27년 도메인, 서류 없이 넘어갔다… HN이 GoDaddy를 못 믿겠다고 한 이유

Hacker News에서 이 글이 빠르게 올라온 이유는 GoDaddy의 대응이 느렸기 때문만이 아니다. 원문 보고서 GoDaddy Gave a Domain to a Stranger Without Any Documentation는 27년 된 비영리 단체 도메인이 account recovery 과정에서 전혀 다른 사람 계정으로 이동했고, 그 과정에 검증 문서가 제출되지 않았다고 적었다. HN 스레드(item 47911780)는 이걸 개별 사고가 아니라 registrar 운영 통제의 실패로 읽었다.

사건 타임라인도 거칠다. 2026년 4월 18일 GoDaddy가 account recovery 요청 메일을 보낸 뒤 3분 만에 내부 사용자가 transfer를 시작했고, 1분 뒤 transfer가 완료됐다. 보고서에 따르면 change validated 값은 “No”였다. 조직은 웹사이트와 이메일이 동시에 멈췄고, 며칠 동안 복구 대신 다른 담당 부서 주소만 계속 전달받았다. 결국 도메인을 되돌린 쪽은 GoDaddy가 아니라, 실수로 도메인을 받게 된 상대 계정 사용자였다.

원문에서 가장 충격적인 대목은 승인 방식이다. 잘못 도메인을 받은 쪽은 원래 다른 도메인 복구를 요청했고, 제출 링크가 만료돼 실제 문서는 하나도 올리지 못했다. 그런데도 GoDaddy는 이메일 서명 속 상위 도메인을 보고 잘못된 parent domain을 넘겨버렸다고 보고서는 적는다. HN 댓글은 “왜 아직도 GoDaddy를 쓰는가”라는 냉소와 함께, 2차 인증·은행·세금·급여 시스템이 모두 이메일 기반 복구에 묶여 있다는 점을 더 큰 위험으로 꼽았다.

• 4월 18일 1:39pm recovery notice, 1:42pm 내부 transfer 시작, 1:43pm transfer 완료가 보고서 타임라인에 적혔다.
• 보고서 작성자는 9.6시간 통화, 17통 이메일에도 실질적인 복구 답을 받지 못했다고 했다.
• 도메인을 되돌린 것은 GoDaddy dispute team이 아니라, 이상함을 느낀 상대 계정 사용자의 직접 연락이었다.

HN이 이 글을 밀어 올린 건 registrar 품질 문제를 넘어 “도메인은 곧 계정 복구 루트”라는 현실을 다시 건드렸기 때문이다. 웹사이트 한 장이 내려가는 정도가 아니라, 이메일 인증에 묶인 서비스 전체가 한 번에 흔들릴 수 있다. 커뮤니티가 받아들인 메시지는 단순했다. 지원팀의 응답 속도보다 먼저, 이런 이전이 애초에 가능하면 안 된다는 것이다.