>
PhishDestroy 라이브
뉴스로 돌아가기
 공유: 게시물 텔레그램
● 속보2026년 7월 2일 업데이트 — ICANN #1479 접수
조사

NameSilo 1억 달러 규모의 암호화폐 탈취범을 변호했다
— 그 다음 트위터 계정을 삭제했습니다

ICANN 공인 등록기관이 발표한 바에 따르면 기록된 거짓말 4가지 10년 동안 이어진 모네로 탈취 작전을 은폐하기 위해, 탈취 프로그램이 여전히 가동 중일 때 VirusTotal 기록을 삭제해 주겠다고 제안한 뒤, 유료 X 골드 체크마크를 이용해 자신들의 주장이 틀렸음을 입증한 연구자들을 차단했습니다. 해당 조직의 데브옵스 엔지니어는 다음과 같이 말했습니다: 러시아의 한 금융 피라미드 업체 전 IT 책임자 10년 동안.

2026년 4월 1일 — 2026년 7월 2일 업데이트 PhishDestroy 연구 읽는 데 10분 SHA-256로 검증된 파일 61개
$0M+ 도난 추정
0년 ‘오퍼레이션 라이프스팬’
0 기록된 거짓말들
0k Bing에서 색인에서 제외된 페이지
0+ 리뷰 삭제됨
0 SHA-256 증거 파일
phishdestroy.eth.limo에서 전체 조사 내용을 읽어보세요

이 기사는 미리보기입니다. 전체 증거 자료, IPFS 아카이브 및 모든 원본 자료는 위 링크에서 확인하실 수 있습니다.

배경: xmrwallet.com이 실제로 무엇인지

xmrwallet.com은 피싱 페이지가 아닙니다. 이곳은 서버 측 백도어가 포함된 모든 기능을 갖춘 모네로 지갑 2018년에 구축되어 2026년 5월까지 운영될 예정이며, 이는 거의 10년에 달합니다. GitHub 저장소는 공개용 허울에 불과합니다. 도난 코드는 프로덕션 서버에만 존재하며, 커밋된 적도 없고 감사받은 적도 없습니다.

사용자의 모든 상호작용은 POST 요청을 통해 개인 뷰 키를 운영자의 서버로 전송하며, 이 키는 session_key — 대략 세션당 40건의 전송. 클라이언트 측 트랜잭션은 명시적으로 취소됩니다 (raw_tx_and_hash.raw = 0); 서버는 도난당한 키를 사용하여 자체적으로 키를 생성합니다.

아무것도 다루지 않은 2018년 “보안 감사”

NewAlchemy의 감사 보고서는 레딧에서 67개의 찬성 투표를 받았으며, 수년 동안 신뢰 지표로 활용되었습니다. 이 보고서의 구체적인 범위: "클라이언트 측 자바스크립트만 사용됩니다." 명시적으로 적용 대상에서 제외되는 사항: "수많은 PHP API 엔드포인트." 이러한 엔드포인트들이 바로 실제 도난 메커니즘입니다. 해당 감사는 구조상 백도어를 발견할 수 없었습니다.

이 절도 행위는 의도적으로 선별적으로 이루어집니다. 소액의 입금 건은 수년 동안 건드리지 않아 신뢰와 합법적인 리뷰를 쌓아갑니다. 반면 거액은 단 몇 분 만에 도난당합니다. 기록된 피해자 중 한 명은 590 XMR을 입금했으나, 이 금액은 2일 만에 사라졌습니다. 15명 이상의 기록된 피해자를 대상으로 한 보수적인 추산 총액은 다음과 같습니다: 5,000~50,000+ XMR 도난당함 (과거 가격 기준으로 150만 달러~1,500만 달러 이상). 피해자 게시물의 60%는 증거 확보 전에 대량 신고되어 삭제되었다.

# The smoking gun: client-side transaction explicitly discarded raw_tx_and_hash.raw = 0 # thrown away; server builds its own with stolen keys # ~40 POST transmissions per session, every session, since 2016: session_key = base64_encode(wallet_address + ":" + private_view_key) # GitHub: 0 occurrences of "session_key" in any commit # Production server: core theft variable, all versions, since 2016
xmrwallet 백도어 — GitHub 공개 인터페이스는 정상적으로 작동하지만, 숨겨진 운영 서버에서 session_key를 유출
도표 하나로 보는 해킹 사건: 녹색 = GitHub 공개 저장소(깨끗하고, 감사를 받았으며, 신뢰할 수 있음). 빨간색 = 프로덕션 서버 — 커밋 기록에 전혀 포함되지 않았고, 감사를 받은 적도 없으며, 데이터를 유출 중 session_key 매 세션마다 운영자에게.
실시간 데모 — 익스플로잇을 재구현했습니다
브라우저에서 session_key 유출이 일어나는 과정을 지켜보세요

샌드박스 환경에서 gtag 기반 키 유출 과정을 재현해 보았습니다. DevTools → 네트워크 탭을 열고 → 지갑과 상호작용해 보세요. 영상 보기 session_key POST 요청은 실시간으로 전송됩니다. 이것이 지난 10년 동안 운영되어 온 방식입니다. 이것이 바로 “보안 감사”에서 전혀 검토하지 않았던 부분입니다. 이것이 바로 NameSilo가 공개적으로 옹호했던 내용입니다.

대화형 데모 열기

NameSilo를 설명해 준 문장

결정적 증거 — 금이 간 망치와 빛나는 따옴표
2026년 2월 17일. 단 한 문장. 등록 기관에 대한 10년간의 신뢰.

2026년 2월 16일, xmrwallet.com의 운영자는 PhishDestroy에 이메일을 보내 해당 보고서를 삭제해 줄 것을 요구했습니다. 그는 “Nathalie Roy”라는 이름으로 서명했으며, GitHub 계정은 nathroy, ID 39167759. 이에 대해 당사는 상세한 기술적 분석과 서면 경고를 통해 답변했습니다: "앞으로 어떻게 될지는 전적으로 여러분이 어떤 선택을 하느냐에 달려 있습니다."

다음 날, 그는 NameSilo와의 관계에 대해 모든 것을 말해주는 한 문장을 보내왔습니다:

“제 정보를 확인하려면 도메인 등록 기관에 소환장을 발부하셔도 좋습니다.”
— xmrwallet.com 운영자, 2026년 2월 17일
NameSilo가 그를 피해자라고 지목하기 3주 전

10년이나 된 배수기를 사용하는 사람은 아무도 없는데 $550/mo bulletproof Belize hosting, 러시아의 DDoS-Guard 뒤에 숨어 있는 그는, 이미 답을 알고 있지 않는 한, 당신에게 자신의 등록기관에 소환장을 발부해 보라고 태연하게 권유합니다. 다른 세 곳의 등록기관(PDR, WebNic, NICENIC)은 동일한 증거가 제시된 지 며칠 만에 그의 도메인 사용을 정지시켰습니다. NameSilo는 그에게 보도자료를 보내고 기록을 정리해 주겠다고 제안했습니다.

백도어가 활성화된 동안: xmrwallet은 정반대의 주장을 펼치기 위해 PR Newswire에 비용을 지불했다

2026년 1월 21일 — xmrwallet은 PR Newswire에 비용을 지불하고 다음과 같은 내용의 보도자료를 배포했다: "개인 키는 중앙 서버로 절대 전송되지 않습니다."session_key 이 기간 동안 모든 사용자 세션에서 프로덕션 서버로 POST 요청이 지속적으로 전송되었습니다. PR Newswire는 유료 배포 서비스로, 기업들이 직접 기사를 작성하고 비용을 부담하며, 편집 검토는 이루어지지 않습니다. 출처: PR 뉴스와이어, 2026년 1월 21일


NameSilo의 네 가지 거짓말, 공식 기록에 따르면

2026년 3월 13일, NameSilo의 공식 계정이 저희 조사 게시글에 댓글을 남겼습니다. 캡처 당시 조회수는 11,300회였습니다. 다음 주소에 영구적으로 보관되어 있습니다. ghostarchive.org/archive/CXXZ0. 모든 문장은 1차 자료에 의해 반박됩니다:


NameSilo는 어떤 곳인가: 미국 우편 주소를 가진 CIS 아웃소싱 업체

NameSilo LLC는 애리조나주 피닉스에 등록되어 있습니다. 이 회사는 캐나다 증권 거래소(CSE)에 Brisio Innovations(CSE:BZI)라는 이름으로 상장되어 있으며, 2025년 매출액은 6,550만 캐나다 달러를 기록했습니다. 실제 엔지니어링 팀은 여러 지역에 분산되어 있으며 러시아, 벨라루스, 우크라이나, 세르비아, 아르헨티나, 라트비아. 러시아어를 구사하는 직원 최소 13명이 확인되었다. 데브옵스 인프라에 대한 전체 접근 권한을 가진 이 인물은 NameSilo에 합류하기 전, 10년 동안 러시아의 한 금융 다단계 판매 회사의 IT 운영을 담당했다.

DevOps — 인프라에 대한 전체 접근 권한
미하일 추디노프
아르헨티나 (이전)
이전에는 SuperKopilka의 IT 책임자 — 2007~2017년 러시아 금융 다단계 사기. 붕괴 직전까지 10년 동안 자금 순환 사기를 위한 IT 시스템을 운영했다. 자칭 “암호화폐 애호가”. NameSilo 재직 당시: 모든 인프라에 대한 전체 DevOps 접근 권한을 보유했다.
전 피라미드 IT 부문 책임자, 10년
PHP 백엔드 개발자
이반 보르젠코프
러시아 브랸스크 (+7 920)
러시아에 거주하는 백엔드 개발자입니다. GitHub: ivan1986. 러시아 내에서 NameSilo 백엔드에 PHP를 통해 직접 접속할 수 있습니다.
🇷🇺 러시아 기반 백엔드 액세스
프로젝트 매니저
블라디미르 보스코프
러시아 모스크바
이전에는 Zyfra 회사 — 러시아 국영 산업 자동화 계약. 모스크바에서 미국에 등록된 도메인 등록 기관을 운영 중.
🇷🇺 모스크바 — 전직 국영 계약업체 직원
선임 프로젝트 매니저
타티아나 라부티나
세르비아 베오그라드
이전에는 ForexClub 리버텍스 — 러시아 외환 중개업체, EU 규제 당국으로부터 여러 차례 제재를 받은 바 있음. 베오그라드: 2022년 이후 러시아 전문가들의 주요 이주 거점.
전 ForexClub, 현재 Libertex
또한 확인된 사항

알렉세이 포다셰브스키 (프론트엔드) — 제재 대상 국가인 벨라루스에서, 미국에 등록된 ICANN 공인 등록 기관을 위해 근무 중입니다. 러시아, 벨라루스, 세르비아, 아르헨티나, 라트비아 전역에서 총 13명 이상의 러시아어 구사 직원이 확인되었습니다. xmrwallet 인프라 체인에는 서구권 호스팅이 전혀 포함되어 있지 않습니다.

조사 범위

518만 개 이상의 도메인 NameSilo의 전체 포트폴리오를 대상으로 분석했으며, 각 도메인은 VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish 및 SURBL과 교차 참조되었습니다.

xmrwallet PHP 백엔드 전적으로 클라이언트 측 행동 추적 데이터를 바탕으로 재구성되었습니다. 서버 접근, 소스 코드, 협력은 전혀 없었습니다. 도난 메커니즘은 관찰 가능한 네트워크 패턴만을 바탕으로 파악되었습니다.

13명의 팀원 6개국에 걸친 링크드인, 깃허브, 헤드헌터, 텔레그램, 기업 등기 정보 및 법원 기록을 상호 연계하여 분석했습니다. 트러스트파일럿 삭제 패턴 체계적인 제거 주기를 파악하기 위해 수개월에 걸쳐 추적했다. CSE:BZI 분기 보고서 도메인 포트폴리오 데이터와 교차 참조하여 매출 이상 징후를 파악했습니다. 518만 개의 도메인 6개의 위협 인텔리전스 피드를 기준으로 분석되었습니다. 모든 원시 데이터는 다음에서 공개되어 있습니다. github.com/phishdestroy/namesilo-evidence. ICANN, EU 법 집행 기관 및 3개국의 사이버범죄 전담 부서에 신고되었습니다.


도메인 이상 현상: 32.2%가 한 번도 활성화되지 않음 — 통계적 눈속임

우리는 데이터를 추출하여 분석했습니다 모든 도메인 NameSilo의 포트폴리오에 포함된 518만 개 도메인 모두를 대상으로 했습니다. 각 도메인은 VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish 및 SURBL을 통해 검사되었습니다. 원시 데이터, 조사 방법론 및 도메인별 분석 결과는 공개되어 있습니다: github.com/phishdestroy/namesilo-evidence. 결과: 도메인의 32.2%는 한 번도 활성화된 적이 없습니다 — 동종 등록 기관의 14.7–22.8%와 대비됩니다. 하루에 10,000–17,000건의 대량 등록 (최대치: 2025년 7월 19일 17,180건). 활성화되지 않은 도메인에 1,200만 달러가 지출되었으며, 아무런 용도도 없는 도메인으로 인해 연간 320만 달러의 비용이 소모되고 있습니다. 2024년, NameSilo의 파트너사인 ShortDot이 새로운 TLD(.sbs, .cfd, 도매가 약 0.50달러, 소매가 14.95달러)를 인수했을 때 = 22–31배의 가격 인상), 데드 도메인 등록 건수가 급증했다 615% 단 1년 만에.

NameSilo의 지리적 분포 및 도메인 규모 — 애리조나주 피닉스 소재 기업, CIS 팀, 518만 개 도메인
미국에 등록되어 있으며, CIS에서 운영됩니다. 580만 개의 도메인 중 32.2%는 한 번도 활성화된 적이 없습니다. 피닉스에서 모스크바, 부에노스아이레스에 이르기까지 모든 연결 고리를 이어주는 팀입니다.

PrivacyGuardian은 300만 개 이상의 도메인(등록자 정보가 pw-{hex}@privacyguardian.org). 비트코인 결제 가능. 신원 확인(KYC) 없음. 유령 도메인이 늘어날수록 악용 건수가 전체 대비 차지하는 비율이 더 작아 보이게 됩니다.

0.43% vs 총 518만
"거의 아무것도 없다"
2.34% vs HTTP-alive
43번째 사이트마다
40.9% vs 실제 기업들
정당한 접속 2.5건당 피싱 1건
금융 이상 현상: CSE:BZI

NameSilo는 2025년 매출이 6,550만 캐나다 달러라고 보고했습니다. 주가수익비율(P/E): 143.8배 vs 업계 평균 21배. 실제(활성) 도메인당 매출: 68 캐나다 달러 대 업계 평균 10–15 달러. 95개 ICANN 등록기관이 .com 도메인을 더 저렴하게 판매하고 있다. 대량의 유령 도메인 등록을 통해 수익금을 세탁하고 있다면(비트코인에서 도메인으로 전환 시 22–31배의 마크업 적용), 이는 캐나다 증권거래소에 제출된 분기 보고서에 “합법적인 등록기관 수익”으로 표기됩니다. 이러한 패턴은 문서화되어 법 집행 기관에 회부되었습니다.

NameSilo가 CSE:BZI 투자자들을 위해 “언론 보도”를 조작하는 방법 — 6단계
1
NameSilo가 보도자료를 작성합니다 자신에 대해. 3인칭 시점으로. "가장 빠르게 성장하고 있는 도메인 등록업체인 NameSilo..."
3
PR Newswire는 이를 자동으로 야후 파이낸스, 모닝스타, 스톡워치, newswire.ca — 비용을 지불한 모든 분께, 편집 검토는 없습니다.
4
야후 파이낸스는 여기에 작은 라벨 하나를 붙여 게시합니다: "이 내용은 유료 보도자료입니다."
5
NameSilo의 CSE:BZI 주식 페이지에는 이제 다음과 같은 내용이 표시됩니다. "언론 보도." "야후 파이낸스가 우리 회사를 다뤘습니다." "스톡워치가 우리 회사를 다뤘습니다."
!
아무도 그들에 대해 글을 쓰지 않았다. 그들은 스스로에 대해 글을 썼고, 이를 뉴스처럼 보이게 하려고 돈을 썼다. 다음은 등록기관이 활동 중인 모네로 탈취자를 공개적으로 옹호한 한 기업의 CSE 투자자 페이지에 실린 “언론 보도”입니다.
 805달러를 지불한 보도자료 ≠ 독립적인 저널리즘. CSE:BZI 투자자 여러분: 내용을 꼼꼼히 확인하세요.

게시한 후 무슨 일이 있었나

우리의 보도가 공개된 후, PhishDestroy가 활동하던 모든 주요 채널을 대상으로 조직적인 법적 조치 및 플랫폼 차단 캠페인이 전개되었습니다. 세 가지 조치 방식은 모두 기록 및 보관되었으며, 현재 ICANN 민원 제1479호에 포함되어 있습니다.

X / 트위터 — @Phish_Destroy 계정이 잠겼습니다. X 골드 체크마크는 구독자에게 일반 사용자에게는 제공되지 않는 우선 지원 채널을 제공합니다. 해당 채널을 통해 저희 계정에 대한 신고가 접수되었습니다. X의 자체 자동 검토 시스템이 해당 사안을 처리한 후, 서면으로 저희에게 무혐의 판정을 내렸으며 위반 사항이 없음을 확인했습니다. 그럼에도 불구하고 계정 잠금 상태는 유지되었습니다. 저희는 계정이 잠금 해제되기도 전에 무혐의 통지서를 공개했습니다. GhostArchive의 타임스탬프가 포함된 예측 내용은 ICANN #1479에 수록되어 있습니다.
Google — GDPR 정보 삭제 요청 및 DMCA 신고. GDPR에 따라 유럽의 ‘삭제권’ 요청이 제기되어, 구글이 검색 결과에서 특정 PhishDestroy 조사 페이지를 제외하도록 강제했습니다. 이와 병행하여 해당 조사 URL을 대상으로 한 DMCA 삭제 요청도 제출되었습니다. EU 개인정보 보호법을 통한 법적 압박과 미국 법을 통한 저작권 관련 압박이라는 두 가지 수단이 동시에 적용되었습니다. 조사 내용 자체에 대해서는 사실 관계 측면에서 성공적으로 이의를 제기된 적이 없습니다.
Bing — 하루 만에 108,000개의 페이지가 색인에서 제외되었습니다. phishdestroy.io 전체(색인된 페이지 108,000개)가 한 번의 일괄 조치로 Bing 검색 결과에서 삭제되었습니다. 시기가 정확히 맞아떨어졌습니다. 색인 삭제는 우리가 NameSilo 관련 보도를 공개한 시점과 정확히 일치했습니다. 점진적인 크롤링 문제도, 기술적 오류도 아니었습니다. 빙이 사전 공지 없이 처리한 단 한 건의 일괄 신고였습니다.
IPFS — 그들은 민원을 제기했습니다. 하지만 아무것도 변하지 않았습니다. ENS 도메인 및 게이트웨이 서비스에 대해 삭제 요청이 접수되었습니다. phishdestroy.eth.limo는 여전히 정상적으로 운영되고 있습니다. IPFS 콘텐츠는 SHA-256 해시를 통해 접근됩니다. 폐쇄할 서버도, 정지시킬 호스팅 계정도, 압력을 가할 등록 기관도, 연락할 CDN도 없습니다. 이 조사 자료는 Arweave, GhostArchive, Wayback Machine에 동시에 존재합니다. 분노는 무력감과 비례합니다.
플랫폼 검열 캠페인 — X 골드 체크마크, 구글 GDPR, 빙 검색 결과 제외
금색 체크 표시 하나. 세 가지 법적 수단. 10만 8천 개의 빙 검색 결과 페이지. 동일한 기사가 게시된 후 모든 플랫폼에서 해당 기사가 노출되었다. 이것이 바로 기업 자금을 뒷받침으로 한 입막음의 실상이다.
우리가 예측했었다 — 일이 일어나기 전에 GhostArchive에 타임스탬프가 기록되어 있었다

잠금 조치가 시행되기 전, 우리는 NameSilo가 사기꾼들의 억압 전술을 사용할 것이라고 예측하는 트윗을 게시하고 GhostArchive에 타임스탬프를 남겼습니다. 그들은 우리가 예상한 대로, 예정된 일정에 맞춰 정확히 그렇게 행동했습니다. 이 전략이 실제로 사용되기 전에 우리가 이를 예상했음을 입증하는, 타임스탬프가 찍힌 예측 내용은 NameSilo를 상대로 제기된 ICANN 민원(ICANN #1479)에 포함되어 있습니다.

아카이브는 건드릴 수 없습니다

모든 것이 켜져 있습니다 IPFS (phishdestroy.eth), Arweave, GhostArchive, Wayback Machine. SHA-256로 검증된 스크린샷 61장. 어떤 주장에 대해서도 성공적인 법적 이의 제기는 단 한 건도 없었습니다. 운영자나 NameSilo 측의 기술적 반박도 전혀 없었습니다. 사실에 입각한 답변은 전혀 없었고, 오직 법적 위협, 인신공격, 그리고 삭제된 트윗만 있었습니다. 원시 데이터, 팀 관련 자료, 자금 세탁 분석, 피해자 지원 자료 등이 포함된 전체 조사 보고서는 다음에서 확인하실 수 있습니다. phishdestroy.eth.limo — IPFS, Arweave, GhostArchive, Wayback Machine에 모두 미러링되어 있습니다. 이 중 어느 곳에도 ‘골드 체크마크’가 표시되지 않습니다.


Escape Domain Network: 폐쇄 수개월 전부터 준비되어 있었다

시작 2026년 2월 4일 — 해당 운영자가 PhishDestroy에 처음 연락을 취한 바로 그 주에 — 그는 4곳의 서로 다른 등록 기관을 통해 은밀히 대체 도메인을 등록하기 시작했으며, 각 도메인에 대해 5~10년 치 요금을 선불로 지불했다. 이 인프라는 어떤 단일 차단 조치에도 견딜 수 있도록 설계되었으나, 수사 과정에서는 버티지 못했다.

모든 증거를 포함한 초기 기술적 분석: github.com/phishdestroy/DO-NOT-USE-xmrwallet-com

Escape Domains — 수사 개시 후 등록된 도메인
도메인 등록 담당자 선불 IP 상태
xmrwallet.cc 퍼블릭도메인레지스트리 8년 185.129.100.248 일시 중지됨
xmrwallet.biz WebNic.cc 5년 190.115.31.40 일시 중지됨
xmrwallet.net NICENIC 인터내셔널 10년 190.115.31.40 ← DNS 중단
xmrwallet.me Key-Systems GmbH 10년 185.129.100.248 ← ACTIVE — 학대 신고 접수됨

IP 클러스터링: 185.129.100.248 .cc와 .me에서 공유됨 — 동일한 호스트. 190.115.31.40 .biz와 .net이 공유 — 동일한 호스트. 등록 대행사 4곳, IP 클러스터 2개. 33년치 선불 등록. 모두 수사관들과의 첫 접촉 이후 비밀리에 등록됨.


돈으로 산 평판: 위키백과, 포브스, 그리고 15건 이상의 협찬 기사

NameSilo의 대중적 평판은 조작된 것입니다. 위키백과: 유료/홍보 표시. 포브스: “당사는 수수료를 받습니다”라는 제휴 공개 문구. SmartCustomer: 1.8/5 — 구글 검색 결과에는 부정적인 내용이 전혀 없습니다.

위키백과 — 편집자들에 의해 홍보성 내용으로 표시됨

NameSilo에 대한 위키백과 문서가 있습니다 — 편집자가 유료/홍보 기사로 표시함, 중립적인 편집 보도가 아닙니다. 편집 내역 (보관됨): en.wikipedia.org/w/index.php?title=NameSilo&action=history

포브스 어드바이저 — 제휴 수수료 공개

NameSilo는 포브스 어드바이저(Forbes Advisor)에 다음과 같은 명확한 제휴 공개 내용을 함께 게재했습니다: "포브스 어드바이저는 엄격한 편집 윤리 기준을 준수합니다... 당사는 수수료를 받습니다." 포브스 어드바이저는 사용자가 해당 링크를 통해 가입할 때 수익을 얻게 되며, 이는 긍정적인 보도를 유도하는 직접적인 금전적 유인이 됩니다. 출처: forbes.com/advisor/business/software/namesilo-review/

SmartCustomer: 1.8/5 — 구글 검색 결과에서 부정적인 내용이 전혀 없음

NameSilo는 SmartCustomer에서 1.8/5점의 평점 — 출처: smartcustomer.com/reviews/namesilo.com. 기록상 수십 건의 부정적 리뷰가 있음에도 불구하고, 구글 검색 결과에는 부정적 보도가 단 한 건도 나타나지 않는다. 이는 우리 조사에 적용된 것과 동일한 GDPR 및 DMCA 도구를 이용한 적극적인 은폐 조치 때문이다.

PR Newswire — 자체 발행, 유료, 편집 검토 없음

NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF — NameSilo LLC의 상장 모회사)는 기업 공지를 위해 PR Newswire를 이용합니다. PR Newswire는 유료 배포 서비스로, 회사가 보도자료 내용을 작성하고 게재 비용을 지불합니다. NameSilo Technologies의 유료 보도자료 예시:

동일한 수법: xmrwallet은 2026년 1월 21일, 백도어가 실행 중이던 시점에 PR Newswire를 통해 표지 기사(“개인 키는 중앙 서버로 절대 전송되지 않는다”)를 게재했다. 운영자가 작성한 글을 뉴스 가치가 있는 콘텐츠인 양 포장하여 유료로 배포한 것이다.


세 가지 직책. 하나의 회사. 이 세 직책은 서로 접촉할 때마다 모두 사라져 버린다.

NameSilo는 일관된 입장을 유지하지 못했다. 그들은 당시 직면한 법적 위험의 정도에 따라, ‘자신감 넘치는 전문가’, ‘위협받는 피해자’, ‘겸손한 공직자’라는 서로 상반되는 세 가지 입장을 차례로 내세웠다.

1
2026년 3월 — 자신감 넘치는 전문가의 입지
NameSilo의 악용 대응 팀은 확정되었다 해당 도메인이 해킹당했습니다. 그들은 해킹 사건을 조사했습니다. 등록자가 피해자라는 사실을 알고 있습니다. 그들은 VirusTotal에서 탐지된 항목을 제거하도록 도와주기 — 이는 그들 자신의 논리에 따르면, 해당 도메인을 위험으로 표시한 모든 안티바이러스 업체보다 그들이 더 권위적이라는 뜻이다. 신뢰 수준: 절대적.
2
2단계 — 법적 위협 (공개 트윗, 2026년 5월 11일)
@namesilo — 공식 골드 체크마크 계정 — 2026년 5월 11일 · 조회수 417회 · 댓글 107개

"귀하의 주장은 허위이며, 비방적이고 명예를 훼손하는 내용입니다. NameSilo는 접수된 모든 악용 신고에 대해 조치를 취하고 검토합니다. 해당 사례가 있다면 abuse@namesilo.com으로 신고해 주시기 바랍니다. 그렇지 않은 경우, 웹사이트 호스팅 업체나 등록자에게 직접 문의해 주십시오. 또한 당사에 대한 허위 주장을 중단해 주시기 바랍니다. 그렇지 않을 경우, 당사는 법적 조치를 취할 수밖에 없습니다."

해킹 사건을 조사하고, 등록자를 피해자로 특정하며, 그가 VirusTotal의 탐지 결과를 제거할 수 있도록 도와주던 그 자신감 넘치던 전문가는 이제 그저 평범한 악용 신고 수신함으로 전락해 버렸다. 조사는 물거품이 되었고, 전문성도 사라졌다. 남은 것은 법적 위협뿐이었다.
3
ICANN의 답변 — ‘겸손한 처리자’ 입장
이제 그들은 보고서를 처리하고 있습니다. 이제 그들은 피싱 여부를 판단할 수 없습니다. 이제 그들은 호스팅 업체에 판단을 맡기고 있습니다. 그 팀은 모든 주요 안티바이러스 업체보다 우수한 성능을 보여 해당 도메인이 안전하다고 결론지었다 지금은 너무 겸손해져서 전화를 걸지 못한다. 이건 무능함이 아닙니다. 무능함은 일관된 것이죠. 이것은 청중마다 선택된 태도일 뿐입니다.
핵심 모순 — 둘 중 하나를 선택하라, NameSilo

만약 귀하의 학대 대응 팀이 그럴 능력이 있었다면 광범위하고 심층적인 검토를 수행하고, 해당 도메인이 해킹당한 사실을 확인하며, 등록자를 피해자로 파악한 뒤, 해당 등록자가 VirusTotal에서 탐지된 항목을 제거할 수 있도록 지원하기 시작합니다. — 그렇다면 당신은 이 도메인을 악성 도메인으로 표시한 모든 안티바이러스 업체들보다 더 권위 있고 기술적으로 더 유능하다고 명시적으로 주장하는 셈입니다.

나중에 “자신이…”라고 주장할 수는 없습니다. 보고서를 간편하게 처리하기 그리고 피싱을 식별할 전문 지식이 부족하다. ICANN에 제기된 이 민원은 귀하가 갖추지 못한 역량을 요구하는 것이 아닙니다. 이는 귀하가 명백히 갖추고 있는 역량을 왜 피해자가 아닌 사기꾼을 돕는 데 사용했는지를 묻는 것입니다.


트러스트파일럿: 봇 팜들 간의 경쟁

예시: “패티 존슨” — 미국 프로필, 총 2건의 리뷰

NameSilo에 별 5개 한 개 (2026년 1월): “레오니드는 정말 큰 도움이 되었어요… 별 5개!” 또 다른 리뷰: Otrium에 대한 것 — 사기 및 자금 횡령 의혹이 제기된 회사입니다. 봇 계정 하나, 사기성 사업체 두 곳. 공통된 양상: 이름이 명시된 지원 담당자, 빠른 응답 시간에 대한 칭찬, 정형화된 문구. 실제 도메인 구매자들은 가격과 패널 사용자 경험을 평가합니다. 봇 리뷰들은 “Leonid”를 칭찬합니다.

데이터 분석 — NameSilo 리뷰 2,280건 대 Namecheap 리뷰 2,480건

미터법 NameSilo Namecheap
별점 5개 리뷰88.9%74.0%
별 1개 리뷰7.2%16.7%
단일 검토 계정62.4%59.6%
아바타 없음 (신규 계정)67.3%51.5%
지원/서비스에 대한 후기70.0%60.2%
가격/비용에 대한 리뷰9.8%37.5%
“레오니드”라는 이름의 요원5.7%0.0%
미국 위치 정보35.1%26.5%
레오니드 이상 현상

레오니드는 2025년 4월 13일에 등장했다. 그 전에는 그에 대한 언급이 전혀 없었다. 그런데 등장한 지 첫 두 달 만에 65건의 리뷰가 달렸다. 2025년 5월: 리뷰 106건(평소보다 5배), 95%가 별 5개, 별 1개는 0건. .com 도메인 가격 부문에서 96위를 차지한 이 등록업체에 대한 106건의 리뷰 중 불만족한 고객은 단 한 명도 없었다.

레오니드에 대한 리뷰 중 43%는 80자 미만입니다. 그중 네 건은 제목만 “레오니드”. 세 개 더: “레오니드는 정말 큰 도움이 되었습니다.” 리뷰어 목록에는 “사토시 나카모토”, “저자”, “Виктор -”, “안나 코롤레바”, “보리스 마틴”, “안드레이 도브레스쿠”와 함께 “브래드”, “라토야”, “패티 존슨” 등이 섞여 있다. 대륙을 넘나드는 이름 생성기. ‘레오니드’는 러시아 이름이다.

홍콩: 리뷰 57건. 57건 중 57건이 별 5개. 통계적으로 불가능한 일.

별 4개 평가 0개. 별 3개 평가 0개. 그 외 평가도 0개. 91%가 단 한 건의 리뷰만 남긴 계정. 7년 이상. 중국: 별 5개 평가 94%, 단 한 건의 리뷰만 남긴 계정 80%. 싱가포르: 별 5개 평가 95%. 중국어권 시장에서 모인 총 168건의 리뷰 — 거의 전부가 조작된 것이다.

왜 중국일까요? NameSilo는 중국에서 적극적으로 마케팅을 펼치고 있습니다: namesilo-china.com, bcbay.com/namesilo, 유료 중국어 블로그 게시물, 중국어 위키백과 문서. 수사관들이 “누가 422만 개의 폐기 도메인을 사가는가?”라고 묻자, NameSilo는 중국을 지목한다. 트러스트파일럿(Trustpilot) 데이터에 따르면, 이 회사는 2019년부터 한 번에 한 건씩 가짜 리뷰를 올리며 이러한 알리바이를 쌓아온 것으로 나타났다.

독립적인 Claude API 포렌식 분석 — 블라인드 테스트

Claude API에 제출된 NameSilo 리뷰 2,480건과 Namecheap 리뷰 2,480건은 “A사”(NameSilo)와 “B사”(Namecheap)로 익명 처리되었습니다. AI는 어느 것이 어느 회사인지 전혀 알지 못했습니다.

법의학적 지표 NameSilo (A) Namecheap (B)
5성급 비율89.1%74.0%
1성급 비율7.1%16.7%
5점을 주는 일회용 계정들92%~65%
가격을 언급한 리뷰11.2%39.2%
리뷰에서 단독으로 언급된 제품레오니드: 168없음
5성급 어휘 다양성 (TTR)0.073~0.15
HK: 100% 5성급57/57해당 사항 없음
2025년 5월–6월 급증 (평소보다 5배)215건의 리뷰없음
AI 조작에 대한 판결92%15%
AI 포렌식 결론 — 원문 그대로

“A사는 조직적인 조작을 통해 인위적으로 데이터를 생성함으로써 체계적인 검토 결과를 조작했다는 광범위하고 다차원적인 증거를 보여주고 있다. 이러한 패턴이 자연적으로 발생할 확률은 거의 제로에 가깝다.”

전체 분석: phishdestroy.eth.limo/namesilo-trustpilot.html · 원시 데이터: trustpilot-forensic-report-final.txt


수사를 통해 얻은 성과

xmrwallet.com — 운영 종료

PhishDestroy의 조사와 보도 이후, xmrwallet.com은 운영을 중단했다. 운영자는 작별 인사를 남겼는데, 주목할 점은 더 이상 “나탈리 로이(Nathalie Roy)”라는 이름으로 서명하지 않았다는 것이다. 수년 동안 xmrwallet의 대외적 얼굴이었던 이 신원은 조용히 사라졌다. 아무런 설명도 없었다.

도메인이 이제 GitHub로 연결됩니다 — 세 번째 시도 끝에

xmrwallet.com은 결국 GitHub 저장소로 리디렉션되었는데, 이곳은 지난 10년 동안 “오픈소스”라는 알리바이 역할을 해온 바로 그 공개된 외관이었다. 세 번의 시도가 필요했다. 해당 저장소는 5년 리디렉션 이전에는 커밋도, 업데이트도, 유지보수도 없었습니다. 이는 실제 코드가 감사받지 않은 운영 서버에만 존재했으며, 대중의 검토를 목적으로 한 적이 전혀 없었던 프로젝트의 특성과 일치합니다.


도메인을 옮긴다고 해서 이 문제가 해결된 것은 아닙니다. 오히려 영구적인 문제가 되어버렸습니다.

xmrwallet.com은 2026년 5월에 Namecheap으로 이전되었으며, 2036년까지 등록되어 있습니다. NameSilo는 이 문제가 해결된 것으로 간주하는 듯합니다. 그렇지 않습니다.

모든 안티바이러스 업체보다 뛰어난 성과를 내는 전문가들이 도메인이 옮겨졌다고 해서 그만둘 거라고 생각했나요? 이 사건은 IPFS에서 조사 중입니다. Arweave에서도 조사 중입니다. ICANN의 공식 민원 처리 시스템에서도 처리 중입니다. EU 법 집행 기관에서도 조사 중입니다. 3개국의 사이버 범죄 전담 부서에서도 조사 중입니다. 법적 위협으로 인해 해당 파일에 타임스탬프가 하나 더 추가되었습니다. 도메인 이전으로 인해 증거 자료가 하나 더 추가되었습니다. 이 조사를 억압하기 위해 취해진 모든 조치는 그 자체로 우리가 설명한 패턴을 입증하는 문서화된 증거입니다.

이 상황에서 여러분이 가장 똑똑한 사람들은 아니었습니다. 그저 한동안 돈이 더 많았을 뿐입니다.

전체 조사 내용 보기 phishdestroy.eth.limo GitHub의 증거 피해 사례 신고하기
독립 조사 공고
PhishDestroy · 비상업적 보안 연구

이것에 대해 돈을 낸 사람은 아무도 없습니다. 본 조사는 어떠한 당사자로부터도 자금 지원, 편집상의 지시, 또는 제공된 원고를 받지 않았습니다. NameSilo가 직접 자금을 지원하는 ‘포브스 어드바이저(Forbes Advisor)’ 및 ‘PR 뉴스와이어(PR Newswire)’의 기사와는 달리, 본 기고자는 NameSilo와 어떠한 금전적 관계도 없으며, 해당 기업의 입장에 맞춰 기사를 작성할 의무도 전혀 없습니다.

모든 것이 문서화되어 있습니다. 모든 사실 주장은 서버 응답, 포렌식 캡처, 공공 기록, 악용 신고 기록, 그리고 본문 내에 인용된 1차 자료 등 검증 가능한 증거로 뒷받침됩니다. 허위 내용은 전혀 없습니다. 출처에는 링크가 첨부되어 있습니다. 증거 자료는 IPFS에 보관되어 있습니다. 독립적인 검증을 권장합니다.

“우리에 대한 거짓말을 퍼뜨리는 것을 중단하십시오. 그렇지 않으면 법적 조치를 취할 수밖에 없습니다.” — NameSilo, 이번 조사에 대한 답변

정말 소름 끼치네요. 우리는 NameSilo의 모든 운영 능력을 목격했습니다. 트위터/X 계정을 정지시키고, 포브스 기사를 매수하고, 트러스트파일럿에 자사 리뷰를 직접 작성하고, 바이러스토탈의 탐지 결과를 삭제하고, 단 한 번의 트윗에 명백히 거짓인 주장을 네 가지나 게시하는 등 말이죠.

“거짓말”에 관해 말하자면, 여기 있는 내용은 모두 사실입니다. 만약 귀사의 제품을 정확하게 보도하는 것이 명예훼손에 해당한다면, 귀사가 모든 유료 기사에서 제외해 놓은 바로 그 관리자 패널을 직접 열어보십시오. 그 자체만으로도 우리의 주장을 입증해 줄 것입니다.

귀사는 이 저자에게 원고료를 지급하지 않았습니다. 원고도 제공하지 않았습니다. 독자적인 연구에 대한 권리도 없습니다. 하지만 귀사에게는 ICANN과 등록자들에 대한 의무, 그리고 도메인 등록기관을 규율하는 법률에 따른 의무가 있습니다. 정확한 보도가 불편하다는 이유만으로 이러한 의무가 사라지는 것은 아닙니다.

법적 조치에 관하여: 이 조사 자료는 5~7개의 IPFS 노드에 보관되어 있습니다. NameSilo가 콘텐츠 삭제 절차에 익숙한 것으로 확인되었으므로, 우선 그곳부터 시작해 보시는 것을 권장합니다. 어떻게 진행되는지 이미 잘 알고 계시겠죠. 기다릴게요.

더 명확하게 설명하자면 — 여러분의 언어로 말하자면:

PhishDestroy는 비영리 연구 프로젝트입니다. 저희는 오류가 없거나 절대적인 확실성을 보장하지 않습니다. 이 조사의 어조가 다소 직설적일 수 있다는 점을 저희도 잘 알고 있습니다. 저희는 특정 관점을 강요하지 않습니다. 관련 자료와 1차 자료를 검토하신 후 스스로 결론을 내리시기를 권장합니다. 무죄 추정의 원칙이 적용됩니다. 이는 저희가 상당한 시간을 들여 진행한 조사 결과이자 관찰 내용이며, 주관적인 비교 분석입니다.

모든 증거와 IPFS 아카이브를 포함한 전체 조사 내용: phishdestroy.eth.limo