈니스 이메일 사기(BEC)로 이어지는 도메인 탈취 경로

SEO 누적 자산, SSL 인증서, 브랜드 정체성 손실도 무시할 수 없습니다. 다만 수출 기업에게 가장 직접적인 위협은 따로 있어요. 도메인을 탈취한 공격자가 기존 회사 이메일 주소를 그대로 사용해 바이어에게 '송금 계좌가 변경됐다'는 메시지를 보내는 시나리오 — 바로 BEC(Business Email Compromise, 비즈니스 이메일 사기)입니다. FBI IC3의 2023 Internet Crime Report에 따르면, BEC는 2023년 기준 전 세계 기업 피해액이 **29억 달러(약 3조 8천억 원)**에 달하는 대표적 사이버 범죄예요. 수출 계약 클로징 직전, 바이어가 가장 주의력이 분산된 그 순간을 공격자는 정확히 노립니다.

수출기업 보안이 특히 취약한 이유

[[중소기업 사무실에서 직원 한 명이 혼자 여러 업무 화면을 동시에 보며 업무 처리하는 장면]]

저가 해외 레지스트라 선택 — 도메인 보안에서도 '싼 게 비지떡'이 성립하는 이유

도메인 등록 시장은 극심한 가격 경쟁 구조예요. .com 도메인 연간 등록비가 1만 원대로 내려간 곳도 있을 정도죠. 문제는 이 가격 경쟁이 레지스트라의 보안 프로세스 투자 유인을 낮춘다는 점입니다. Registry Lock — 도메인 이전·삭제를 레지스트리 수준에서 추가 인증 없이 처리하지 못하도록 잠그는 보안 기능 — 을 무료로 제공하는 레지스트라는 많지 않아요. 저렴한 대행사를 선택하는 것 자체가 어떤 의미에서는 도메인 보안 취약점을 함께 구매하는 행위가 될 수 있습니다.

수출기업 보안의 사각지대: 수출바우처 홈페이지의 도메인 소유권은 누구에게 있는가?

수출바우처(중소벤처기업부·KOTRA가 운영하는 수출 지원 보조금 프로그램)를 활용해 홈페이지를 외주 제작한 수출기업이라면 반드시 확인해봐야 할 항목이 있어요. 도메인이 수출기업 본인 명의로 등록되어 있는지 여부입니다. 실무에서는 홈페이지 제작 대행사가 편의상 자사 계정으로 도메인을 등록하는 경우가 종종 있거든요. 이 경우 대행사 폐업, 담당자 퇴사, 대금 분쟁 등이 생기면 도메인 갱신과 이전에 심각한 공백이 발생합니다. 수출바우처 공식 안내에서 용역 계약 조건을 확인하고, 도메인 소유권 이전 명시 여부를 계약서에 반드시 포함시켜두시길 권합니다.

도메인 관리가 'IT 부서 담당'으로만 분류되어 C레벨이 인지하지 못하는 관행도 구조적 취약점이에요. 도메인 갱신일을 아무도 모르는 상태에서 도메인이 만료되고, 제3자가 선점하는 사례가 실무에서 실제로 발생합니다.

지금 당장 실행할 수 있는 도메인 보안 점검 체크리스트

읽는 즉시 실행할 수 있는 5단계예요. 팀 내 공유용으로 활용해 보시길 권합니다.

✅ 1단계: 도메인 소유자 정보(Whois) 및 갱신일 즉시 확인

• 접근 방법: who.is 또는 ICANN Lookup에서 회사 도메인 입력
• 확인 포인트: Registrant(소유자)가 회사 명의인지, Admin Email이 현재 사용 중인 이메일인지, 갱신일(Expiry Date)이 언제인지
• 조치: 갱신일 90일·30일 전 캘린더 알림 설정. 소유자가 퇴직한 직원 명의라면 즉시 이전 절차 진행

✅ 2단계: Registry Lock·레지스트라 잠금 설정 여부 확인

• 확인 포인트: ICANN Lookup에서 도메인 상태(Domain Status)가 clientTransferProhibited 또는 serverTransferProhibited로 표시되는지 확인
• 조치: 레지스트라 고객센터에 Registry Lock 가용 여부 문의. .com 도메인 기준 일부 레지스트라에서 유료(연 수만 원대) 제공. Namecheap·Cloudflare 등 주요 레지스트라 정책 비교 후 이전 검토

✅ 3단계: 이전 승인 2단계 인증(Transfer Authorization) 활성화

• 확인 포인트: 도메인 이전 요청 시 등록된 Admin Email로 승인 메일이 발송되는 구조인지 확인
• 조치: Admin Email을 현재 활성 상태인 회사 계정으로 업데이트. 이전 잠금(Transfer Lock) 활성화 여부 점검

✅ 4단계: DNS 레코드(SPF·DKIM·DMARC) 무결성 검증

• 접근 방법: MXToolbox — 무료, 별도 가입 없이 즉시 사용 가능
• 확인 포인트: SPF 레코드 존재 여부 및 ~all/-all 설정, DKIM selector 응답, DMARC 정책이 p=none(모니터링 전용)에서 p=quarantine 이상으로 강화되어 있는지
• 조치: DMARC가 p=none이라면 p=quarantine 또는 p=reject로 단계적 전환 검토

✅ 5단계: 도메인 관리 계정의 MFA(다중 인증) 활성화

• 확인 포인트: 레지스트라 로그인 계정에 TOTP 앱(Google Authenticator 등) 또는 하드웨어 키 기반 2FA가 설정되어 있는지
• 조치: SMS 기반 2FA는 SIM 스와핑 공격에 취약하므로 앱 기반 TOTP 또는 하드웨어 보안 키(YubiKey 등)로 전환

[[직원이 스마트폰 인증 앱을 열어 로그인 2단계 인증 코드를 확인하는 장면]]

도메인 탈취 피해 발생 시: 골든타임 대응 절차

1시간 내 해야 할 일: 레지스트라 긴급 연락 및 이전 중지 요청

도메인 이전이 의심된다면 가장 먼저 현재 레지스트라 긴급 지원 라인에 연락해 이전 프로세스 중지를 요청하세요. 이전이 이미 완료된 이후라면 수신 레지스트라에도 동시에 연락해야 합니다. 이 단계에서 시간이 지체될수록 복구 가능성은 낮아져요.

ICANN Complaint 제출 경로와 실제 처리 기간

ICANN의 Transfer Dispute Resolution Policy(TDRP)에 따라 무단 이전에 대한 이의 신청이 가능합니다. 다만 실제 처리 기간이 수 주에서 수 개월까지 소요될 수 있고, 절차가 진행되는 동안에도 도메인 운영이 중단 상태일 수 있다는 점을 현실적으로 알아두셔야 해요. 한국인터넷진흥원(KISA) 사이버침해대응센터(☎ 118)를 통한 병행 신고도 가능합니다.

법적 구제 수단: UDRP(도메인 분쟁 해결 정책)의 한계와 활용 조건

UDRP(Uniform Domain-Name Dispute-Resolution Policy, 도메인 분쟁 해결 정책)는 상표권 침해 요소가 있을 때만 활용 가능합니다. 브랜드 상표를 등록해 두지 않은 기업이라면 UDRP 경로 자체가 열리지 않을 수 있어요. 도메인 탈취가 발생해도 법적 구제 수단이 이렇게 제한적이라는 사실 — 이것이 사전 예방이 사후 대응보다 압도적으로 중요한 이유입니다.

도메인 보안은 IT 담당자가 아닌 경영진의 의제다

디지털 자산 리스크를 사업 연속성 계획(BCP)에 포함하는 방법

도메인 소유권 상실은 단순 IT 운영 이슈가 아니에요. BCP(Business Continuity Planning, 사업 연속성 계획) 관점에서 보면, 도메인 탈취는 웹사이트 다운·이메일 발송 중단·바이어 신뢰 붕괴를 동시에 일으키는 복합 사고입니다. 내부 정책으로 최소한 이 세 가지는 갖춰두시길 권합니다.

• 도메인 소유자 원장 관리: 회사 보유 도메인 목록, 레지스트라, 소유자 계정, 갱신일을 스프레드시트로 정리하고 경영진이 접근 가능한 공유 드라이브에 보관
• 갱신일 캘린더 알림: 담당자 한 명에게만 의존하지 않고 팀장급 이상에게도 90일 전 알림 공유
• 레지스트라 계정 접근 권한 문서화: 퇴직자 발생 시 즉시 계정 권한 회수 및 MFA 재설정 절차를 HR 온보딩/오프보딩 프로세스에 포함

해외 바이어가 이메일 신뢰도를 확인하는 방식 — 수출기업 보안 관점에서 알아야 할 현실

해외 바이어가 받은 이메일에 '경고: 이 발신자를 신뢰할 수 없습니다' 표시가 뜬다면, 아무리 좋은 제안서도 열어보지 않아요. DMARC 정책이 p=none에 머물러 있는 도메인은 사칭 이메일을 막을 수 없고, 발신 도메인의 평판이 낮아질수록 정상적인 아웃리치 이메일마저 스팸으로 분류됩니다. RINDA 플랫폼 내부 관찰 범위에서는 이메일 발신 도메인의 SPF·DKIM·DMARC 설정이 누락된 경우 해외 바이어의 수신함 도달률이 체감상 낮아지는 경향이 있었어요 — 다만 산업군과 수신 레지스트리 정책에 따라 편차가 있으므로 일반화하기는 어렵습니다.

---

글쓴이 · RINDA 수출영업 리서치팀 (해외 바이어 발굴·수출 영업 자동화 리서치 에디터)

200+ 한국 수출기업의 해외 바이어 발굴 파이프라인 데이터와 RINDA 플랫폼 내부 관찰을 기반으로, 수출 실무에서 즉시 활용할 수 있는 전략·체크리스트를 편집합니다.

---

도메인 보안 점검과 함께, 해외 바이어 발굴과 이메일 아웃리치를 체계적으로 운영하고 싶은 수출 담당자님이라면 RINDA를 참고해 보시길 권합니다. 바이어 DB 발굴부터 콜드이메일 발송까지를 하나의 플랫폼에서 관리하는 방식이 어떻게 작동하는지, 무료 체험으로 직접 확인해 볼 수 있습니다. 아웃바운드 영업 자동화에 관심이 있다면 그린다의 AI 수출 자동화 사례도 함께 살펴보시는 것도 방법입니다.

---

자주 묻는 질문

Q. 도메인이 만료되어 제3자가 선점했을 때도 UDRP를 활용할 수 있나요?

UDRP는 상표권 침해를 전제로 하기 때문에, 단순 만료로 인한 제3자 선점은 상표 등록이 되어 있어야 활용 가능성이 생겨요. 상표 등록이 없다면 도메인 만료 전 갱신이 유일한 방어책입니다. 갱신 유예 기간(Redemption Grace Period, 통상 30~45일)이 지나기 전 레지스트라를 통해 복구 신청하는 것이 현실적으로 가장 빠른 경로입니다.

Q. 수출바우처로 외주 제작한 홈페이지의 도메인이 대행사 명의로 되어 있습니다. 지금 이전할 수 있나요?

대행사가 동의한다면 도메인 이전은 기술적으로 수일 내 가능합니다. 레지스트라에서 Auth Code를 발급받아 수출기업 명의 계정으로 이전을 신청하면 돼요. 다만 대행사가 협조하지 않거나 이미 폐업한 경우라면 레지스트라 고객지원 및 ICANN 분쟁 절차를 거쳐야 하는 복잡한 상황이 됩니다. 향후 외주 계약 시 계약서에 '도메인 소유권 수출기업 귀속' 조항을 명시해 두는 것이 가장 확실한 예방책이에요.

Q. DMARC 정책을 p=reject로 바로 전환하면 정상 메일 발송에 문제가 생기지 않나요?

맞습니다. p=none(모니터링) → p=quarantine(의심 메일 격리) → p=reject(차단) 순으로 단계적 전환을 권합니다. p=none 상태에서 DMARC 리포트(rua 태그로 수신)를 2~4주 모니터링해 정상 발신 서버가 모두 SPF·DKIM에 포함되어 있는지 확인한 후 정책을 강화하는 것이 안전해요. Google Postmaster Tools와 MXToolbox의 DMARC 분석 기능을 함께 활용해 보시길 권합니다.