GoDaddy가 내 도메인을 타인에게 넘긴 사건
어느 날 아침 바이어 이메일이 전부 반송됐습니다. GoDaddy에서 실제 보고된 도메인 무단 이전 사례를 중심으로, 레지스트라의 구조적 취약점과 수출 기업이 지금 당장 확인해야 할 Transfer Lock·2FA·Registry Lock 체크리스트를 짚어드립니다.
TL;DR (핵심 요약) GoDaddy 등 대형 레지스트라에서 실제로 발생한 도메인 탈취 사례는 수출 기업의 이메일·웹사이트·바이어 신뢰를 한꺼번에 무너뜨릴 수 있습니다. 도메인 하이재킹은 사후 복구에 수개월이 걸리므로, Transfer Lock·2FA·Registry Lock을 지금 바로 점검하는 것이 최선의 예방책입니다.
도메인 탈취는 가상 시나리오가 아닙니다. 어느 날 아침, 바이어에게 보낸 이메일이 전부 반송됐습니다. 웹사이트는 접속 불능. 공식 도메인은 어느새 낯선 사람 명의로 바뀌어 있었죠. GoDaddy에서 실제로 보고된 도메인 무단 이전 사례입니다.
서류 한 장 없이 내 도메인이 남의 것이 됐다
상상이 아니라 실제로 벌어진 일
2020년대 들어 GoDaddy를 둘러싼 도메인 무단 이전 피해 사례가 해외 보안 커뮤니티에서 반복적으로 보고됐습니다. 공통된 패턴은 단순해요. 피해자가 아무런 승인도 하지 않았는데, 어느 날 도메인 소유권이 제3자에게 넘어갔다는 알림을 받는 겁니다. 심지어 그 알림조차 받지 못한 채 이미 이전이 완료된 상황을 뒤늦게 발견하기도 하죠. GoDaddy 공식 보안 정책 페이지는 다양한 보호 기능을 안내하고 있지만, 내부 프로세스가 무너지는 순간 그 기능들은 무의미해집니다.
도메인 하나가 사라지면 무너지는 것들
도메인은 단순한 URL이 아닙니다. 도메인 탈취가 발생했을 때 함께 무너지는 것들을 정리하면 다음과 같습니다.
- 회사 이메일 및 바이어와의 공식 연락 채널
- 제품 카탈로그 및 결제 안내 링크
- 무역 서류 확인 URL과 브랜드 신뢰의 첫 접점
수출 담당자라면 더 체감이 클 거예요. 바이어가 "이 회사 진짜 맞아?"를 확인하는 첫 번째 접점이 도메인 기반 이메일과 웹사이트니까요. 도메인 탈취가 발생하는 순간, 신뢰의 기반 전체가 흔들립니다.
GoDaddy 보안 사고: 무슨 일이 실제로 벌어졌나
레지스트라 직원의 소유권 검증 실패
공개된 피해 사례들을 분석해보면 공통된 구조적 취약점이 드러납니다. 레지스트라 고객지원 직원이 충분한 소유권 검증 없이 제3자의 이전 요청을 승인하는 패턴이에요. 이른바 '사회공학(Social Engineering)' 공격입니다. 공격자는 원래 소유자인 척 고객센터에 접촉해 계정 접근 권한을 우회하거나, 이메일 인증 절차만으로 소유권을 증명하는 허술한 내부 프로세스를 악용합니다.
사회공학 공격이 내부 프로세스를 뚫는 방식
이 방식이 무서운 이유는 분명합니다. 아무리 강력한 기술적 잠금이 있어도 '사람'이 개입하는 순간 뚫릴 수 있거든요. 콜센터 직원이 "이 고객은 비밀번호를 잊어버렸다"는 시나리오에 공감해버리면, 절차는 그 순간 우회됩니다. 사람의 판단 실수가 기술 보안을 무력화하는 구조예요. ICANN의 도메인 이전 정책은 레지스트라가 소유권 확인 절차를 갖추도록 규정하지만, 그 깊이는 각 레지스트라가 자율적으로 결정합니다.
도메인 하이재킹 피해자가 도메인을 되찾기까지 — 법적 구제의 현실은?
도메인 하이재킹 피해를 당했다고 해서 바로 되찾을 수 있는 건 아닙니다. ICANN의 통일 도메인 분쟁 해결 정책(UDRP)을 통해 법적 구제를 신청할 수 있지만, 절차에는 수개월이 걸릴 수 있어요. 그 사이에도 이메일은 반송되고, 바이어는 "연락이 안 된다"며 등을 돌리죠. 비즈니스 피해는 고스란히 기업이 떠안습니다. 도메인 탈취는 사후 복구보다 사전 예방이 압도적으로 중요한 이유가 바로 여기에 있습니다.
이건 GoDaddy만의 문제가 아니다
수천만 도메인을 관리하는 대형 레지스트라의 딜레마
GoDaddy는 현재 전 세계 약 8,400만 개 이상의 도메인을 관리하고 있습니다(GoDaddy 2024년 연간 보고서 기준). 이 규모에서 도메인 한 건 한 건의 소유권을 정밀하게 검증하기란 구조적으로 어렵습니다. 결국 속도와 효율이 최우선이 되고, 보안 마찰은 '고객 불편'으로 인식되기 쉽죠. GoDaddy만의 문제가 아닙니다. Namecheap, Tucows, Network Solutions 같은 대형 레지스트라 모두 비슷한 딜레마를 안고 있어요.
편의성과 보안의 트레이드오프: 고객 서비스 속도가 보안을 이긴다
솔직히 말하면, '빠른 이전 처리'는 레지스트라 업계의 경쟁 포인트입니다. 이전 신청 후 24시간 내 완료를 내세우는 서비스가 더 많은 고객을 끌어들이는 시장에서, 보안 마찰을 높이는 결정은 사업적으로 불리할 수밖에 없어요. 이 트레이드오프가 해소되지 않는 한, 내부 프로세스를 노린 도메인 탈취는 앞으로도 반복될 수 있습니다.
ICANN 정책의 한계: 규정이 있어도 집행은 각 레지스트라 몫
ICANN은 레지스트라 인가 기준과 이전 정책을 통해 보안 요건을 명시합니다. 그런데 실제 집행 강도와 내부 감사 빈도는 레지스트라마다 다릅니다. 규정이 존재한다는 사실이 "우리 도메인은 안전하다"는 보장이 되진 않아요.
수출 기업 도메인 보안: 도메인 탈취는 '디지털 폐업'이다
바이어 이메일·무역 서류 링크가 한 번에 노출되는 시나리오
도메인이 탈취되면 단순히 웹사이트가 닫히는 게 아닙니다. 공격자가 도메인 기반 이메일을 통제하게 되면, 바이어에게 "계좌 정보가 변경됐습니다. 이 계좌로 송금해주세요"라는 메일을 보낼 수 있거든요. 이른바 BEC(Business Email Compromise) 공격입니다. FBI의 인터넷 범죄 신고 센터(IC3)에 따르면 BEC 공격은 사이버 금융 피해 중 가장 큰 비중을 차지하는 범주입니다. 도메인 소유권을 잃는 순간, 바이어와의 모든 디지털 접점이 공격자 손에 들어가는 셈이에요.
브랜드 신뢰도와 바이어 관계에 미치는 실질적 피해
해외 바이어는 공식 이메일이 갑자기 반송되거나 웹사이트가 접속 불능이 되면 '이 회사에 문제가 생겼다'고 판단합니다. 수년을 쌓아온 신뢰가 며칠 만에 무너질 수 있어요. 저희 팀이 수출 기업의 디지털 커뮤니케이션 인프라를 다루면서 반복적으로 목격한 건, 이런 상황에서 바이어에게 "해킹당했습니다"라고 설명하는 것 자체가 브랜드 신뢰에 치명타가 된다는 점이었습니다.
도메인을 '디지털 사업자등록증'으로 취급해야 하는 이유
사업자등록증을 분실하면 각종 행정 처리가 멈추죠. 도메인도 마찬가지입니다. 이메일, 웹사이트, 결제 게이트웨이, 무역 서류 링크가 모두 도메인에 묶인 B2B 수출 기업에서, 도메인 보안은 사업 연속성 관리의 핵심 요소입니다. 한국 중소기업과 스타트업 중 해외 레지스트라에 도메인을 등록한 경우가 많은데, 저희가 관찰한 범위에서는 대부분이 Transfer Lock이나 2FA 설정 상태를 마지막으로 확인한 시점조차 기억하지 못하는 경우가 적지 않았어요.
도메인 탈취 예방을 위한 보안 체크리스트
Transfer Lock: 설정 여부가 전부가 아니다
Transfer Lock(이전 잠금)은 도메인이 다른 레지스트라로 무단 이전되는 것을 막는 가장 기본적인 보호 수단입니다. 대부분의 레지스트라에서 기본 제공하지만, 기본값이 비활성화인 경우가 있습니다. GoDaddy, Namecheap 등 주요 레지스트라의 도메인 관리 패널에서 직접 로그인해 "Lock" 또는 "Transfer Lock" 상태를 확인해보세요. '활성화'라고 표시되어 있더라도, 마지막 확인 시점이 1년 이상 지났다면 다시 들여다보시길 권합니다.
2FA와 계정 보안: 레지스트라 로그인부터 잠가라
레지스트라 계정에 2단계 인증(2FA)이 설정되어 있는지 먼저 확인하세요. 인증 방식별 보안 강도는 다음과 같이 구분됩니다.
- 앱 기반 2FA (Google Authenticator, Authy 등) — 피싱 및 사회공학 공격에 가장 강함
- SMS 기반 2FA — SIM 스와핑 공격에 취약할 수 있어 단독 사용은 권장하지 않음
- 이메일 기반 인증 — 도메인 이메일이 탈취된 경우 동시에 무력화될 수 있음
계정 로그인 자체가 뚫리면 Transfer Lock도 공격자가 직접 해제할 수 있으니, 계정 보안이 모든 방어의 출발점입니다.
Registry Lock(레지스트리 락): 대기업만의 선택지가 아니다
Registry Lock은 ICANN 인증 레지스트리 수준에서 도메인 변경을 잠그는 최상위 보안 레이어입니다. 레지스트라 직원조차 임의로 변경할 수 없고, 해제를 위해서는 레지스트라와 레지스트리 양측의 다중 승인이 필요해요. Verisign, ICANN 정책에 따라 일부 레지스트라는 이 기능을 무료 또는 소액으로 제공합니다. "나는 작은 회사니까 필요 없다"는 생각이 오히려 위험합니다. 공격자는 보안이 취약한 소규모 도메인을 더 쉬운 타깃으로 보거든요.
WHOIS 정보와 도메인 소유자 정보 관리
도메인 등록자 정보(WHOIS)에 실제 소유자 정보가 정확히 기록되어 있어야 분쟁 발생 시 법적 근거가 됩니다. 도메인 무단 이전 피해에 대비해 지금 바로 확인해야 할 항목은 아래와 같습니다.
- WHOIS 프라이버시 보호 사용 여부와 무관하게, 레지스트라 계정 내 소유자 정보가 정확한지 확인
- ICANN의 WHOIS 조회 도구로 현재 등록된 소유자 정보를 직접 조회
- 연락처 이메일이 도메인 기반 이메일 단독으로 설정된 경우, 외부 이메일로 추가 등록
저희 팀이 이 문제를 주목하는 이유
해외 바이어와의 신뢰는 도메인 하나에서 무너질 수 있다
저희 팀은 수출 기업의 해외 영업 파이프라인을 가까이에서 보면서, '도메인 보안'이 가장 자주 간과되는 디지털 인프라 영역 중 하나라는 걸 반복적으로 확인했습니다. 이메일 자동화, 바이어 발굴, 콜드메일 전략을 아무리 정교하게 설계해도, 그 기반이 되는 도메인이 흔들리면 아무 의미가 없어지거든요. GoDaddy 보안 사고는 극단적인 사례처럼 보이지만, 실제로는 "언제든 우리 회사에도 일어날 수 있는 일"입니다.
작은 설정 하나가 큰 위기를 막는다
보안은 "설정해두면 끝"이 아닙니다. 수출 기업 도메인 보안을 위해 오늘 당장 확인해야 할 세 가지는 다음과 같습니다.
- Transfer Lock 활성화 여부 — 레지스트라 관리 패널에서 직접 확인
- 앱 기반 2FA 설정 — SMS 방식이라면 즉시 교체 권장
- WHOIS 소유자 정보 최신화 — 분쟁 발생 시 법적 근거로 작동
도메인 탈취 피해를 복구하는 데 드는 수개월의 법적 절차와 비즈니스 손실에 비하면, 이 세 가지를 점검하는 10분은 압도적으로 가성비 좋은 투자예요.
글쓴이 · RINDA 수출영업 리서치팀 (해외 바이어 발굴·수출 영업 자동화 리서치 에디터)
200+ 한국 수출기업의 해외 바이어 발굴 파이프라인 데이터와 RINDA 플랫폼 내부 관찰을 기반으로, 수출 실무에서 즉시 활용할 수 있는 전략·체크리스트를 편집합니다.
도메인 보안을 점검하다 보면, 바이어와의 커뮤니케이션 전반을 어떻게 체계화할지로 고민이 이어지기도 합니다. RINDA는 해외 바이어 발굴부터 콜드메일 자동화까지 수출 영업 파이프라인을 지원하고, 그린다에이아이는 수출 기업의 디지털 커뮤니케이션 인프라 전반에 걸친 자동화를 다룹니다. 도메인 보안 설정이 제대로 되어 있는지 확신이 없다면, 한 번 들여다봐도 좋을 것 같습니다.
자주 묻는 질문
Q. Transfer Lock이 켜져 있으면 도메인 탈취를 완전히 막을 수 있나요?
Transfer Lock은 외부에서의 무단 이전을 막는 중요한 수단입니다. 다만, 레지스트라 계정 자체가 탈취되면 공격자가 Lock을 직접 해제할 수 있어요. Transfer Lock과 함께 2FA(특히 앱 기반) 설정을 반드시 병행하시길 권합니다. 최상위 보호를 원한다면 Registry Lock까지 적용하는 것이 가장 강한 방어선입니다.
Q. 도메인이 무단으로 이전됐을 때 즉시 취할 수 있는 조치는 무엇인가요?
첫 번째로 레지스트라 고객지원에 즉시 연락해 이전 취소(Transfer Reversal)를 요청하세요. ICANN 정책상 이전 완료 후 일정 기간 내에는 취소 요청이 가능합니다. 동시에 ICANN에 레지스트라 컴플레인을 제출하고, 필요하다면 UDRP 절차를 준비해야 해요. 시간이 핵심이므로 발견 즉시 행동해야 피해를 최소화할 수 있습니다.
Q. 해외 레지스트라 대신 국내 레지스트라를 사용하면 더 안전한가요?
레지스트라의 국적보다 해당 레지스트라의 보안 정책과 내부 검증 프로세스가 더 중요합니다. 국내 레지스트라도 동일한 구조적 취약점을 가질 수 있어요. 어떤 레지스트라를 사용하든 Transfer Lock, 2FA, WHOIS 정보 최신화는 반드시 직접 확인하고 설정하는 것이 원칙입니다.
