GoDaddy, 서류 한 장 없이 27년 된 도메인을 낯선 사람에게 넘겼다

GoDaddy, 서류 한 장 없이 27년 된 도메인을 낯선 사람에게 넘겼다

도메인 이름이 어느 날 갑자기 사라진다면 어떨 것 같으세요? 웹사이트도, 이메일도, 모두 암흑으로. 그리고 4일이 지나서야 "다른 사람 것이 됐어요"라는 통보를 받는다면요. 이게 실제로 일어난 일이에요.

핵심만 먼저 (TL;DR)

• GoDaddy 내부 직원이 아무 서류 없이 27년 된 비영리 단체의 도메인을 다른 계정으로 이전
• 이중 2단계 인증, 도메인 보호 설정 — 아무것도 막지 못함
• 피해자는 32번 전화·9.6시간 통화해도 해결 못 함
• 결국 잘못 받은 도메인을 되돌려준 건 GoDaddy가 아닌 선의의 제3자

---

1. 사건의 발단: 단 7분 만에 끝난 도메인 탈취

사건은 지난 4월 18일 토요일 오후에 시작됐어요. 미국 펜실베이니아 IT 업체 플래그스트림(Flagstream Technologies)의 파트너 리 랜디스(Lee Landis)는 클라이언트의 도메인이 GoDaddy 계정에서 사라진 것을 발견했어요.

타임라인이 충격적이에요.

• 오후 1:39 — GoDaddy가 "계정 복구 요청이 들어왔습니다" 이메일 발송
• 오후 1:42 — GoDaddy 내부 직원이 도메인 이전 시작
• 오후 1:43 — 이전 완료. 검증: 없음(No).

단 4분 만에 27년 된 도메인이 사라졌어요.

2. 보안 설정은 다 켜져 있었다

이 계정은 보안을 허투루 관리하지 않았어요. 이메일 코드 + 인증 앱 코드 이중 2단계 인증, GoDaddy의 유료 보안 상품 '완전 도메인 프라이버시 및 보호'까지 갖춰져 있었죠.

아무것도 소용없었어요. 내부 직원이 직접 이전하면 고객 보안 설정은 우회된다는 걸 이번 사건이 증명해버렸거든요.

3. 32번 전화, 9.6시간 통화, 결과는 0

리는 GoDaddy에 32번 전화했어요. 총 9.6시간을 통화했고요. 매번 새로운 상담원, 새로운 케이스 번호, 처음부터 다시 설명. 이관 이메일 주소도 하루마다 바뀌었어요.

4일 후 GoDaddy의 최종 답변:

"조사 결과, 도메인 등록자가 계정 변경에 필요한 서류를 제출했습니다. GoDaddy는 이 건을 종결 처리합니다."

어떤 서류인지는 설명도 없었고요. 다음 단계로 제시한 건 WHOIS 조회, ICANN 중재, 변호사 선임 링크 세 개였어요.

4. 실제로는 서류가 전혀 없었다

나중에 밝혀진 진실이 더 황당해요. 도메인을 잘못 받은 수전(Susan, 가명)은 원래 다른 비슷한 이름의 도메인을 복구하려 했던 거예요. 그런데 그 도메인도 아니고, 엉뚱한 도메인이 계정에 들어와 있던 거죠.

수전이 실제로 제출한 서류: 0건.

GoDaddy 복구팀은 수전의 이메일 서명에 있던 도메인 서브도메인을 보고 "이 사람이 상위 도메인 주인"이라고 판단해 이전을 승인했어요. 서류 업로드 링크는 만료 전에 쓰지 못했는데, GoDaddy가 먼저 이전을 완료해버렸고요.

5. 문제를 해결한 건 낯선 선의의 시민

결국 도메인이 돌아온 건 GoDaddy 덕이 아니에요. 수전이 "내 계정에 이상한 게 있다"는 걸 눈치채고 직접 플래그스트림에 연락했고, 계정 간 이전으로 5분 만에 도메인이 돌아왔어요.

이 사건을 공개한 블로거는 GoDaddy 보안팀에 이 사실을 미리 알리려 했는데, security@godaddy.com은 모니터링이 중단된 이메일이었어요. HackerOne 버그 바운티 플랫폼을 통해야만 접수가 됐고요.

마치며

이 사건은 단순히 GoDaddy 하나의 문제가 아닐 수 있어요. 도메인 등록업체의 내부 직원이 고객 보안 설정을 우회해 이전할 수 있다면, 어느 등록업체도 완전히 안전하다고 할 수 없거든요. 중요한 도메인은 등록업체 이전도 고려해야 할 이유가 생긴 셈이에요. 내 도메인이 GoDaddy에 있다면, 한 번쯤 점검해보는 게 좋겠어요.

출처: anchor.host (2026-04-22)