먹튀가 발생하는 판에서는 사이트가 오래 머물지 않는다. 운영자는 돈을 모은 뒤 순식간에 서버를 접거나, 이름만 갈아입고 새 도메인으로 튄다. 이 반복에서 살아남으려면 신규 도메인을 얼마나 빨리 잡아내고, 잡아낸 후보 중 어디에 시간을 쓸지 가려내는 능력이 중요하다. 반나절 먼저 포착하면 피해 제보가 쌓이기 전에 사용자에게 경고를 내보낼 수 있고, 동일 조직이 돌려 쓰는 인프라 단서를 확보해 후속 도메인까지 미리 차단할 수 있다.
여기서는 현업에서 써 온 먹튀검증 관점의 신규 도메인 탐색법과, 실사용에 견딜 수 있는 알림 설정 전략을 풀어놓는다. 데이터 소스, 쿼리 요령, 노이즈 통제, 법적 주의점까지 한 흐름으로 이어 보겠다.
왜 신규 도메인이 핵심 신호인가
먹튀형 사이트는 세 가지 특징을 자주 보인다. 첫째, 오픈 직전에 도메인을 급히 등록한다. 둘째, 오픈 후 1주에서 4주 사이에 프로모션을 거세게 뿌린다. 셋째, 분쟁이 붙거나 신고가 누적되면 도메인을 비활성화하고 이름만 비슷한 새 도메인으로 돌아온다. 이 흐름은 홍보 채널, 결제 연동, 고객센터 계정 같은 자산은 최대한 재활용하되, 도메인과 CDN 구성을 신속히 갈아끼우는 방식으로 이루어진다.
이 패턴 덕분에 신규 도메인 자체가 중요한 탐지 포인트가 된다. 등록 시점, 인증서 발급 기록, 네임서버와 ASN 변경, 페이지 구조의 템플릿 재활용 여부 같은 신호를 묶으면 초기에 높은 확률로 후보를 솎아낼 수 있다. 먹튀검증을 운영하는 입장에서는 제보 접수 이후가 아니라 도메인 등록 당일이나 인증서가 처음 발급되는 순간에 포착돼야 대처가 빨라진다.
먹튀검증 관점에서 자주 보이는 신규 도메인 패턴
매년 약간의 유행이 바뀐다. 어느 해에는 .site, .store, .icu 같은 저가 gTLD가 많고, 다른 해에는 .top, .xyz, .shop이 늘어난다. 비용이 낮고, 등록 대행사 프로모션이 붙는 시기에 급격히 쏠리는 경향이 있다. 이름 패턴은 다음과 같은 조합을 자주 쓴다. 숫자 접미사, 단어 뒤에 vip, pro, win 같은 짧은 토큰, 이벤트를 암시하는 event, bonus, live, cs, help. 예를 들어, brandname-88.site, brandnamevip.shop, event-brand.top 같은 식이다.
운영자가 이전에 쓰던 브랜드를 길게 이어가는 경우도 있지만, 점점 더 다변화한다. 과거에는 동일 문자 조합을 반복했는데, 이제는 홍보 채널에서만 브랜드를 유지하고 도메인은 유사한 느낌만 내는 경우가 많다. 그래서 문자열 유사도만으로는 걸러내기 어렵고, 인프라 단서까지 함께 엮어 보는 편이 적중률이 높다. 같은 CDN 벤더의 동일 엣지 IP 대역을 돌려 쓰거나, 동일한 인증기관에서 연달아 발급된 DV 인증서에 공통 조직명이 비어 있는 등의 디테일이 반복된다.
신규 도메인 탐색을 위한 데이터 소스 지도
실무에서 쓸 만한 데이터 소스는 크게 세 축으로 묶인다. 등록과 인증의 기록, 네트워크와 DNS의 흔적, 그리고 사용자 노출 채널이다. 각 소스는 장단점이 뚜렷하다.
등록과 인증 쪽에서는 인증서 투명성 로그가 가장 빠르다. crt.sh 같은 서비스에서 쿼리를 날리면 발급 직후 수 분 안에 잡힌다. DV 인증서가 주류이기 때문에 조직 식별 정보는 빈약하지만, SAN에 묶인 도메인들 간 연결 관계를 엮어내기 좋다. Whois는 개인정보 보호 규정과 프라이버시 프록시 때문에 예전만큼 힘이 세지 않다. 그럼에도 등록일, 등록 대행사, 네임서버 벤더 정도는 대체로 확인 가능해서 점수화에 유용하다.
네트워크와 DNS는 passive DNS, 도메인과 IP 매핑 이력, 대역 단위 활동량, TTL과 레코드 변동 주기를 본다. 짧은 TTL과 sni만 있는 TLS 핸드셰이크, Cloudflare 같은 CDN을 통한 오리진 은닉은 흔한 조합이다. AS번호를 중심으로 동일 사업자가 제공하는 저가 호스팅 대역에서 새 사이트가 쑥쑥 올라오는 추세가 보이면 필터를 하나 더 꽂아둘 만하다.
사용자 노출 채널은 X, 텔레그램, 카카오톡 오픈채팅, 유튜브 쇼츠 같은 곳에 쏟아진다. 여기서는 링크 단축기와 이미지 내 도메인 노출이 문제다. OCR로 이미지 속 문자열을 훑거나, URL 리다이렉트 해제를 통해 최종 도메인을 뽑아내야 한다. 크롤러가 접근 차단을 자주 맞는 곳이라 적절한 속도 제한과 백오프 전략이 필수다.
현장에서 통하는 쿼리와 매칭 요령
인증서 로그에서는 문자열 변형을 넓게 잡되, 브랜드 키워드를 너무 좁게 고정하지 않는다. 예를 들어 brandname를 찾을 때는 brand, br4nd, brand-name, brnad 같은 전형적 오타와 하이픈 삽입, 숫자 치환을 한꺼번에 포함한다. 정규식을 과하게 쓰면 노이즈가 폭증한다. 경험상 한 브랜드당 6에서 12개 정도의 변형 패턴을 선정하고, 월 단위로 재평가하는 편이 좋다.
패시브 DNS에서는 쿼리량이 높은 서브도메인을 거꾸로 따라가보면 힌트를 얻는다. txt 검증 레코드에 남은 흔적도 유용하다. 특정 이메일 인증용 레코드가 반복되면 같은 마케팅 자동화 도구를 쓴다는 의미가 되고, 이 벤더를 축으로 망라 검색을 걸어볼 수 있다. CDN을 통해 오리진을 숨긴 경우에도, 초기에 잠깐 노출된 오리진 IP가 로그에 남아 있을 때가 있어 초기 수집의 민감도가 성패를 가른다.
홍보 채널 수집에서는 어휘 변화가 단서다. 신규 도메인 오픈 직전에는 “이전 사이트 점검”, “새 주소 공지” 같은 문구가 짧은 주기로 반복된다. 계정이 바뀌어도 문장 습관은 금방 안 변한다. 단어 조합과 구두점 패턴으로 작성자 유사도를 추정하면 동일 운영자군의 움직임을 선제적으로 묶어볼 수 있다.
수집 파이프라인와 중복 제거, 그리고 점수화
데이터는 많은데, 사람 시간은 한정돼 있다. 결국 파이프라인 설계의 핵심은 세 가지다. 실시간에 가깝게 가져오고, 명확한 중복 제거 규칙을 두고, 점수화로 우선순위를 박는 것이다.
실시간성은 이벤트 기반이 좋다. 인증서 로그, 리다이렉트 해제, 채널 메시지 스트림 같은 이벤트를 큐로 받아 처리하고, 네트워크 쪽은 5분, 15분, 60분 주기의 배치로 보강한다. 중복 제거는 도메인 기준으로만 보면 부족하다. 동일 도메인이라도 쿼리 경로가 다르면 새 단서가 붙는다. 그래서 도메인, 관측 소스, 최초 관측 시각, 공통 인프라 지문을 함께 묶어, 기존 케이스와 80에서 90 퍼센트 유사하면 같은 스레드로 합친다.
점수화는 신호의 독립성과 상호 보강 관계를 고려해 가중치를 나눠준다. 예를 들어 다음 같은 기준을 쓴다. 등록 48시간 이내, 인증서 발급 완료, CDN 프런트 도입, 유사 브랜드 문자열, 홍보 채널에 링크 노출. 이 가운데 두세 가지가 동시에 만족되면 검토 대상으로 올리고, 네 가지 이상이면 경고를 외부로 보낸다. 과도한 자동 차단은 민감한 영역이니, 외부 노출 전에 내부 검토 단계를 하나 둔다.
알림 설정의 핵심, 소음은 줄이고 신호는 살리기
알림은 만들기보다 유지가 어렵다. 이틀만 지나도 노이즈가 쌓이면 팀은 금세 무시 버튼을 누른다. 초기에 제대로 손보지 않으면 정작 중요한 건 묻히고 만다. 알림 설계에서 지켜야 할 원칙 몇 가지를 제시한다.
첫째, 채널을 적게 운영한다. 이메일, 슬랙, 텔레그램을 동시에 쏘지 말고 한두 채널만 살린다. 목적이 다른 알림이라면 채널을 분리한다. 예를 들어 실시간 탐지 경보는 채팅, 일별 요약은 이메일. 둘째, 중복 묶기를 강하게 적용한다. 같은 도메인에 대해 24시간 내에는 한 번만 경고를 보내고, 이후 관측이 추가되면 기존 메시지를 갱신하는 방식이 간명하다. 셋째, 타임윈도우를 둔다. 인증서 발급과 홍보 링크 노출이 6시간 안에 같이 등장하면 긴급, 6시간을 넘기면 일반 경고로 톤을 낮춘다.
넷째, 실패 메시지를 줄인다. 크롤링 실패, 시간초과, 접근 차단 같은 기술적 오류는 개발 채널로만 보낸다. 운영 채널로는 재시도 뒤에도 실패일 때만 알린다. 다섯째, 해제 조건을 정의한다. 72시간 동안 사이트가 응답하지 않으면 활성 경고를 닫고, 주간 요약에만 잔상을 남긴다. 적시에 닫힌 경고 시스템은 팀의 신뢰를 얻는다.
실무에서 바로 쓰는 최소 설정 체크리스트
- 인증서 투명성 로그에서 브랜드 변형 키워드 쿼리 저장, 시간 필터는 지난 24시간, 알림은 요약형으로 1회 패시브 DNS 신규 A 레코드 관측에서 TTL 300 이하, 동일 ASN 반복 출현 시 점수 가중 홍보 채널 수집에서 링크 단축 해제, 최종 도메인 도출 실패 시 10분 간격 3회 재시도 후에만 알림 경고 메시지 포맷 고정, 위험 점수, 근거 신호 3개, 최초 관측 시각, 검토 담당자 필드 포함 24시간 내 동일 도메인 재탐지 묶기, 새 신호 합산 시 기존 메시지 스레드 업데이트
케이스 스터디, 일주일 내 롤링 도메인 세 개를 추적한 기록
한 조직이 2주 사이에 brandname-7.shop, brandname-9.shop, brandnameshop.vip를 순차적으로 열었다. 첫 도메인은 인증서 발급과 동시에 포착됐다. SAN에 묶인 또 다른 도메인이 brandname-cs.shop으로 함께 보였고, 이 도메인은 고객센터 페이지 역할을 하는 정적 페이지였다. 초기에 페이지 구조가 템플릿 형태로 노출됐고, 자바스크립트 번들 파일명에서 동일 빌드 해시가 관측됐다.
이때 점수화는 이렇게 작동했다. 신규 등록 24시간 이내 신호 1점, 인증서 발급 1점, SAN 연계 1점, 동일 CDN IP 대역 1점, 페이지 템플릿 해시 매칭 1점. 총 5점으로 긴급 기준을 넘겨 운영 채널에 경보가 나갔다. 첫 도메인이 신고로 막히자 3일 뒤 두 번째 도메인이 오픈됐다. DNS는 먼저 열렸는데 웹은 2시간 뒤 올라왔다. 시간차를 활용해 사전 경고를 띄웠고, 홍보 채널에서 새 링크가 배포되기 전에 사용자 보호 공지를 냈다.
세 번째 도메인에서는 프런트 URL 구조가 약간 바뀌었지만 빌드 해시 일부가 동일해 내부 규칙에 걸렸다. 결국 동일 운영자군을 빠르게 묶어낼 수 있었다. 이 과정을 거치며 중복 묶기 규칙을 조정했다. 단순 문자열 유사도 대신 템플릿 해시, ASN, 인증서 SAN 조합으로 유사도를 산정하니 오탐이 30 퍼센트가량 줄었다.
법적, 윤리적 고려 사항
먹튀검증은 대체로 피해 예방이라는 공익적 목적을 가진다. 그렇다고 해서 준수해야 할 선을 넘을 수는 없다. 무단 침투, 비인가 접근, 로봇 배제 규약을 무시한 대량 크롤링 같은 행위는 금물이다. 공용 데이터 소스를 사용하되, 각 서비스의 이용 약관과 API 속도 제한을 존중해야 한다. 이미지 OCR을 통해 링크를 추출하더라도, 개인 대화방 같은 비공개 공간을 표적으로 삼아서는 안 된다.
표현과 배포 또한 신중해야 한다. 도메인만으로 범죄성을 단정 짓는 문구는 위험하다. 내부 점수는 내부 판단에 쓰고, 외부로 나갈 메시지는 사실 단위로 구성한다. 예를 들어 “해당 도메인은 최근 등록된 유사 브랜드 도메인으로 확인됐고, 인증서 발급과 동시에 홍보 링크가 배포됐습니다. 주의가 필요합니다” 같은 서술이 안전하다. 상황이 확정적일 때만 강한 표현을 쓴다.
팀 워크플로와 사람의 역할
자동화로 80 퍼센트까지 간다 해도 마지막 20 퍼센트는 사람의 눈과 손이 필요하다. 특히 먹튀검증은 한뼘 앞을 예측하는 작업이라 언어 습관, 페이지 문맥, 결제 창의 흐름 같은 미묘한 질감이 중요하다. 팀 내에서 역할을 나누는 방식이 성패를 가른다. 수집과 분류를 담당하는 엔지니어, 어휘와 브랜딩 패턴을 보는 분석가, 제보 응대를 맡는 커뮤니케이션 담당, 법적 검토 라인이 명확해야 한다.
워크플로는 간단할수록 오래 간다. 신규 경고가 오면 근거 신호 3개를 확인하고, 사용자가 접속할 경우 생길 수 있는 위험을 한 문장으로 요약한다. 확인이 끝나면 상태를 확정하고, 외부 메시지를 보낸 뒤 추적 목록에 넣는다. 매일 아침 15분 회고에서 전일 알림을 훑어보고, 오탐의 원인을 공개적으로 적는다. 이 작은 루틴이 모델을 빠르게 진화시킨다.
품질 지표, 숫자로 운영을 본다
알림 시스템은 측정하지 않으면 금방 흐트러진다. 유의미한 지표는 세 가지 축으로 본다. 신호 품질, 반응 속도, 사용자 영향. 신호 품질은 오탐 비율과 재탐 비율로 나눈다. 오탐 비율은 한 주 단위로 15 퍼센트 이하를 목표로 잡으면 현실적이다. 재탐 비율은 중복 묶기 성능을 뜻한다. 같은 사건에 대해 며칠 간격으로 새 경고가 몇 번이나 나갔는지 본다.
반응 속도는 인증서 발급 시각과 첫 경고 사이의 지연, 홍보 링크 최초 노출과 경고 사이의 지연 두 개를 본다. 초기에 6시간 내 달성, 성숙하면 60분 내로 줄이는 식의 목표를 세운다. 사용자 영향은 경고를 본 사용자 수 대비 실제 접속 시도 감소율 같은 지표로 측정한다. 가능하면 도메인 차단 솔루션과 연동해 클릭 차단 로그를 참고한다.
현장에서 부딪히는 난점과 우회 팁
프라이버시 보호 Whois 때문에 등록자 정보를 보기 어렵다. 이럴 때는 등록 대행사와 네임서버 벤더를 연결 단서로 삼는다. 특정 대행사에서 짧은 기간 내 같은 패턴의 도메인이 대량 등록되면 목록을 통째로 관찰 목록에 올린다. CDN 은닉으로 오리진이 가려진 경우에는 TLS 핸드셰이크 지문, 서버 응답 헤더, 에러 페이지 문구 같은 미시 단서를 모아본다. 초기에 잘못된 라우팅으로 엣지 대신 오리진이 직접 노출되는 순간이 있다. 모니터링 주기를 충분히 짧게 잡아 이런 찰나를 낚아챈다.
링크 단축기는 의도적으로 탐지를 회피한다. 다단계 리다이렉트를 쓰거나, 지역별로 다른 목적지를 보여주기도 한다. 프록시를 여러 지역으로 돌리고, 리다이렉트 추적 과정에서 자바스크립트 실행이 필요한 경우를 대비해 헤드리스 브라우저를 제한적으로 도입한다. 다만 헤드리스는 비용과 리스크가 크니, 의심 점수가 일정 기준 이상일 때만 켠다.
초보 팀을 위한 30일 로드맵
- 1주차, 인증서 로그 쿼리부터 시작한다. 브랜드 변형 키워드 10개 내외를 선정하고, 지난 24시간 신규 항목을 요약 이메일로 하루 한 번 받는다 2주차, 패시브 DNS에서 신규 A 레코드와 TTL 단서를 결합해 점수 규칙을 만든다. 동일 ASN 반복 출현에 가중치를 더한다 3주차, 홍보 채널 최소 2개를 크롤링한다. 링크 단축 해제와 OCR 도입을 검토하되, 우선은 수동 검토로 품질 기준을 맞춘다 4주차, 경고 메시지 포맷을 고정하고, 중복 묶기와 타임윈도우를 적용한다. 주간 회고에서 오탐 원인을 정리하고 규칙을 손본다 30일차, 지표를 설정한다. 오탐 비율, 경고 지연, 재탐 비율 세 가지를 대시보드로 만든다
비용과 성능의 균형점
모든 것을 실시간으로 파악하고 싶은 욕심은 이해하지만, 연산과 API 비용은 생각보다 빨리 불어난다. 인증서 로그는 비교적 저렴하게 넓게 볼 수 있지만, 패시브 DNS와 헤드리스 렌더링은 비용이 크다. 일반적으로 인증서 로그를 최전선에, 패시브 DNS를 두 번째 파동에, 헤드리스와 수동 검토를 세 번째 파동에 배치하면 효율이 좋다. 관측 범위를 확장할 때는 단계별로 AB 테스트를 해본다. 예를 들어 크롤링 주기를 60분에서 15분으로 줄였을 때 실제 탐지 건수가 얼마나 늘어나는지 숫자로 확인하고, 그 증가분이 팀의 처리 능력을 초과하지 않는지 본다.
현업 팁, 작은 습관이 큰 성과를 만든다
도메인 문자열만 보지 말고, 페이지의 언어 습관을 채점표로 만들어둔다. 고객센터 문구, 약관의 문장 길이, 전화번호 표기, 이모지 사용 빈도처럼 육안으로는 사소해 보이는 신호가 동일 운영자 먹튀검증 식별에 도움이 된다. 금칙어 같은 규칙은 탈출구를 만든다. 오히려 구체적 사례와 역발상을 문서로 남기면 팀은 같은 실수를 반복하지 않는다.
내부 명칭을 명확히 하는 것도 중요하다. 의심, 경고, 확정 같은 단계 명칭이 모호하면 소통이 꼬인다. 파트너와의 공조도 한 축이다. 결제 연동사, 보안 커뮤니티, 신고 접수 창구와 기본 정보를 빠르게 교환할 수 있는 라인을 만들어두면, 단서 하나로 연쇄적인 확인이 가능하다. 실제로 결제창의 가맹점 코드 하나로 과거 도메인 목록을 거꾸로 복원한 사례가 있었다.
맺음말, 먹튀검증에서 시간은 방어다
먹튀 검증의 본질은 사건을 늦게 확인해도 결국 알 수 있는 것을, 가능한 한 초기에 감지해 피해를 줄이는 데 있다. 신규 도메인 탐색과 알림 설정은 이 초기 구간을 넓히는 작업이다. 좋은 파이프라인은 소음을 줄이고 신호를 살린다. 도메인의 겉모습이 빠르게 바뀌어도, 등록과 인증, 네트워크와 언어 습관 같은 기반 신호는 쉽게 변하지 않는다. 그 신호를 모으고, 적절히 점수화하고, 팀이 믿을 수 있는 방식으로 알리는 체계를 꾸준히 다듬으면, 하루 먼저 찾고, 그 하루가 누군가의 손실을 막는다.
먹튀검증이라는 키워드가 요란한 구호로만 소비되지 않으려면, 구체적인 데이터와 절제된 운영을 바탕으로 실력을 쌓아야 한다. 도메인이 바뀌어도 흔적은 남는다. 그 흔적을 모아 패턴을 세우고, 팀의 손발이 따라갈 수 있게 알림을 설계하라. 그러면 도망치는 쪽의 시간표가 점점 좁아진다.