jaspertjlo757.capitaljays.com
Back

먹튀검증 도메인 이력 조회 실무 가이드

온라인 사기 사이트는 하루에도 수백 개가 생겼다 사라진다. 겉으로는 매끈한 랜딩과 화려한 후기, 빠른 결제를 유도하는 인터페이스까지 갖추지만, 운영 이력은 종종 허술하다. 먹튀검증의 핵심은 이 허술함을 데이터로 드러내는 일이다. 그중에서도 도메인 이력 조회는 여러 조각의 단서를 하나로 엮는 출발점이 된다. 연령, 소유권 변동, 네임서버와 호스팅 흐름, 인증서 발급 패턴, 과거 콘텐츠 기록을 세밀하게 읽으면 짧게 번쩍이고 사라지는 사이트의 껍질을 벗길 수 있다.

이 글은 현장에서 검증을 반복하며 쌓인 기준과 디테일을 정리했다. 단일 체크리스트로 해결되지 않는다. 상황에 따라 데이터가 가려져 있거나, CDN과 프록시가 흔적을 덮기도 한다. 중요한 것은 한 가지 출처에 의존하지 않고, 여러 관점에서 교차 검증하는 습관이다.

왜 도메인 이력이 중요한가

도메인은 사업의 껍데기이자 족적이다. 진짜 사업체는 기간이 만든 기록이 남는다. 초기 오픈이라도 준비 흔적이 보인다. 소셜 채널의 변천, 변경된 정책 페이지, 자잘한 오타 수정의 아카이브, 이름을 바꿨을 때의 리다이렉트 히스토리 같은 작은 흔적들이다. 반대로 먹튀형은 생애주기가 뚜렷하게 짧다. 몇 주 전 생성된 도메인, 네임서버와 호스팅을 빠르게 옮긴 기록, 결제 모듈만 살아 있는 빈 페이지의 흔적이 반복된다. 도메인 이력은 이 생애주기의 길이와 굴곡을 수치로 보여준다.

도메인 생애주기, 핵심만 짚기

도메인은 등록, 갱신, 만료, 유예, 삭제, 재등록을 순환한다. 문제성 운영자들은 이 사이클의 빈틈을 파고든다. 드롭캐치로 이전에 평판이 있던 이름을 다시 살려 쓰거나, 만료 직전에 이전해 복잡한 타임라인을 만든다. 의도적일 때도 있지만 자동 갱신 실패로 우연히 꼬인 경우도 있다. 그래서 절대 연령만 보지 않는다. 생성일과 갱신일의 간격, 레지스트라 변경 시점, 네임서버가 바뀐 타이밍을 함께 본다. 변화가 몰려 있는 날에는 캠페인 전환이나 브랜드 교체가 있었는지 크로스체크한다.

데이터 소스, 한곳에 답은 없다

실무에서 쓰는 데이터는 크게 여섯 갈래다. WHOIS와 RDAP의 등록 정보, 패시브 DNS로 본 레코드 변화, 웹 아카이브의 스냅샷, 인증서 투명성 로그, 호스팅과 ASN 정보, 위협 인텔의 블랙리스트와 샘플 리포트다. 각각 장단이 있다. WHOIS는 개인정보보호로 가려질 수 있고, 패시브 DNS는 지역이나 수집망에 따라 공백이 생긴다. 아카이브는 봇 차단에 막히고, CT 로그도 와일드카드가 섞이면 분기점이 흐려진다. 그래서 출처가 다른 도구로 같은 이벤트를 다시 확인하는 습관이 중요하다.

실무 워크플로우, 첫 30분의 압축 점검

아무리 복잡한 사건도 초동 대응 30분의 루틴이 흐트러지면 놓치는 게 생긴다. 산만한 클릭을 줄이고, 원인과 인과를 엮을 수 있는 순서대로 살핀다. 아래는 실제로 사용하는 짧은 루틴이다.

  • WHOIS와 RDAP로 생성일, 갱신일, 만료일, 레지스트라, 네임서버, 레지스트라 잠금, 등록인 마스킹 상태를 기록한다.
  • 패시브 DNS에서 A, AAAA, NS, MX, TXT 변화를 타임라인으로 정리하고, IP에 매핑된 ASN과 호스팅을 확인한다.
  • 웹 아카이브에서 첫 스냅샷과 최근 스냅샷을 비교하고, 결제나 회원가입 흐름이 언제 붙었는지 체크한다.
  • CT 로그에서 인증서 발급 시점과 SAN 도메인 묶음을 확인하고, 와일드카드와 서브도메인 확장을 살핀다.
  • 위협 인텔에서 블랙리스트, 피싱 신고, 악성 다운로드 연계 여부를 교차 조회한다.

이 다섯 단계로 신뢰와 리스크의 밑그림이 생긴다. 이후 상세 분석은 이 타임라인을 따라가면 된다.

WHOIS와 RDAP, 가려진 정보에서 읽는 것들

개인정보보호 확산 이후 WHOIS는 빈칸이 많다. 그래도 읽을 건 남아 있다. 첫째, 레지스트라와 리셀러. 특정 리셀러 그룹에 먹튀 계정이 몰려 있는 경우가 있고, 남미나 동유럽 기반의 소형 레지스트라는 분쟁 대응 속도가 느린 편이다. 둘째, 레지스트라 잠금과 상태 플래그. clientTransferProhibited가 해제된 채로 운영 중이라면 관리 보안이 허술할 수 있다. 셋째, 생성일과 갱신일의 간격. 생성 직후 1년 이상 선결제 갱신이 붙는 경우는 장기 운영 의지가 반영되기도 한다. 반대로 생성 1주 내에 갱신, 이전, 네임서버 교체가 몰리면 캠페인성이 짙다.

등록인 정보가 프라이버시 보호로 가려져도, 이메일 해시나 티켓 번호 형태의 대체 식별자가 남는 경우가 있다. 과거 스팸 캠페인과 동일한 해시가 지표로 재등장하는 사례를 몇 번 봤다. 주소 필드가 템플릿 복붙처럼 비정상적으로 정형화되어 있는지도 본다. 도시와 주, 우편번호의 조합이 현실과 맞지 않으면 봇 등록 가능성이 높다.

네임서버와 DNS, 변동의 리듬을 타임라인으로

네임서버는 사이트의 지휘봉이다. 무료 DNS에서 상용 보안 DNS로 넘어가거나, CDN을 붙였다 떼는 시점은 사건의 경계가 된다. TTL 값이 급격하게 짧아졌다 길어지는 패턴도 실시간 캠페인 튜닝의 흔적이다. 패시브 DNS에서 A 레코드가 여러 IP를 교차하며 순환한다면 로테이팅을 통한 차단 회피일 수 있다. 이름은 같지만 실제 호스팅이 대륙 단위로 바뀌는지도 확인한다. 유럽 시간대에 집중된 IP에서 새벽마다 북미 대역으로 넘어가면 타깃 국가의 단속 시간대를 피하려는 채널링일 가능성이 있다.

MX와 SPF, DMARC도 놓치지 않는다. 회원가입과 고객센터를 내세우면서 MX가 없거나, SPF가 존재하지 않다면 메일 커뮤니케이션이 실재하지 않을 수 있다. 반대로 DMARC가 제대로 설정된 경우는 합법 서비스일 확률이 높아진다. 물론 공격자도 복사해 붙일 수 있으니 절대적 기준은 아니다. SOA의 시리얼 증가 패턴도 운영 리듬을 보여준다. 주말과 야간에만 큰 폭으로 바뀌는 존은 임시 인력 운영의 흔적일 때가 많다.

웹 아카이브, 스냅샷 사이의 공백을 읽기

Wayback Machine이나 지역 아카이브에서 페이지의 첫 등장과 변모를 찾는다. 메인만 보지 말고, 약관, 개인정보처리방침, 공지, FAQ의 변천을 함께 본다. 실제 운영사는 약관 버전 기록이 남는다. 먹튀형은 템플릿을 가져다 쓰고, 문서의 폰트나 자간이 페이지마다 제각각일 때가 많다. 아카이브가 비어 있으면 두 가지를 생각한다. 봇 차단으로 수집이 안 됐거나, 정말로 생성 초기라 히스토리가 없거나. 이럴 때는 캡처 시점의 리소스 파일명을 본다. app.23fe9.js 같은 해시 빌드 파일의 타임스탬프가 의외로 좋은 기준이 된다. 6개월 전 컴파일된 번들을 새 도메인이 쓰고 있으면 재활용 테마거나, 사라진 사이트의 프론트만 가져온 것일 수 있다.

결제 흐름 스냅샷이 남아 있으면 카드 결제 외에 가상자산 주소, 해외 계좌, 알 수 없는 PG 연계 화면이 있는지 확인한다. 결제창이 새창에서 외부 도메인으로 열리고, 그 도메인이 단명과 고빈도 변경을 반복한다면 위험 신호다.

인증서 투명성 로그, 서브도메인의 그림자

CT 로그는 서브도메인을 통째로 보여주는 창이다. 와일드카드 *.example.com 발급 이력, 짧은 주기의 다중 발급, SAN에 엮인 다른 도메인들의 관계를 묶어 보면 캠페인 묶음이 드러난다. 이 작업으로 도메인 패밀리를 찾았다. 예를 들어 event, promo, vip 같은 접두사가 날짜와 함께 대량 발급되는 패턴, 동일한 조직명으로 수십 건이 튀어나오는 날은 프로모션 전개 시점과 맞물린다. 무료 인증서를 과도하게 갈아 끼우는 것도 힌트다. 물론 자동 갱신 실패를 대비해 중복 발급하는 합법 운영도 있다. 그래서 발급 주기와 인증기관의 조합을 함께 본다.

인증서의 조직명과 유효기간도 맥락이 된다. EV나 OV가 붙었다고 무조건 안전하다고 단정하지는 않지만, 아무 정보 없이 도메인 검증만 반복되는 구조와는 온도 차가 있다. CT 로그에서 발견한 서브도메인을 실제로 열어 404 응답인지, 기본 인덱스인지, 운영 중인 페이지인지도 직접 확인한다.

호스팅, ASN, IP, 숨은 연결들

IP가 바뀌는 일은 흔하다. 하지만 ASN 전환과 세트로 보면 결은 달라진다. 특정 호스팅 업체로의 집단 이동은 비용과 정책 측면의 의사결정이 반영된다. 장기 계약을 해야 할인되는 벤더로 옮긴 기록이 있으면 진입 의지로 읽을 수 있다. 반대로 DMCA나 abuse 대응이 느린 호스팅으로 점프하는 패턴은 위험 신호에 가깝다. 데이터센터 지역도 패턴을 만든다. 타깃 국가의 트래픽과 지연 시간을 고려해 대륙을 초 단위로 바꾸는 Anycast 구성이라면 엔지니어링 역량이 높은 쪽에 가깝다. 먹튀형은 비용 때문에 대체로 저가 공유 IP, 심하면 블랙리스트 비율이 높은 대역을 쓴다.

리버스 DNS, 오픈 포트, 배너의 프레임워크 서명도 병행한다. 서버 헤더가 프레임워크 버전과 함께 오래된 패치를 드러낼 때가 있다. 비정상 트래픽 차단 솔루션의 배너가 붙어 있으면 이미 분쟁을 겪고 있을 가능성도 있다.

트래픽과 백링크, 과장과 비정상 곡선

먹튀 사이트는 초단기간에 광고를 부어 유입을 땡긴다. 오가닉 검색이나 커뮤니티 언급이 비정상적으로 빨리 폭증하고, 며칠 사이 사라진다. 오픈 소스 크롤링 기반의 순위 지표를 보면서 링크 유입이 어느 주제 군집에서 나왔는지 본다. 동일한 도메인 팜에서 반복 링크가 붙고, 앵커 텍스트가 균질한 경우는 자연스럽지 않다. 합법 서비스는 부정확한 언급과 다양한 오타, 맥락 없는 리뷰가 섞인다. 사람의 언어는 지저분하다. 반대로 놀이성이 강한 도박, 환전 문구 중심의 앵커가 일정 패턴을 유지하면 의도적 증폭일 가능성이 높다.

언어, 인터페이스, 결제 흐름의 작고 날카로운 징후

문장과 버튼 단어 선택, 공백의 일관성, CS 이메일의 서명 포맷까지도 본다. UI 레이블에 지역 언어 혼용이 섞이고, 법적 고지 번역의 억양이 틀리면 템플릿 이식일 가능성이 있다. 회원가입에 전화 인증 없이 고액 결제가 바로 가능한 구조, 취소 버튼이 작고 회색으로 숨어 있는 배치, 규정상 필수 고지 항목이 푸터에 없으면 경고가 켜진다. 운영 정책 문서가 이미지로만 제공되고 복사 불가일 때도 수정을 피하려는 의도가 읽힌다.

사례 스케치, 서로 다른 결의 타임라인

여름철 이벤트성 전자상거래를 표방하던 한 도메인은 생성 12일 만에 본격 트래픽을 받기 시작했다. 패시브 DNS에 따르면 네임서버는 이틀 간격으로 세 번 바뀌었고, MX는 끝내 설정되지 않았다. CT 로그에는 *.domain.tld 와일드카드 발급이 일주일에 두 번, SAN에는 event.domain, pay.domain이 반복으로 붙었다. 웹 아카이브가 수집하지 못한 기간 동안 외부 스냅샷 도구에 남은 이미지를 보면 결제창이 외부 도메인으로 튀어 나갔고, 그 외부 도메인은 3주 만에 폐기됐다. 최종적으로 카드사 불가, 가상자산 전환을 유도했고, 환불 규정은 이미지 파일이었다. 결과는 사건화였고, 도메인은 2개월 만에 폐기됐다.

반대로 실제 브랜드 리뉴얼 사례에서는 생성일은 최근이라도, 백링크의 오래된 도메인에서 리다이렉트를 걸어 유입을 모았다. WHOIS의 레지스트라 이전 시점과 브랜드 공개일이 정확히 맞았고, 약관과 개인정보처리방침 개정 히스토리가 연속적이었다. CT 로그도 와일드카드 한 장을 90일 주기로 안정적으로 갱신했다. MX와 DMARC가 개설 초기부터 붙어 있었고, abuse 연락에 대한 응답 시간도 빨랐다. 이 정도면 도메인 연령만으로 의심할 이유는 없다.

먹튀검증 관점의 리스크 점수화, 변수는 단순하게

모든 변수를 세밀하게 모델링하면 복잡도가 폭발한다. 현장에서는 단순한 가중치가 낫다. 예를 들어 생성 60일 이하, MX 미설정, 네임서버 30일 내 2회 이상 변경, CT 로그의 과다 발급, 외부 결제 도메인 사용을 각각 1점으로 놓고, 3점 이상이면 고위험으로 분류하는 식이다. 이 초기 점수는 어디까지나 탐지용이다. 사람의 검토가 붙어야 실제 판단이 나온다. 점수는 내부 데이터와 맞물릴수록 정확해진다. 과거 자체 사건과의 일치율, 제휴사 신고 빈도, 광고 계정 차단 이력 같은 메타 정보가 들어가면 재현성이 좋아진다.

흔한 역공과 대비책

CDN으로 소스 IP를 숨기거나, 프라이버시 보호로 등록 정보를 가리는 건 기본 중 기본이다. 여기에 국제화 도메인으로 유사 브랜드를 흉내 내는 동형 이체 기법을 섞는다. 시각적으로 같은 문자 조합을 먹튀검증 만들어 유입을 가로채는 방식이다. 또 다른 흔한 역공은 레지스트라 이전을 반복해 타임라인을 흐리게 하는 것, 또는 동일한 페이지를 여러 도메인에서 하루씩만 돌리는 로테이션이다. 이럴 때는 CT 로그와 패시브 DNS의 시계열이 유효하다. 짧은 수명 도메인 묶음이라도 인증서 발급과 A 레코드의 집합은 패턴을 남긴다.

광고만으로 트래픽을 만들고, 오가닉을 일부러 키우지 않는 경우도 많다. 검색엔진 등록을 피하거나, 로봇스 파일로 크롤링을 제한한다. 이런 경우에는 광고 추적 파라미터와 프론트의 해시 파일명이 도메인을 넘어 공유되는지로 군집을 찾는다. zip, js, css의 빌드 해시가 동일하면 제작 체인이 같다. 캠페인 라벨이 URL에 노출되는 광고 플랫폼은 더 쉽게 연결된다.

문서화, 재현 가능한 기록 만들기

검증의 절반은 기록이다. 언제, 어떤 스냅샷을, 어떤 도구로 보았는지를 남긴다. 아카이브 링크, RDAP JSON, 패시브 DNS 타임라인 캡처, CT 로그 쿼리 결과를 사건 폴더에 묶고, 타임라인을 한 줄로 적어 둔다. 팀 단위면 표준 명명 규칙을 정한다. TZ는 UTC로 통일하고, 도구 버전과 쿼리 파라미터를 주석으로 남긴다. 재현 가능한 기록은 반론에 대응하는 방패가 된다. 시간이 지나면 외부 데이터가 사라지거나 바뀔 수 있기 때문이다.

법적, 윤리적 경계

검증은 합법적 수단으로만 해야 한다. 비인가 스캔, 우회 접근, 계정 침투는 선을 넘는다. RDAP, 공개 아카이브, CT 로그, 패시브 DNS와 같은 공개 또는 합법 수집된 자료에 의존한다. 의심이 확정으로 바뀌는 순간에도 표현은 신중해야 한다. 확률과 정황을 분리해서 기록하고, 최종 판정까지의 논리 사슬을 남긴다. 타사의 상표나 유사명 문제는 상표법이나 UDRP 과정을 안내할 수 있지만, 법적 판단을 대신할 수는 없다.

내부 협업, 보안과 마케팅의 보폭 맞추기

먹튀검증은 보안팀만의 일이 아니다. 마케팅이 유입 채널을 모니터링하고, CS가 고객 불만 유형을 태깅해 넘기면, 보안은 그 데이터를 지표화해 도메인 리스크 탐지에 반영할 수 있다. 예를 들어 환불 지연 키워드가 급증한 주와 도메인 네임서버 이력이 맞아떨어질 때, 광고 차단과 레퍼럴 블록을 신속히 묶어낼 수 있다. 사내 룰로 정한 대응 시간 목표를 두고, 각 팀의 알림 채널을 연결하면 손실을 줄인다.

도구와 셋업, 가볍게 시작해서 견고하게

도구는 많은데, 중요한 건 조합과 루틴이다. RDAP는 표준 엔드포인트에 스크립트 하나면 충분하다. 패시브 DNS는 상용과 오픈이 섞여 있으니 예산에 맞춰 최소 두 곳을 병행한다. CT 로그는 공개 미러가 많다. 쿼리 저장과 태깅이 되는 대시보드를 붙이면 시간을 아낀다. 아카이브는 robots에 막히는 경우를 대비해 다중 소스를 즐겨찾기 해 둔다. 이 모든 결과를 노트 시스템 하나에 통합하고, 템플릿을 만들어 10분 내 기초보고를 작성할 수 있게 한다.

흔한 오진과 그 교정

새 도메인은 곧 위험이라는 고정관념이 오진을 낳는다. 신규 브랜드는 필연적으로 새 도메인을 쓴다. 이때는 백링크의 다양성과 소셜 채널의 시간 흐름을 더 본다. 또 하나는 프라이버시 보호 사용을 범죄 징후로만 보는 오류다. 유럽, 한국 모두 개인정보보호가 강화됐고, 합법 운영도 기본값으로 쓴다. 그래서 단일 신호에 점수를 몰아주지 말아야 한다. 마지막으로 아카이브 공백을 악의로 해석하는 것도 조심한다. 봇 차단 정책 때문일 수 있다. 항상 대체 지표를 찾는다.

국제화 도메인과 유사명, 작은 차이가 만든 큰 리스크

먹튀형은 종종 i와 ı, o와 0 같은 유사 문자를 섞는다. 모바일 작은 화면에서 더 가려진다. 내부 검색과 광고 키워드에도 오타 폴더를 만든다. 이럴 때는 정규화된 punycode를 함께 저장하고, 시각적 유사도 매칭을 한번 돌려 본다. 브랜드팀과 협의해 상표 변형 리스트를 만들고, CT 로그와 패시브 DNS에서 이 리스트의 교집합을 정기적으로 스캔한다. 조기 발견이 절반이다.

사고 대응, 차단과 통지의 순서

의심이 확정으로 수렴하면 차단, 통지, 수사의 세 갈래가 열린다. 내부 서비스라면 WAF와 DNS 레벨에서 레퍼럴과 아웃바운드 링크를 막고, 광고 플랫폼에 신고해 계정을 중단시킨다. 피해 고객에게는 짧고 명확한 안내를 우선 제공하고, 환불이나 정정 절차를 고지한다. 레지스트라 abuse 채널로 사건 요약과 증빙을 보내고, 호스팅에도 동일하게 접수한다. 사기의 유형에 따라 금융당국이나 사이버수사대 신고를 병행한다. 이 모든 과정을 타임라인에 묶는다.

최종 점검, 놓치기 쉬운 빨간 신호들

먹튀검증에서 반복적으로 효율을 낸 지표들을 짧게 정리한다. 모든 항목이 동시에 나타나지 않아도, 둘 셋만 합쳐도 유의미한 힌트가 된다.

  • 생성 90일 이하인데, 네임서버와 A 레코드 변경이 30일 내 여러 번 발생한다.
  • MX 미설정 또는 SPF, DMARC 부재인데, 고객센터 메일 사용을 적극 홍보한다.
  • 인증서가 짧은 주기로 중복 발급되고, SAN에 날짜형 서브도메인이 다수 섞인다.
  • 결제창이 외부 도메인으로 열리고, 그 외부 도메인이 단명 또는 순환한다.
  • 웹 아카이브 공백과 프런트 빌드 해시의 불일치가 동시에 관찰된다.

마무리하며, 데이터는 축적될수록 정교해진다

도메인 이력 조회는 흩어진 신호를 질서 있게 배열하는 작업이다. 한 번의 조회로 진실이 나오지 않는다. 그러나 동일한 루틴으로 사례를 축적하면, 다음 사건에서 판단이 빨라진다. 생성일 숫자 하나를 보는 대신, 변화의 리듬을 듣는 쪽으로 습관을 바꾸자. 네임서버가 바뀌는 시점, 인증서가 늘어나는 패턴, 아카이브에 남은 미세한 오자, 이 작은 것들이 먹튀의 구조를 비춘다. 먹튀검증은 기술과 상식, 절차와 기록이 만나는 접점에서 성과가 나온다. 팀이 작아도 괜찮다. 다섯 단계의 루틴과 두세 개의 교차 지표, 재현 가능한 기록만 갖춰도 손실을 크게 줄일 수 있다.