뉴스로 돌아가기
조사 보고서

“화이트 페이지”를 차단하고 공식 사이트로 리디렉션하는 이유: 클로킹 문제 해설

클로킹, 화이트 페이지, TDS 리디렉션은 현대 피싱 인프라의 핵심 요소입니다. 이를 사용하는 모든 사이트는 차단됩니다. 그 이유와, 이 모든 것의 이면을 들여다보면 어떤 사실이 드러나는지 알아보겠습니다.

2026년 3월 29일 PhishDestroy 연구 ~12분 소요
피싱 인프라 내 클로킹 및 화이트 페이지 — 기술적 개요
현대적인 피싱 인프라가 클로킹 기법을 활용해 자동 탐지 시스템의 모든 단계를 회피하는 방법.
50,000+
스캔된 사이트
1,565
케이타로 패널
0
적법한 용도
55+
BUYTRX 도메인
100+
AV 엔진

우리가 끊임없이 받는 질문

매주 우리는 똑같은 호소를 받습니다: “제 도메인을 신고하셨는데, 확인해 보니 그냥 공식 웹사이트로 리디렉션될 뿐입니다. 여기에는 악성 코드가 전혀 없습니다.”

또는 다음과 같은 변형도 있습니다: “이 페이지는 그저 암호화폐에 관한 블로그 게시물일 뿐입니다. 피싱이 아닙니다.”

이 점이 왜 혼란스러운지 잘 알고 있습니다. 신고된 도메인을 방문했을 때 전혀 문제가 없어 보이는 페이지가 표시되거나, 정상적인 사이트로 매끄럽게 리디렉션된다면, 당연히 해당 신고가 잘못된 것이라고 생각하기 마련입니다. 하지만 그런 정상적인 페이지가 표시된다고 해서 이것이 저희 탐지 시스템의 오류는 아닙니다. 그것이 바로 공격이다.

이 글에서는 클로킹의 기술적 원리, “화이트 페이지”가 존재하는 이유, Keitaro와 같은 TDS가 피해자를 어떻게 유도하는지, 그리고 PhishDestroy가 이러한 패턴을 예외 없이 모두 확인된 악성 인프라로 간주하는 이유를 설명합니다.

이것이 중요한 이유

도메인이 경고 대상으로 지정되어 이 글을 읽고 계시며, 이것이 오류라고 생각하신다면, 이 글을 끝까지 읽어보시기를 권장합니다. 또한 저희는 항소 절차 정당한 오탐의 경우를 제외하고는. 하지만 저희 경험상, 클로킹 행위를 보이는 도메인은 100% 악성입니다.

바이러스 백신 시스템이 판도를 어떻게 바꿨는가

10년 전만 해도 피싱은 단순한 방식이었습니다. 공격자는 도메인을 등록하고 가짜 로그인 페이지를 만든 뒤, 피해자들에게 해당 링크를 보냈습니다. 보안 업체들은 결국 해당 URL을 크롤링하여 피싱 페이지를 확인하고 차단 목록에 추가했습니다. 그러면 그 도메인은 몇 시간 또는 며칠 내에 사라졌습니다.

그러자 업계 상황이 개선되었습니다. Google Safe Browsing, 마이크로소프트 스마트스크린(Microsoft SmartScreen), 그리고 VirusTotal과 같은 플랫폼에 탑재된 100개가 넘는 안티바이러스 엔진이 URL을 거의 실시간으로 스캔하기 시작했습니다. 브라우저 수준의 경고로 인해 클릭률이 급격히 감소했습니다. 호스팅 제공업체들은 자동화된 제거 Pipeline을 도입했습니다. 피싱 페이지가 공개된 후 제거되기까지 걸리는 시간은 며칠에서 몇 분으로 단축되었습니다.

피싱 운영자들은 한 가지 문제에 직면해 있었습니다. 바로 페이지를 배포하는 속도보다 더 빨리 차단당하고 있었다는 점입니다. 그들은 피싱 콘텐츠를 실제 피해자들에게는 노출시키면서도, 이를 탐지하려는 모든 자동화된 시스템에게는 완전히 무해한 것처럼 보이게 할 방법이 필요했습니다.

정답은 은폐.

바이러스 탐지 기술의 진화와 피싱 회피 기법의 진화 — 기술 인포그래픽
무기 경쟁: 맬웨어 탐지 속도가 며칠에서 몇 분 단위로 단축되자, 피싱 공격자들은 스캐너와 실제 피해자에게 서로 다른 콘텐츠를 보여주는 위장 인프라를 구축해 대응했다.
핵심 문제

현대식 피싱은 피싱 페이지를 식별하기 어렵기 때문에 적발되지 않습니다. 피싱이 성공하는 이유는 스캐너는 피싱 페이지를 전혀 감지하지 못합니다. 스캐너는 블로그 게시물, 리디렉션 페이지 또는 빈 페이지를 감지합니다. 특정 국가에서 모바일 기기를 통해 유료 광고를 클릭하여 접속한 피해자는 인증 정보 수집 프로그램을 보게 됩니다.

클로킹이란 실제로 무엇인가

클로킹이란 방문자의 신원에 따라 각기 다른 콘텐츠를 제공하는 방식을 말합니다. 피싱의 맥락에서 볼 때, 이는 한 가지 의미를 지닙니다: 보안 스캐너에는 무해한 페이지가 표시되지만, 실제 피해자들에게는 피싱 페이지가 표시됩니다..

필터링은 여러 단계에서 이루어질 수 있습니다:

  • IP 평판 — 알려진 데이터센터 IP, VPN 주소 범위 및 보안 업체의 IP 블록에는 정상 버전이 표시됩니다. 일반 가정용 IP에는 피싱 페이지가 표시됩니다.
  • User-Agent 문자열 — 헤드리스 브라우저, 알려진 크롤러(Googlebot, bingbot, Screaming Frog) 및 보안 스캐너가 식별되어 걸러집니다.
  • 지리적 위치 — 피싱 페이지는 대상 국가의 방문자에게만 표시됩니다. 그 외의 사용자에게는 흰색 페이지가 표시됩니다.
  • 리퍼러 헤더 — 특정 경로(구글 광고, 피싱 이메일 링크, 소셜 미디어 게시물 등)를 통해 유입된 방문자만 실제 콘텐츠를 볼 수 있습니다.
  • 기기 지문 인식 — 자바스크립트는 화면 해상도, 설치된 글꼴, WebGL 렌더러, 배터리 API 및 기타 신호를 확인하여 실제 기기와 에뮬레이터를 구분합니다.
  • 시간 기반 규칙 — 피싱 페이지는 특정 시간대(예: 대상 시간대의 업무 시간)에만 활성화되며, 해당 시간대 외에는 기본적으로 빈 페이지가 표시됩니다.
  • 쿠키/세션 추적 — 처음 방문 시에는 흰색 페이지가 표시됩니다. 특정 쿠키(광고 클릭 시 설정된)를 가진 재방문 사용자에게는 피싱 페이지가 표시됩니다.
위장 인프라를 운영하는 세 명의 위협 행위자 — 개념도
클로킹 인프라는 여러 계층에서 방문자를 걸러냅니다. 실제 피해자가 피싱 페이지에 도달할 때쯤이면, 모든 자동 방어 시스템은 이미 무해한 미끼를 확인한 상태입니다.

정교한 은폐 시스템은 이 모든 요소를 결합합니다. 그 결과, 인터넷상의 모든 스캐너에게는 완전히 깨끗해 보이는 도메인을 유지하면서도, 표적 피해자로부터 인증 정보를 적극적으로 탈취합니다.

탐지 격차

VirusTotal이 위장된 URL을 스캔하면 흰색 페이지가 표시됩니다. 결과: 0/93 건의 탐지. Google Safe Browsing이 해당 페이지를 크롤링한 결과, 블로그 게시물을 발견했습니다. 결과: 경고 없음. 피해자는 휴대폰에서 구글 광고에 표시된 동일한 URL을 클릭합니다: 그들은 가짜 MetaMask 로그인 화면을 보게 됩니다. 이는 단순한 이론적 문제가 아니라, 현대 피싱의 표준 운영 방식입니다.

기만의 이면에 숨겨진 도구들

클로킹은 즉흥적으로 이루어지는 것이 아닙니다. 이는 다음과 같은 전용 상용 소프트웨어를 통해 실행됩니다. 교통 분산 시스템(TDS). 피싱 공격에서 가장 널리 사용되는 것은 케이타로.

Keitaro는 제휴 마케터들이 방문자 속성에 따라 트래픽을 라우팅할 수 있도록 설계된 정식 광고 기술(Ad-Tech) 제품입니다. 이 제품은 IP 범위, 지역, 기기, 리퍼러, 사용자 에이전트 등 위에 나열된 모든 필터링 기준을 기본적으로 지원합니다. 피싱 공격자는 이 제품을 간단히 설정하여 스캐너는 빈 페이지로, 피해자는 피싱 페이지로 각각 라우팅할 수 있습니다.

우리의 연구 결과는 다음과 같이 발표되었습니다. 케이타로 TDS: 1,500개의 패널 노출, 확인됨 1,565개의 활성 상태인 케이타로 패널 피싱 인프라를 운영하는 곳입니다. 1,565개의 피싱 페이지가 아니라 — 1,565 제어 패널, 각각 수십 건에서 수백 건에 달하는 피싱 캠페인을 동시에 운영하고 있다.

피싱 트래픽 유포에 활용된 케이타로 TDS 패널 인프라
Keitaro TDS: 상용 트래픽 분산 시스템이 피싱 은폐의 핵심 인프라로 악용된 사례. 1,565개 이상의 패널이 확인 및 기록되었다.

그 밖에도 우리가 접하는 TDS 플랫폼으로는 다음과 같은 것들이 있습니다:

  • Binom — CIS 지역 운영에서 널리 사용되는 자체 호스팅 트래커
  • BeMob — IP 필터링 및 봇 탐지 기능을 갖춘 클라우드 기반 추적기
  • 사용자 정의 PHP 라우터 — MaxMind GeoIP 및 IP 차단 목록을 활용한 자체 개발 스크립트
  • Cloudflare Workers — 요청이 오리진 서버에 도달하기도 전에 방문자 속성을 평가하는 엣지 기반 라우팅

이들의 공통점은 모두 방문자마다 다른 콘텐츠를 보여주기 위해 존재한다는 것입니다. 제휴 마케팅 분야에서는 이를 ‘트래픽 최적화’라고 부릅니다. 피싱에서는 이를 회피.

탐지 도구 이용 가능

우리는 케이타로 탐지 도구 모든 도메인에서 Keitaro TDS의 흔적을 식별하기 위함입니다. 이 도구는 Keitaro 설치와 관련된 알려진 패널 경로, 응답 헤더 패턴, 리디렉션 체인 및 자바스크립트 시그니처를 확인합니다.

“공식 웹사이트 리디렉션” 시나리오

우리가 접하는 가장 흔한 클로킹 방식 중 하나는 단순히 공식 웹사이트로 리디렉션되는 도메인입니다. 그 유인 문구는 항상 똑같습니다: “직접 확인해 보세요. 그냥 coinbase.com으로 연결될 뿐이에요. 피싱은 아니에요.”

실제로 일어나고 있는 일은 다음과 같습니다:

스캐너가 URL을 방문합니다
TDS는 IP/UA/지리적 위치를 확인합니다.
302 → coinbase.com
스캐너: “깨끗함”
피해자가 광고를 클릭한다
TDS는 IP/UA/지리적 위치를 확인합니다.
가짜 코인베이스 로그인
인증 정보 도난

공식 사이트로 리디렉션된다고 해서 해당 도메인이 무해하다는 뜻은 아닙니다. 바로 그 은폐 메커니즘 그 자체입니다. TDS는 해당 방문자가 스캐너임을 판별했으며, 가장 안전한 대응 방안—즉, 스캔 결과가 정상으로 나올 가능성이 가장 높은 방법—은 실제 웹사이트로 리디렉션하는 것입니다.

다음은 서버 측 로직의 간략한 예시입니다:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.coinbase.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show phishing page
  return renderPhishingPage(); // Credential harvester
}
핵심 통찰

합법적인 웹사이트라면 방문자를 다른 회사의 도메인으로 리디렉션하지 않습니다. 만약 crypto-wallet-app[.]com 다음으로 리디렉션됩니다 coinbase.com, 그 도메인은 존재할 이유가 없습니다. 진짜 코인베이스 페이지는 coinbase.com. 리디렉션이 바로 그 증거입니다.

‘화이트 페이지’ 문제

“화이트 페이지”란 클로킹된 피싱 도메인이 스캐너와 표적이 아닌 방문자에게 보여주는 위장 콘텐츠입니다. 이름과는 달리, 실제로는 빈 흰색 페이지인 경우가 거의 없습니다. 현대의 화이트 페이지는 모든 기능이 정상적으로 작동하는 웹사이트 정당한 것처럼 보이도록 고안된:

  • 암호화폐, 금융 또는 기술에 관한 블로그 게시물
  • 일반적인 SaaS 도구를 위한 제품 랜딩 페이지
  • 신뢰할 수 있는 언론사에서 수집한 뉴스 기사
  • 일반적인 “곧 공개됩니다” 메시지가 표시된 유휴 도메인 페이지
  • 검색 결과에서 상위 노출되도록 설계된 SEO 최적화 콘텐츠

이 마지막 요점은 매우 중요합니다. 화이트 페이지는 단순한 회피 수단이 아니라 — 그것들은 SEO 전략. 피싱 도메인에 고품질 콘텐츠를 호스팅함으로써, 운영자들은 두 가지 목표를 동시에 달성합니다. 바로 탐지를 피하는 것입니다 그리고 그들은 도메인 권위를 높여 피싱 링크가 검색 결과에서 더 상위에 노출되도록 합니다.

3단계 SEO 중독 공격

다음은 ‘화이트 페이지’를 활용한 피싱 캠페인의 전체 진행 과정입니다:

1단계
빌드 권한
2단계
순위 및 지수
3단계
피싱 활성화
1단계: 권위 구축 (1~4주)
도메인을 등록합니다. SEO에 최적화된 콘텐츠(블로그 게시물, 기사)가 포함된 화이트 페이지를 배포합니다. 백링크를 구축합니다. 도메인이 시간이 지남에 따라 숙성되어 권위를 얻게 됩니다. 모든 검색 엔진은 깨끗한 콘텐츠 사이트로 인식합니다. 구글은 경고 없이 해당 사이트를 색인화합니다.
2단계: 순위 및 색인 (4~8주 차)
도메인이 타겟 키워드(“MetaMask 지갑 연결”, “Coinbase 로그인”, “암호화폐 에어드랍”)에 대해 검색 순위에 진입하기 시작합니다. 화이트 페이지 콘텐츠는 계속 제공됩니다. 자연 검색 트래픽이 유입되기 시작합니다. 모든 평가 시스템에서 도메인의 평판이 확립됩니다.
3단계: 피싱 공격 실행 (8주차 이후)
TDS 규칙이 뒤집혔습니다. 피해자 프로필(가정용 IP, 대상 국가, 모바일 기기)과 일치하는 방문자는 이제 흰색 페이지 대신 피싱 페이지를 보게 됩니다. 스캐너는 여전히 흰색 페이지를 보게 됩니다. 해당 도메인이 쌓아온 평판 덕분에 브라우저 경고가 늦게 발동됩니다. 검색 결과나 광고를 클릭한 피해자는 권위 점수가 높은, 신뢰할 수 있어 보이는 도메인으로 이동하게 됩니다.
화이트 페이지 SEO 포이즌링 Pipeline — 피싱 도메인이 활성화되기 전에 권위를 쌓는다
화이트 페이지는 수동적인 회피 수단이 아닙니다. 이는 도메인 권위를 쌓고 검색 순위를 높인 뒤, 그 평판을 무기로 삼아 자연 검색 결과를 통해 피해자들에게 피싱 공격을 가하는 적극적인 SEO 전략입니다.

이것이 바로 우리가 1단계에서 도메인을 식별하는 이유입니다. 3단계가 활성화될 때쯤이면 이미 피해가 발생하고 있는 상태입니다. 피싱 페이지가 나타날 때까지 기다리는 것은 피해자들이 인증 정보와 돈을 잃을 때까지 기다리는 것과 다름없습니다.

실시간 트래픽 시나리오: 광고 및 이메일 캠페인

모든 위장형 피싱이 자연 검색에 의존하는 것은 아닙니다. 가장 공격적인 트래픽 유입 방법 중 두 가지는 다음과 같습니다. 유료 광고 그리고 이메일 캠페인, 이 둘 모두 클로킹 기법을 이용해 플랫폼 심사를 우회합니다.

Google Ads 클로킹

~에 대한 우리의 조사 BUYTRX 드레이너 네트워크 기록된 55개 이상의 도메인 Google Ads를 활용해 ‘지갑을 털어가는’ 사이트로 트래픽을 유도하는 방식. 그 원리는 다음과 같습니다:

  1. 운영자가 도메인을 Google Ads 검토에 제출합니다. Google의 크롤러는 빈 페이지(블록체인 기술에 관한 블로그)를 확인합니다. 광고 승인됨.
  2. “connect wallet” 및 “crypto airdrop” 키워드를 타겟으로 한 광고가 게재됩니다.
  3. 구글 사용자가 광고를 클릭합니다. TDS는 구글 애즈(Google Ads) 리퍼러에서 유입된 가정용 IP를 감지합니다. 지갑을 털어가는 요리가 나왔습니다.
  4. 피해자가 지갑을 연결하면, 미리 서명된 거래를 통해 몇 초 만에 자산이 모두 빠져나갑니다.

구글의 광고 심사 시스템은 — 다른 모든 자동 스캐너와 마찬가지로 — 텅 빈 페이지만 인식합니다. 광고는 계속 게재되고, 운영자는 유입된 피해자 한 명당 구글에 계속 비용을 지불합니다.

이메일 캠페인 클로킹

이메일 게이트웨이(Microsoft Defender for Office 365, Proofpoint, Mimecast)는 이메일이 전달되기 전에 이메일 내 링크를 검사합니다. 클로킹도 이와 동일한 방식으로 처리합니다:

  1. 피싱 이메일에는 위장된 도메인으로 연결되는 링크가 포함되어 있습니다.
  2. 이메일 게이트웨이가 URL을 검사합니다. 서버 측 TDS가 게이트웨이의 IP 범위를 인식합니다. 화이트 페이지를 표시하거나 공식 사이트로 리디렉션합니다. 이메일이 발송되었습니다.
  3. 수신자가 메일 클라이언트에서 링크를 클릭합니다. 개인용 IP, 정확한 리퍼러, 대상 지역. 피싱 페이지가 표시되었습니다.
규모

BUYTRX 조사 사례만 보더라도, 구글 애즈는 55개 이상의 도메인을 통해 지갑 탈취형 악성코드의 유포를 적극적으로 지원했습니다. 각 도메인은 구글의 크롤러에 빈 페이지가 표시되었기 때문에 구글의 자동 검토를 통과했습니다. 이는 단순한 허점이 아니라, 클로킹이 적용된 상황에서 광고 플랫폼이 랜딩 페이지를 검증하는 방식에 내재된 구조적 결함입니다.

왜 ‘유죄가 입증될 때까지 무죄’라는 원칙이 이 경우에는 적용되지 않는가

때때로 클로킹 인프라를 근거로 도메인을 신고하는 것은 시기상조이며, 실제 피싱 콘텐츠가 나타날 때까지 기다렸다가 조치를 취해야 한다는 주장을 듣곤 합니다. 이러한 주장은 클로킹이 무엇인지 오해하고 있는 것입니다.

클로킹은 중립적인 기술이 아닙니다. 그것은 적대적 인프라 탐지를 회피하기 위해 특별히 고안된 것입니다. 클로킹 기술을 사용하는 도메인은 이미 그 의도를 분명히 드러냈습니다. 즉, 보안 시스템에는 한 가지를, 피해자에게는 또 다른 것을 보여주겠다는 것입니다. 이는 어떠한 정당한 목적에도 부합하지 않는 구성입니다.

우리가 주목하는 5가지 신호

다음과 같은 특징을 보이는 모든 도메인은 어떤 조합이든 이러한 신호 중 다음은 악성으로 표시됩니다:

  1. 조건부 콘텐츠 제공 — IP, 사용자 에이전트, 지역, 유입 경로 또는 기기 지문에 따라 다른 콘텐츠 제공
  2. TDS 지문 — 응답 헤더, 리디렉션 체인 또는 자바스크립트 내의 Keitaro, Binom, BeMob 또는 사용자 정의 라우터 서명
  3. 공식 사이트로 이동 — 제3자의 합법적인 도메인(특히 은행, 암호화폐 또는 이메일 서비스 제공업체)으로의 모든 리디렉션
  4. 관련 없는 내용이 담긴 흰색 페이지 — 최근에 등록된 도메인에 게시된 블로그 글, 뉴스 기사 또는 일반적인 콘텐츠로, 해당 도메인을 통해 확립된 사업적 입지가 없는 경우
  5. 봇 방지 자바스크립트 — 표시할 내용을 결정하기 전에 헤드리스 브라우저, WebDriver, 화면 크기 또는 캔버스 렌더링 여부를 확인하는 스크립트 식별

50,000개 이상의 스캔 대상 사이트로 구성된 당사의 데이터셋에서, 이러한 신호를 보였으나 실제로는 정상 사이트로 판명된 도메인의 수는 0. “드물다”가 아니라 — 아예 없다. 타겟이 아닌 방문자를 다른 회사의 도메인으로 리디렉션해야 하거나, 특정 IP 범위의 방문자에게는 로그인 양식을 표시하는 동시에 스캐너에게는 암호화폐 관련 블로그를 제공해야 하는 합법적인 웹사이트를 단 한 곳도 본 적이 없다.

당사의 정책

클로킹은 이진 신호입니다. 도메인이 앞서 설명한 방식을 통해 방문자마다 다른 콘텐츠를 표시할 경우, 해당 도메인은 경고 대상으로 지정됩니다. 운영자가 이를 오탐으로 판단할 경우, 당사의 항소 절차 바로 이러한 목적을 위해 마련된 것입니다. 현재까지 클로킹 관련 플래그에 대한 이의 제기가 성공한 사례는 없습니다.

등록관 문제

클로킹은 악용 신고에 있어 후속 문제를 야기합니다. 클로킹된 도메인을 등록 기관에 신고하면, 등록 기관의 악용 대응 팀이 해당 URL을 방문했을 때 보이는 것은… 아무 문제 없어 보이는 페이지입니다. 블로그 게시물이나 coinbase.com으로 연결되는 리디렉션 페이지일 뿐이죠. 그들의 관점에서 볼 때, 조치를 취할 만한 사유가 전혀 없는 것입니다.

바로 이것이 우리에서 실제로 벌어진 상황입니다. NiceNIC 조사 그리고 우리의 NameSilo 조사. 두 경우 모두, 등록 기관은 신고된 도메인을 확인한 결과 문제가 없는 콘텐츠임을 확인하고, 사건을 종결하거나 도메인 운영자를 적극적으로 변호했습니다.

이 문제는 구조적인 문제입니다:

  • 레지스트라 악용 대응 팀은 안티바이러스(AV) 업체와 동일한 스캔 방식을 사용합니다. — 이들은 표준 브라우저를 사용하여 데이터센터 IP 주소에서 해당 URL에 접속합니다. 클로킹은 이러한 시도를 매번 무력화시킵니다.
  • 클로킹 탐지 기술에 투자한 등록 기관은 단 한 곳도 없다 — 조건부 콘텐츠 제공을 감지하는 기술은 존재하지만(우리가 개발했습니다), 이를 도입한 등록 기관은 아직 없습니다.
  • ICANN의 악용 방지 체계는 클로킹을 고려하지 않습니다 — 악용 신고를 하려면 유해한 콘텐츠에 대한 증거가 필요합니다. 유해한 콘텐츠가 피해자에게만 노출된다면, 등록 기관의 자체 검증 절차로는 이를 절대 발견할 수 없습니다.
등록 담당자의 응답 실패

우리는 이러한 양상을 광범위하게 기록해 왔습니다. 우리의 보고서에 따르면 학대 신고가 무산될 때 이 글은 등록 기관들이 클로킹된 도메인에 대해 체계적으로 조치를 취하지 못하는 이유를 자세히 설명하고 있는데, 그 이유는 등록 기관들의 검증 방식이 바로 클로킹이 무력화하기 위해 고안된 방식과 정확히 일치하기 때문이다.

이것이 바로 PhishDestroy가 독립적인 계층으로 존재하는 이유입니다. 저희는 단일 IP에서 해당 URL에 접속하여 표시되는 내용을 확인하는 방식에만 의존하지 않습니다. 우리는 수천 개의 도메인에 걸쳐 리디렉션 체인, TDS 지문, 자바스크립트 동작, DNS 이력, 인증서 투명성 로그, 시간적 패턴 등을 분석합니다. 도메인을 위험으로 표시할 때, 우리는 이미 그 도메인이 일반적인 방식으로 확인하는 사람에게는 문제가 없어 보일 것이라는 점을 이미 고려한 상태입니다.

요약: 은폐 기법과 탐지

기법스캐너가 포착하는 것피해자들이 보는 것검출 방법
IP 기반 필터링백지 페이지 / 리다이렉트피싱 페이지다중 IP 스캔, 주거용 프록시 비교
UA 기반 필터링빈 페이지 / 403피싱 페이지UA 로테이션, 헤드리스 브라우저와 실제 브라우저 비교
지리적 기반 필터링일반적인 내용지역화된 피싱다중 지역 프록시 스캔
리퍼러 필터링하얀 페이지피싱 (광고/이메일)리퍼러 스푸핑, 광고 클릭 시뮬레이션
JS 지문 인식빈 페이지 (봇 감지됨)피싱 (실제 기기)자바스크립트 정적 분석, 난독화 해제
시간 기반 규칙청소 (비업무 시간)피싱 (업무 시간 중)시간 스캔, 시간대 기반 검사
쿠키/세션 기반 접근 제어청소 (첫 방문)피싱 (쿠키를 이용한 재방문)다중 방문 세션 분석, 쿠키 재현
TDS (케이타로/비놈)빈 페이지 또는 리디렉션피싱 사이트로 연결됨케이타로 탐지 도구, 헤더/리디렉션 분석
공식 사이트 리디렉션302 → 정식 사이트피싱 페이지리디렉션 대상 분석, 도메인 용도 검증
클로킹 탐지 및 피싱 인프라 분석 요약
전체적인 상황은 이렇습니다. 모든 위장 기법에는 이를 탐지하는 방법이 존재합니다. 문제는 기술이 아니라, 등록 기관, 광고 플랫폼, 이메일 게이트웨이 측이 이러한 탐지 방법을 실제로 도입하도록 하는 데 있습니다.

결론

클로킹은 회색 지대가 아닙니다. 그것은 바로 가장 효과적인 회피 기술 현대적인 피싱 공격에서, 구글 애즈부터 이메일 게이트웨이, 도메인 등록 기관의 악용 대응 팀에 이르기까지 피싱 생태계의 모든 구성 요소가 현재 이 문제를 제대로 해결하지 못하고 있습니다.

PhishDestroy가 특정 도메인을 클로킹으로 표시할 때, 이는 단순한 추측이 아닙니다. 우리는 방문자마다 다른 콘텐츠를 보여주기 위한 단 하나의 목적으로 존재하는 악의적인 인프라의 존재를 기록하고 있는 것입니다. 50,000회 이상의 스캔 결과, 이 신호의 오탐률은 0%입니다.

도메인이 경고 대상으로 지정된 경우:

  • 정당한 사업자이시며, 이것이 오탐이라고 생각하신다면, 이의 신청하기. 우리는 하나하나 모두 검토합니다.
  • 클로킹 인프라를 운영하고 있다면, 우리는 이미 그 사실을 알고 있습니다. 귀하가 저희 스캐너에 보여준 흰색 페이지는 피해자들이 실제로 보는 화면이 아닙니다. 그리고 이를 입증할 증거도 확보하고 있습니다.
흰 화면은 변명이 아닙니다. 그것은 자백입니다. 만약 여러분의 도메인이 방문자마다 다른 콘텐츠를 표시해야 한다면, 그 도메인이 악의적인지 여부에 대한 답은 이미 나온 셈입니다.

위장된 도메인은 모두 차단됩니다. 예외는 없습니다. 항소가 성공한 사례는 단 한 건도 없습니다. 5만 건의 스캔을 진행한 동안, 이 신호에 대해 우리가 틀린 적이 한 번도 없었기 때문입니다.

관련 연구 및 자료

이 기사는 5만 개 이상의 도메인을 스캔하고, 활성 피싱 인프라를 조사하며, 등록 기관 및 ICANN에 악용 신고를 제출한 당사의 운영 경험을 바탕으로 작성되었습니다. 설명된 모든 기법은 증거와 함께 기록되어 있습니다. 연구 과정 중 어느 시점에서도 무단 접근은 이루어지지 않았습니다.

이 조사 결과 공유하기

X / Twitter Telegram 레딧 LinkedIn

관련 조사

케이타로 TDS: 1,500개의 패널이 노출되었으나, 합법적인 용도는 전혀 없음
조사
케이타로 TDS: 1,500개의 패널이 노출되었으나, 합법적인 용도는 전혀 없음
BUYTRX 실체 폭로: 55개 도메인 및 TRON 승인 권한 탈취 사건
조사
BUYTRX 실체 폭로: 55개 도메인 및 TRON 승인 권한 탈취 사건
사기꾼들의 실체: 4가지 사기 백엔드 분석
조사
사기꾼들의 실체: 4가지 사기 백엔드 분석