GoDaddy 3분 소요

GoDaddy가 모르는 사람에게 내 도메인을 넘겼다: 디지털 신원의 가장 약한 고리

내 도메인이 어느 날 갑자기 사라졌습니다. 해킹도 아니고, 결제 실패도 아닙니다. 레지스트라가 “본인 확인을 거쳤다"며 모르는 사람에게 넘겨버린 겁니다. 황당하게 들리지만, 도메인 업계에서 꽤 자주 일어나는 일입니다. 오늘은 우리가 당연하게 여겼던 도메인 소유권이 사실 얼마나 허술한 기반 위에 서 있는지 이야기해보려 합니다.

도메인은 “소유"가 아니라 “임대"입니다

먼저 짚고 가야 할 사실. 우리는 도메인을 구매하는 게 아니라 임대합니다. ICANN이라는 비영리 기구가 최상위 도메인(.com, .net 등)을 관리하고, 그 아래 GoDaddy, Namecheap, Cloudflare 같은 레지스트라(registrar)가 우리에게 일정 기간 사용권을 빌려주는 구조입니다.

문제는 이 임대 계약을 누가 진짜 소유자인지 확인하는 절차가 의외로 빈약하다는 점인데요. 이메일 한 통, 전화 한 통이면 도메인이 다른 사람 손으로 넘어가는 사례가 꾸준히 보고됩니다.

“사회공학"이라는 가장 강력한 해킹 도구

GoDaddy는 미국 최대 레지스트라이자 약 8,400만 개 이상의 도메인을 관리하는 회사입니다. 규모가 큰 만큼 표적이 되는 일도 많습니다. 2020년에는 직원이 사기범의 전화에 속아 암호화폐 관련 도메인 소유권 정보를 변경해준 사건이 있었고, 2022년에는 다년간 침투해 있던 공격자가 호스팅 데이터를 탈취한 사실이 뒤늦게 공개되기도 했습니다.

이런 사건의 공통점은 기술적 취약점이 아니라 사람이 뚫렸다는 겁니다. 공격자는 코드를 깨는 대신 고객지원 직원에게 전화를 걸어 “비밀번호를 잊었다"거나 “회사 명의가 바뀌었다"고 우깁니다. 위조 신분증, 가짜 위임장, 도용한 이메일 주소가 더해지면 직원이 의심하기 어려운 시나리오가 완성됩니다.

왜 도메인 탈취가 이렇게 치명적인가

도메인을 빼앗기는 게 단순히 웹사이트 주소 하나 잃는 일이 아닙니다. 도메인은 사실상 우리의 디지털 신원의 뿌리이기 때문입니다.

도메인이 넘어가면 그에 묶인 모든 이메일이 공격자 손에 들어갑니다. 이메일이 뚫리면? 은행, 클라우드, 깃허브, 결제 서비스 비밀번호 재설정 메일이 모두 공격자에게 갑니다. 비즈니스 도메인이라면 회사 메일 전체가 마비되고, 고객은 가짜 사이트로 안내됩니다. 한 번의 검증 실패가 도미노처럼 모든 것을 무너뜨리는 구조입니다.

레지스트라가 풀어야 할 숙제

업계에서는 이미 여러 안전장치가 마련돼 있긴 합니다. 레지스트라 잠금(Registrar Lock), 도메인 이전 시 발급되는 Auth Code, 60일 이전 제한 같은 장치들인데요. 하지만 결국 이 모든 절차의 마지막 관문은 사람입니다. 고객지원이 “예외적으로” 처리해주는 순간 모든 잠금장치가 무력화됩니다.

진짜 해법은 두 가지 방향입니다. 첫째, 다요소 인증을 의무화하고 우회를 절대 허용하지 않는 것. 둘째, 고위험 변경(소유자 정보 변경, 이전, 네임서버 교체)은 반드시 지연 처리 + 다중 채널 알림을 거치도록 강제하는 것. Cloudflare처럼 일부 레지스트라는 이미 이런 방향으로 움직이고 있지만, 업계 표준으로 자리 잡으려면 시간이 더 필요해 보입니다.

사용자가 지금 당장 해야 할 일

레지스트라가 완벽해질 때까지 기다릴 수는 없습니다. 지금 당장 확인해야 할 것들이 있습니다.

도메인 계정에 2단계 인증이 켜져 있는지, 가능하면 SMS가 아닌 인증 앱이나 하드웨어 키를 쓰는지 확인하세요. 도메인 이전 잠금이 활성화돼 있는지, 등록 이메일이 도메인 자체와 무관한 별도 계정인지(자기 도메인 이메일을 등록 메일로 쓰면 도메인을 잃는 순간 복구가 불가능합니다) 점검해야 합니다. 핵심 도메인이라면 레지스트리 락(Registry Lock)이라는 더 강력한 잠금 옵션도 고려할 만합니다.

마치며

우리는 클라우드와 SaaS 시대를 살면서 모든 디지털 자산이 거대 회사의 보안 위에 얹혀 있다고 믿습니다. 하지만 그 거대 회사도 결국 콜센터 직원 한 명의 판단에 의존합니다. 당신의 도메인, 이메일, 회사 신원이 모두 그 한 통의 전화에 달려 있다면, 지금 잠금 설정을 점검할 충분한 이유가 되지 않을까요?

GoDaddy 도메인보안 신원도용 사이버보안 레지스트라

댓글

    댓글을 불러오는 중...

    더 깊이 들여다보기

    관련 글

    전체 보기

    사이버보안

    NIST이 CVE 분석을 포기했다 — 사이버보안의 근간이 흔들리는 순간

    사이버보안

    사이버보안이 '작업 증명'이 됐다 — AI 시대, 방어 비용은 누가 져야 하나

    포스트양자암호

    클라우드플레어, 2029년까지 포스트 양자 보안 완성 선언 — 우리 회사는 준비되고 있나요?