Menu

먹튀검증 체크를 위한 WHOIS·DNS 활용법

22 May 2026

Views: 4

먹튀검증 체크를 위한 WHOIS·DNS 활용법

온라인 서비스의 신뢰도를 평가할 때 가장 먼저 손에 잡히는 단서는 도메인과 서버다. 사업자명, 통장 계좌, 앱 설치 파일보다 기술적 흔적이 오래 남고 위조가 어렵다. 먹튀검증의 관점에서도 WHOIS와 DNS는 초반 스크리닝에 큰 힘을 발휘한다. 단지 날짜를 대충 훑어보는 수준을 넘어, 레지스트라와 네임서버 배치, DNS 보안 설정, 메일 발신 정책 같은 신호를 종합하면 의사결정의 품질이 달라진다. 현장에서 수십 건 이상 분석하다 보면 몇 가지 패턴이 반복적으로 보인다. 이 글은 그 패턴을 WHOIS·DNS 정보에서 어떻게 읽어내는지, 그리고 실무에서 어떤 순서로 확인하면 시간을 절약할 수 있는지에 초점을 맞춘다.
왜 WHOIS와 DNS인가
사기성 사이트는 사용자와의 모든 접점을 가볍게 만든다. 텔레그램 상담, 임시 휴대폰 번호, 선불 호스팅, 무료 인증서가 주로 등장한다. 이럴수록 도메인과 DNS는 탐지의 핵심 창구가 된다. 도메인의 등록 이력과 네임서버의 조합, IP의 소유 ASN, 레코드 구성 변화는 사람이 바꾼 흔적이 고스란히 드러나는 영역이다. 실제로 3개월 미만에 등록되고 프라이버시 대행으로 WHOIS가 가려진 도메인이, 동일 호스팅사 대역 내에서 단명 사이트 여러 개와 함께 발견되면 리스크 점수는 급격히 올라간다.

WHOIS는 등록 데이터, DNS는 운영 데이터를 보여준다. 전자는 도메인이 누구 손에서 태어났고 어떤 관리 주체를 거치는지, 후자는 현재 트래픽이 어디로 향하는지와 보안 정책 수준을 말해준다. 두 축이 만나면 표면 아래의 의도를 유추하기 쉽다.
환경 준비와 기본 도구
분석은 브라우저로도 가능하지만, 커맨드라인 도구 몇 가지를 익히면 정확도와 속도가 올라간다. macOS와 리눅스에는 보통 whois, dig, nslookup이 기본 제공된다. 윈도우는 PowerShell에서 Resolve-DnsName을 쓰거나 WSL을 통해 동일한 도구를 설치하면 된다. 한국 도메인의 상세 정보는 KISA WHOIS에서, gTLD와 새로운 TLD는 RDAP와 ICANN Lookup에서 확인이 깔끔하다. DNS 변경 이력은 공공 로그가 없어 상업 서비스가 유리하지만, 최근 값만으로도 70%는 판별 가능하다.

분석을 자동화할 스크립트를 구성해 두면 반복 작업을 줄일 수 있다. 예를 들어 도메인 목록을 받아 WHOIS 생성일, 만료일, 레지스트라, 네임서버, A 레코드, ASN, DNSSEC 여부, SPF·DMARC 정책을 한 번에 정리하는 식이다. 엑셀로 옮겨 조건부 서식을 입히면 현장 팀과 소통도 수월해진다.
WHOIS를 읽는 눈, 표 표면을 넘어
WHOIS는 필드가 많지만 실제로 의미 있게 쓰는 값은 한정적이다. 단순히 creation date가 최근이라는 이유만으로 배제하면 오탐이 늘어난다. 반대로 creation date가 오래됐다고 안심하면 놓치는 함정이 생긴다. 주요 포인트를 맥락과 함께 본다.

도메인 생성일과 갱신 패턴부터 확인한다. 신생 도메인이 모두 위험하진 않다. 다만 먹튀 사례에서 자주 보이는 흐름은 다음과 같다. 신규 등록 후 보름 내에 사이트가 오픈되고, 2개월 안에 접속 불가가 된다. 이 시나리오가 의심스럽다면, 갱신 주기가 1년 고정인지, 갑작스러운 등록자 변경이 있었는지까지 본다. RDAP에서는 이벤트 로그로 transfer, update 시점을 제공한다. 6개월 내 transfer가 두 번 이상이면 리셀러 체인을 타는 중일 가능성이 있다.

등록자 정보는 GDPR 이후 마스킹되는 경우가 많다. 주의할 점은 프라이버시 보호 자체가 문제는 아니라는 점이다. 합법 기업도 기본값으로 활성화한다. 대신 프라이버시 대행 이메일 패턴, 연락 용이성, abuse 연락처의 도메인이 동일 조직인지 같은 간접 신호를 본다. 프라이버시 대행이더라도 레지스트라 abuse 메일이 명시되어 있어야 정상이고, 응답 SLA를 공개한 곳일수록 신뢰도가 높다. 먹튀 패턴에서는 가짜 abuse 주소나 비어 있는 전화번호가 같이 보이곤 한다.

레지스트라와 리셀러 정보도 유용하다. 대형 레지스트라는 자체 검증과 모니터링이 강하고, 반복 악용 계정을 빠르게 차단한다. 반대로, 일부 해외 소규모 레지스트라나 공격적 가격 정책을 쓰는 리셀러에서는 동일한 범죄 그룹의 연쇄 등록이 자주 포착된다. 특정 레지스트라 자체를 편견으로 보지 말고, 동일 레지스트라에 등록된 의심 도메인이 짧은 기간에 다수 발견되는지 살핀다. 내부 대조군이 있으면 확신이 선다.

만료일과 자동 연장 상태는 중기 리스크를 가늠하는 데 도움이 된다. 자동 연장 표시가 없는 1년 단발성 등록은 단기 이탈에 유리하다. 물론 스타트업도 첫해 1년만 결제하는 경우가 많다. 그래서 만료일만으로 판단하지 말고, 조직 정보와 서비스 규모, 투자 여부 등 비기술적 맥락과 엮어보는 게 안전하다.

네임서버 필드는 WHOIS와 DNS 질의의 접점이다. 브랜드 네임서버를 쓰는지, 값싼 공유 네임서버인지, 아니면 클라우드 기반 매니지드 DNS인지에 따라 운영 성숙도가 갈린다. 한 업체의 네임서버를 여러 의심 도메인이 공유하고, 그 업체 대역에서 가짜 결제 페이지가 반복적으로 발견된다면 경계 수위를 올린다. 네임서버를 수시로 바꾸는 패턴도 포착 포인트다. 첫 주에는 임시 호스팅, 다음 주에는 리버스 프록시, 이후 봇 방어 솔루션을 씌우는 식으로 속임수 레이어를 갈아끼우면, 대개 네임서버 로그에 그 흔적이 남는다.
DNS에서 드러나는 운영의 질
DNS는 말 그대로 운영의 품질을 비춘다. 레코드 구성에 허술함이 많을수록 문제 가능성도 올라간다. 반대로 보안 정책이 과하게 과장되는 것도 수상하다. 합리적 구성이란 서비스 규모와 리스크 모델에 맞춘 밸런스다.

A와 AAAA 레코드로 트래픽의 종착지를 본다. IP가 데이터센터 대역인지, 주거용 ISP 대역인지, 프록시 서비스인지, ASN을 통해 소유 조직과 지역을 함께 체크한다. 가령 접속 지점이 동유럽의 저가 VPS 대역이고, 같은 /24에 파밍 사이트가 여럿 걸려 있다면 비정상 신호다. CDN을 쓰는 경우 IP만으로 판단하기 어렵지만, CDN 구성에서도 정상과 비정상을 가를 수 있다. 표준 CNAME 체인을 통해 특정 벤더로 끝나는지, 레코드 TTL이 너무 짧게 요동치는지, 공격 회피를 위해 임시 오리진을 돌리고 있는지 체크한다.

MX와 SPF, DKIM, DMARC는 메일 발신 신뢰도와 직결된다. 먹튀 사이트 상당수는 메일 인프라를 아예 구성하지 않는다. MX가 없거나, SPF가 v=spf1 ~all 같은 허술한 정책이면 공지나 영수증 발송도 형식일 수 있다. 반대로 정상 기업은 최소한 v=spf1 include 벤더 구성을 갖추고 DMARC 정책을 none에서 시작해 시간이 지나면 quarantine 또는 reject로 올린다. 도메인이 막 생성됐는데 DMARC가 곧바로 reject로 강하게 설정되어 있다면, 과거 다른 도메인에서 운영하던 조직이 옮겨왔을 수 있다. 연속성 관점에서 긍정적 신호다.

NS 레코드와 권한 위임의 일관성도 중요하다. WHOIS에 적힌 네임서버와 실제 NS 질의 결과가 일치하는지, 권한 있는 네임서버들이 동일 벤더인지, 지리적으로 분산되어 있는지 본다. 무료 DNS를 쓸 때 흔히 보이는 실수는 세컨더리 네임서버 누락이나 섞어쓰기다. 운영자가 기본기도 없는 상태에서 급히 올린 사이트는 장애에 취약하고, 단기 목적일 가능성이 높다.

TXT 레코드에는 각종 검증 값이 담긴다. 도메인 소유 검증을 위해 google-site-verification, MS, Facebook, Naver 등 벤더 토큰이 섞여 있으면 마케팅이나 운영을 최소한 세팅했다는 방증이 된다. 반대로 아무것도 없고, 오직 랜딩 페이지 하나만 있는 도메인은 내부 시스템과 연결성이 낮아 폐기 용이하다. 먹튀범들은 바로 이 지점을 이용한다.

CNAME과 서브도메인 운영도 단서다. 간단한 사례를 보자. www가 bare 도메인으로 301 리디렉트되고, m, api, img 같은 서브도메인이 각각 다른 CDN으로 분산되어 있다면 어느 정도 트래픽을 받는 서비스일 확률이 높다. 가짜 사이트는 보통 하나의 reverse proxy 뒤에 모든 서브도메인을 묶거나, 아예 www만 둔다. 여기서 예외는 있다. 최근에는 템플릿형 사기 사이트도 m과 app 서브도메인을 형식적으로 붙인다. 그래도 A, CNAME 체인의 완성도와 TTL, SSL 인증서의 SAN 구성까지 보면 뼈대가 드러난다.
현장에서 쓰는 조사 순서
빠르게 위험도를 가늠하는 10분 루틴이 있다. 반복해도 실수가 적고, 놓치는 포인트가 줄어든다. 아래 순서는 명령어와 공개 포털을 간단히 섞었다.
도메인 WHOIS와 RDAP에서 생성일, 만료일, 레지스트라, abuse 연락처, 네임서버, 이벤트 로그를 적어둔다. 개인정보 마스킹 유형, 프라이버시 대행 이메일 패턴도 함께 확인한다. dig 또는 Resolve-DnsName으로 A, AAAA, CNAME, MX, NS, TXT, SOA를 조회한다. TTL 분포와 권한 있는 네임서버의 일관성을 체크한다. IP를 기반으로 ASN과 대역을 확인한다. 같은 /24나 /23 내에 피싱, 도박, 성인 광고성 도메인이 섞여 있는지 OSINT로 가볍게 조회한다. HTTPS 인증서를 살펴본다. 발급 기관, SAN, 유효 기간, OCSP 상태를 보고, 과도하게 짧은 유효 기간과 잦은 교체가 있는지 감지한다. 과거 스냅샷과 서브도메인 흔적을 찾는다. 검색 엔진 캐시, 웹 아카이브, 간단한 크롤로 노출된 정적 자원을 모아 브랜드 일관성과 운영 기간을 추정한다.
이 다섯 단계만으로도 먹튀검증 1차 선별에서 절반 이상은 분류가 끝난다. 남은 절반은 논란의 영역인데, 이때는 기술 신호에 비즈니스 맥락을 얹는다. 예컨대 법인 등기, 사업자 등록, 결제 대행사 계약, 고객센터 응답 속도, 업데이트 이력처럼 외연을 본다. WHOIS·DNS는 결코 단독의 단죄 도구가 아니다. 대신 빠르게 리스크 대화를 시작하게 해준다.
커맨드 예시와 해석 포인트
whois example.com을 실행했는데 Creation Date가 2025-01-18T07:12:43Z, Registrar가 Namecheap, Registrant Email이 privacy-protect, Name Server가 dns1.registrar-servers.com, dns2.registrar-servers.com이라고 치자. 이 조합만으론 아무 결론도 내릴 수 없다. 그다음에 dig NS, dig A, dig TXT로 들어가서 TXT에 v=spf1 -all 하나만 덩그러니 있는지, MX가 없는지, A가 어떤 ASN인지 확인한다. 만약 IP가 203.0.113.42처럼 문서 예제 대역이 아니라 실제 호스팅 대역이고, 해당 ASN을 검색하니 동일 주제의 짧은 수명 도메인 모음이 나온다면 의심 지표가 쌓인다.

반대로 whois에서 레지스트라가 국내 대형사고, 네임서버가 전용 vanity NS로 설정되어 있으며, RDAP 이벤트에 지난 2년간의 갱신 로그가 일정하게 찍혀 있다면 신뢰 점수는 올라간다. dig TXT에 여러 벤더 검증 토큰이 있고, DMARC가 none에서 quarantine로 최근 상향되었다면 운영 개선의 궤적이 보인다. 이런 궤적은 조작이 어렵다.

nslookup -type=mx 도메인으로 MX 우선순위를 보는 것도 도움이 된다. 10, 20, 30에 걸친 다중 엔드포인트가 있고, 각 엔드포인트가 대형 메일 벤더의 패턴을 따른다면 정상 운영에 가까운 편이다. 먹튀 사이트는 보통 MX가 없거나, 사설 SMTP IP로 직결되어 스팸 지수만 올려놓는다.

traceroute나 mtr로 네트워크 경로를 보수적으로 확인하면, CDN 뒤에 숨은 오리진을 추정할 때 힌트를 얻는다. 다만 공격적 스캐닝은 법적 문제가 될 수 있으니 공개 범위에서 멈추는 게 좋다.
흔한 오판과 방지 요령
잘못된 신호 해석은 오탐과 미탐을 모두 부른다. 자주 겪는 함정을 미리 짚고 가면 성과가 안정된다.

첫째, 최근 등록 도메인 = 위험, 이 공식을 무비판적으로 적용하면 안 된다. 프로모션, 리브랜딩, 서브브랜드 런칭 등 정상 이유로 신규 도메인을 도입하는 기업이 많다. 신규 도메인은 그 자체로 조사 우선순위를 높이는 신호일 뿐이다.

둘째, 프라이버시 보호 = 악의, 역시 성립하지 않는다. 프라이버시는 기본값이다. 다만 프라이버시 메일조차 없는 비표준 WHOIS, ICANN이나 KISA 포맷을 심하게 벗어난 출력은 의심 지표다.

셋째, CDN 사용 = 우회 시도, 반은 맞고 반은 틀리다. CDN은 평범한 선택이다. 비정상은 CDN 위에 또 다른 프록시를 중첩하거나, CDN 설정을 자주 바꿔 탐지를 회피하는 패턴에서 나온다.

넷째, 자가 서명 인증서 = 무조건 사기, 내부 테스트 환경이나 개발용 도메인에도 자가 서명을 쓸 수 있다. 다만 상용 결제 페이지에 자가 서명이 등장한다면 즉시 퇴장 신호다.

다섯째, IP 지리 정보만으로 사업 소재지를 단정하는 것, 클라우드 시대에는 무의미하다. 대신 ASN과 리버스 DNS, 해당 벤더의 수용 정책, abuse 대응 이력을 종합하라.
실제 사례에서 본 패턴과 반례
한 번은 한글 도메인으로 이뤄진 투자 리딩 방 사이트를 의뢰받았다. WHOIS는 프라이버시 보호, 생성일은 2주 전, 레지스트라는 해외 소형사였다. 여기까지만 보면 위험도가 높아 보였다. 그런데 DNS를 뜯어보니 TXT에 여러 검증 토큰이 들어 있었고, MX는 대형 메일 벤더를, DMARC는 none이었지만 rua 리포팅 주소가 실제 회사 도메인을 가리켰다. SSL 인증서는 1년 유효 기간, SAN에는 서브도메인 여러 개가 포함되어 있었다. 결국 법인 조회와 오프라인 전화 확인을 거쳐 정식 사업자임을 확인했다. 마케팅 대행사가 비용 절감을 위해 해외 레지스트라를 썼던 게 원인이었다. 기술 신호는 의심을 제기했지만, 비기술 신호가 무혐의를 제공한 케이스다.

반대로, 수년 된 도메인을 내세운 안전해 보이는 사이트가 있었다. WHOIS 생성일은 2018년이었고, 레지스트라도 대형사였다. 그런데 RDAP 이벤트에서 최근 transfer가 발생했고, 네임서버가 3번 바뀌어 있었다. A 레코드는 동남아 소형 호스팅으로 이동했고, MX가 제거된 상태였다. 웹 아카이브를 보니 과거에는 쇼핑몰이었고, 최근 한 달 사이 도박성 랜딩으로 바뀌었다. 즉, 폐업 도메인을 매입해 신뢰를 도용한 경우였다. 오래된 생성일 하나만 보고 안심했다면 놓쳤을 상황이다.
보안 설정의 세밀함에서 나오는 신뢰
DNSSEC, CAA, TLS 정책 같은 세부 설정은 운영의 진정성을 보여준다. DNSSEC이 필수는 아니지만, 적용을 검토하고 오류 없이 유지하는 곳은 대체로 관리 역량이 있는 편이다. CAA는 어느 인증기관에서만 인증서를 발급할지 선언한다. 먹튀 사이트는 보통 이런 설정에 관심이 없다. 오히려 흔적을 줄이기 위해 모든 디폴트 값만 남긴다. 반면 정상 서비스는 인수합병, 시스템 마이그레이션을 거치며 CAA와 인증서 발급 벤더를 정리하고, 만료 리스크를 줄이기 위한 모니터링을 붙인다. 설정의 일관성과 변경 기록이 바로 신뢰의 먹튀검증 https://mtsna.com/ 근거다.

TXT에 포함된 dmarc rua, ruf 주소도 의미가 있다. 실제로 리포트 메일박스를 운영하는 곳은 피싱 대응과 발신 평판에 관심이 있다. 먹튀범에게는 전혀 필요 없는 투자다. 작은 조직이라도 rua를 외부 벤더로 위임했다면, 최소한의 보안 위생을 갖췄다고 본다.
자동화의 기준과 사람의 점검
규모가 있는 팀에서는 자동화 점수를 붙여 일일 대시보드로 본다. 점수 모델을 만들 때 가중치는 도메인 연령, RDAP 이벤트 변동성, 네임서버 안정성, MX 구성, SPF 강도, DMARC 정책, A 레코드 ASN 평판, 인증서 발급 이력, 서브도메인 다양성 같은 항목에서 뽑는다. 단, 점수는 우선순위용일 뿐 최종 판단이 되어서는 안 된다. 사람의 리뷰가 필요한 신호를 최소 두 개 이상 통과했을 때만 고위험으로 승격하는 식으로 설계하면 오탐을 줄일 수 있다.

현장에서는 분기마다 가중치를 조정한다. 예를 들어 스팸 캠페인이 특정 CDN과 조합을 이룰 때는 그 항목의 가중치를 일시적으로 올리고, 벤더가 대응을 시작하면 다시 내린다. 이런 유연성이 없으면 점수 모델은 빠르게 낡는다.
법과 윤리, 선을 넘지 않는 조사
DNS와 WHOIS는 공개 정보지만, 이를 조합해 공격적 스캐닝이나 우회 접속을 시도하면 법적 위험이 생긴다. 존중해야 할 선이 있다. 존중의 기준은 다음과 같다. 공개 레코드와 정상 브라우저 접속, 합법적인 헤더만으로 판단한다. 인증된 자원 접근, 비정상 트래픽 유발, 계정 생성 시도는 금지한다. 논란이 생길 수 있는 포렌식은 법률 자문과 명시적 허가를 받고 진행한다. 먹튀검증도 결국 합법과 책임의 선을 지킬 때 조직을 보호한다.
팀 협업을 위한 기록 방식
좋은 분석은 반복 가능한 기록에서 나온다. 스크린샷 몇 장과 링크 나열은 시간이 지나면 쓰레기가 된다. 필드는 작고 명확하게, 근거는 재현 가능하게 남겨야 한다. 예를 들어 다음과 같이 표준화하면 팀이 합의를 만들기 쉽다. 사건 ID, 도메인, 조사 시각, WHOIS 생성일, 만료일, 레지스트라, NS 일치 여부, A 레코드와 ASN, 메일 정책 요약, 인증서 요약, 과거 콘텐츠 변화, 리스크 요인 3개, 무해 신호 3개, 종합 의견, 후속 조치. 이 포맷을 유지하면 신규 인원이 와도 같은 언어로 대화할 수 있다.

또한, 확증 편향을 경계한다. 초반에 위험 판단을 내리면 반대 증거를 무시하기 쉽다. 팀 리뷰에서 일부러 반대 논거를 제출하도록 역할을 나눈다. 합리적 반대가 반복되면 가중치를 조정한다.
초보 팀을 위한 간단 체크리스트
모든 걸 깊게 파고들 시간이 없다면, 다음 다섯 가지만 먼저 본다. 이 다섯 개가 동시에 나쁘면 중지 버튼을 누르고 더 조사한다.
도메인 생성일이 3개월 이내, 레지스트라 정보가 빈약하고 abuse 연락처가 형식적이다. WHOIS의 네임서버와 NS 질의 결과가 다르거나, NS들이 서로 다른 벤더로 섞여 있다. MX가 없거나 SPF가 v=spf1 ~all 또는 -all로만 되어 있고 DMARC가 없다. A 레코드 ASN이 저품질 VPS 대역으로 알려져 있고, 같은 /24에서 단명 사기 도메인이 여럿 발견된다. 웹 아카이브에 과거 정상 사이트가 있었으나 최근 한두 달 사이 랜딩이 크게 바뀌었다.
체크리스트는 정답이 아니다. 다만 먹튀검증의 1차 경보로는 충분히 유효하다.
현실적인 한계와 대안
WHOIS는 GDPR로 세부 정보가 가려졌고, DNS는 CDN과 프록시를 통해 모호해졌다. 흔적은 줄고, 해석의 난이도는 올라갔다. 그래서 한 가지 신호에 매달릴수록 실패한다. 현실적인 대안은 세 가지다. 첫째, 시계열을 모은다. 한 시점의 스냅샷 대신 1주, 1개월, 3개월 간격의 변화량을 본다. 둘째, 교차 검증한다. WHOIS·DNS 외에 결제 벤더, 광고 집행 이력, 커뮤니티 평판, 고객센터 응답 기록을 엮는다. 셋째, 반례를 꾸준히 수집한다. 의심 신호가 있었지만 정상으로 판명된 케이스를 정리해 모델을 보정한다.

이 과정이 번거로워 보여도, 한 번 체계를 만들면 오탐과 미탐이 동시에 줄어든다. 먹튀 사이트가 놓치는 것은 정교함과 지속성이다. 우리는 바로 그 두 가지를 관찰해야 한다.
마무리 조언, 기술과 맥락의 균형
WHOIS와 DNS는 먹튀검증의 초석이다. 하지만 해석의 힘은 항상 맥락에서 나온다. 비슷해 보이는 신호가 서로 다른 의미를 가질 수 있다는 점을 잊지 말자. 기술적 단서는 빠르고 정직하지만, 사업의 생리와 사람의 습관을 모르면 엉뚱한 결론으로 간다. 반대로, 지표와 맥락을 균형 있게 엮으면, 스크린샷 몇 장이 아니라 재현 가능한 근거로 팀을 설득할 수 있다.

현장에서 가장 많이 듣는 질문은 단순하다. 도메인이 새롭고, 프라이버시고, VPS면 위험한가. 답은 이렇게 정리한다. 단서가 셋이면 조사, 다섯이면 보류, 일곱이면 차단. WHOIS와 DNS는 그 일곱 중 절반을 채워준다. 남은 절반은 우리가 발로 뛰어 채워야 한다. 손에 익은 도구와 깔끔한 기록, 팀의 반대 의견이 함께할 때, 먹튀검증은 감이 아니라 기술이 된다.

Share

We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of all cookies.
Accept