GoDaddy가 아무런 서류도 없이 모르는 사람에게 도메인을 넘겨주었음

• 27년간 운영하던 도메인이 사전 경고 없이 다른 GoDaddy 계정으로 이동하면서, 연결된 웹사이트와 이메일이 4일간 중단됨
• 계정에는 이중 2단계 인증이 켜져 있었고 도메인 보호 기능도 적용돼 있었지만, 감사 로그에는 Internal User가 Transfer to Another GoDaddy Account를 실행했고 검증은 이뤄지지 않은 상태로 남아 있었음
• GoDaddy는 분쟁 접수 과정에서 여러 메일 주소와 새 케이스 번호를 반복적으로 안내했고, 4일 뒤에는 필요한 문서가 제출됐다며 사안을 종료했지만 어떤 문서였는지는 밝히지 않음
• 실제 복구는 GoDaddy 팀이 아니라 잘못 도메인을 받은 사람이 자신의 계정에서 엉뚱한 도메인을 발견한 뒤 직접 협력하면서 이뤄졌고, 계정 간 전송으로 도메인은 5분도 안 돼 원래 계정으로 돌아왔음
• 문서 제출 없이도 이런 전송이 승인된 점 때문에 이메일 가로채기, 비밀번호 재설정, 결제 경로 변경까지 가능한 보안 위험이 드러났고, 같은 유형의 위협을 앞으로도 막기 어렵다는 불안이 커짐

사건 개요

• 27년간 사용하던 도메인이 GoDaddy 계정에서 사전 경고 없이 다른 GoDaddy 계정으로 이동되면서, 해당 조직의 웹사이트와 이메일이 4일간 중단됨
  • 계정에는 이중 2단계 인증이 켜져 있었고, 도메인에는 GoDaddy의 Full Domain Privacy and Protection이 적용돼 있었음
  • 감사 로그에는 Transfer to Another GoDaddy Account, 실행 주체는 Internal User, Change Validated: No로 기록돼 있었음
• 이동 직후 GoDaddy가 DNS zone을 기본값으로 재설정하면서, nameserver는 같았지만 zone 파일이 비어 전체 서비스가 오프라인으로 바뀜
  • 해당 도메인은 미국 전역 20개 지부가 사용하는 상위 도메인이었고, 각 지부의 사이트와 메일이 모두 그 하위 도메인에 의존하고 있었음
• 계정 복구 요청 메일은 토요일 오후 1:39에 도착했고, 3분 뒤 전송 시작, 4분 뒤 완료로 처리됨
• 피해 측은 32통의 전화, 9.6시간 통화, 17통의 이메일을 보냈지만 콜백은 한 번도 오지 않음

GoDaddy 대응과 분쟁 처리

• 첫 문의에서 GoDaddy는 도메인이 계정에 더 이상 없다고 확인했지만, 개인정보를 이유로 어디로 이동했는지는 알려주지 않음
  • 처음에는 undo@godaddy.com으로 연락하라고 안내했지만 응답이 없었음
  • 이후 transferdisputes@godaddy.com, 다시 artreview@godaddy.com으로 안내가 바뀜
• 문의할 때마다 새 케이스 번호가 생성돼 이전 이력이 이어지지 않았고, 모든 에스컬레이션을 처음부터 다시 시작해야 했음
  • 본문에는 01368489, 894760, 01376819, 01373017, 01376804, 01373134, 01370012 같은 실제 케이스 번호가 적혀 있음
• 도메인 분쟁은 cas.godaddy.com/Form/TransferDispute 경로로 접수됐고, 요청자 측은 도메인 등록자 이름, 운전면허증, 비즈니스 문서를 제출했음
  • 제출할 때마다 회신 예상 시간은 48~72시간으로 반복됨
• 4일 뒤 GoDaddy는 “등록자가 필요한 문서를 제공했으므로 계정 변경을 진행했고, 사안은 종료됐다”는 이메일만 보냄
  • 어떤 문서가 제출됐는지에 대한 설명은 끝내 빠짐
  • 후속 안내로는 WHOIS 조회, ICANN 중재 제공자, 변호사 선임 관련 페이지 링크만 전달됨

운영 중단과 임시 복구 작업

• GoDaddy가 사건 종료를 통보한 뒤, 피해 조직은 새 도메인으로 긴급 이전을 시작함
  • 새 이메일 주소와 새 웹사이트 주소로 밤새 전환 작업을 진행했음
• 기존 도메인을 제어할 수 없어서 이메일 주소 전체, 마케팅 자료, SEO 누적 자산이 모두 손상되는 문제가 커짐
  • 기존 주소로 보내는 메일은 반송될 수밖에 없었음
  • 인쇄물과 외부 자료에 남아 있는 기존 도메인은 모두 잘못된 정보로 바뀜
• 원래 도메인이 돌아온 뒤에는 전날 수행했던 작업을 다시 되돌리기 위해, 이메일과 웹사이트를 원래 도메인으로 재전환해야 했음

실제 원인과 복구 경로

• 다음 날 아침, 피해 조직 본사에서 2,000마일 떨어진 다른 사람이 자신의 GoDaddy 계정에 엉뚱한 도메인이 들어와 있음을 발견함
  • 그 사람은 전직 직원이 쓰던 다른 도메인을 되찾으려던 중이었음
• 그 사람과 협력해 GoDaddy의 계정 간 전송을 실행하자, 도메인은 5분도 안 돼 원래 계정으로 돌아왔고 DNS도 즉시 복구되기 시작함
• 실제 해결은 GoDaddy 지원팀, 분쟁팀, CEO Office 팀이 아니라 잘못 도메인을 받은 당사자가 문제를 인지하고 직접 연락하면서 이뤄짐

문서 없이 승인된 전송

• 잘못 도메인을 받은 쪽은 같은 네트워크의 지역 지부였고, 2주 전 GoDaddy에 다른 도메인 복구를 요청한 상태였음
  • 요청 대상은 HELPNETWORKLOCAL.ORG였고, 실제로 넘어간 것은 HELPNETWORKINC.ORG였음
• 이 사람의 이메일 서명에는 HELPNETWORKINC.ORG의 하위 도메인 웹사이트가 들어 있었고, GoDaddy 복구팀이 서명에 적힌 상위 도메인을 보고 그 도메인을 계정으로 옮긴 것으로 보임
• GoDaddy는 증빙 문서 업로드 링크를 보냈지만, 그 링크는 사용 전에 만료됨
  • 새 링크를 요청한 뒤에도 새 링크가 도착하기 전에 도메인 전송 승인 메일이 먼저 도착함
• 결과적으로 이 사람은 원래 되찾으려던 도메인에 대해서도, 실제로 받은 도메인에 대해서도 문서를 하나도 제출하지 않음
  • 그런데도 GoDaddy는 27년 된 비영리 조직의 도메인을 다른 계정으로 이동시키고, 이후 분쟁도 종료 처리함

보안 영향

• 본문에는 악의적인 수신자였다면 이메일 가로채기, 비밀번호 재설정, MFA 코드 수신, 피싱, 악성코드 배포, 결제 경로 변경까지 가능했다고 적혀 있음
• 피해 조직은 도메인 위치를 알 수 없던 동안, 모든 사용자에게 중요 서비스 계정에서 손상된 도메인을 제거하도록 준비해야 했음
  • 대상에는 은행, Amazon, IRS, 급여 시스템, Dropbox, 이메일 계정, 심지어 GoDaddy 계정까지 포함돼 있었음
• 문서 없이 이런 전송이 승인된 점 자체가 중대한 보안 문제로 드러남

보안 신고 채널 문제와 후속 조치

• 게시 전 조사 결과를 GoDaddy 보안팀에 직접 보내기 위해 security@godaddy.com으로 메일을 보냈지만 반송됨
  • 자동 회신은 그 메일함이 더 이상 모니터링되지 않으며, 대안으로 Abuse Reporting Form과 https://hackerone.com/godaddy-vdp를 안내함
• 같은 보고서는 결국 HackerOne으로 제출됐고, 본문에는 report #3696718가 적혀 있음
• 공식 채널이 작동하지 않고, 우회 경로를 아는 사람만 실제 담당자에게 닿을 수 있는 구조가 이번 4일 장애 대응과 같은 패턴으로 반복됨
• 원문 기준으로 요구된 후속 조치는 명확함
  • Flagstream Technologies에 실명 담당자가 직접 연락해야 함
  • 일반용 공용 메일 계정이 아니라 회신 가능한 이메일 주소와 전화번호를 남겨야 함
  • 전송 검증 절차와 문서 없이 승인된 경위를 내부 검토해야 함

남은 대응 방향

• 피해 측의 더 큰 우려는 앞으로도 GoDaddy에 도메인을 두는 한 같은 유형의 위협을 막을 방법이 보이지 않는다는 점으로 커짐
• 본문에는 Flagstream이 자사 도메인 전부를 GoDaddy 밖으로 이전할 가능성이 크다고 적혀 있음
• GoDaddy에 도메인을 두고 있다면, 도메인이 계정에서 사라져 사업 전체가 멈췄을 때 어떻게 대응할지 스스로 점검해야 함