본문으로 건너뛰기
뉴스로 돌아가기
학대 신고가 무산될 때 — 등록기관의 대응 실패
조사 • 읽는 데 15~18분 소요

신뢰할 수 없는 신고 처리: 등록기관이 사이버 범죄의 묵인하는 공범이 되는 방식

우리는 VirusTotal 탐지 결과, 스크린샷, 블랙리스트 데이터, 안티바이러스 검사 결과 등 증거가 가득 담긴 악용 신고서를 보냅니다. 등록 기관들은 이를 접수하고도 아무런 조치도 취하지 않습니다. 일부 피싱 도메인은 여전히 활동 중입니다. 1,788시간 그리고 13건의 별도 보고서. 이것은 시스템 오류가 아니라 설계상의 선택입니다. 관련 데이터는 다음과 같습니다.

부실한 시스템

우리가 제출하는 모든 악용 신고는 명확한 절차에 따라 작성됩니다: 도메인 URL, 카테고리(피싱, 암호화폐 탈취, 가짜 카지노), VirusTotal 탐지 횟수, 스크린샷 증거, 블랙리스트 등록 여부 등이 포함됩니다. 이는 막연한 불만이 아니라, 포렌식 증거 자료입니다. 그런데도 수많은 도메인이 계속해서 온라인 상태를 유지하고 있습니다. 몇 주, 몇 달 첫 번째 보고 이후.

등록기관이 악용 신고를 어떻게 처리해야 하는지에 대한 보편적인 기준은 없습니다. SLA도 없고, 의무적인 응답 시간도 없으며, 책임성 평가 지표도 없습니다. 각 등록기관은 신고된 도메인에 대해 자체적으로 결정합니다. 16개의 바이러스 백신 엔진 주목할 만한 사안입니다 — 아니면 정형화된 답변과 함께 티켓을 종결해야 합니다.

1,788시간
payscrow[.]bet — 6건의 신고와 16건의 VirusTotal 탐지 기록이 있음에도 불구하고 75일 동안 활성 상태를 유지하고 있습니다. 등록 기관: Tucows / Identity Digital.

16개의 안티바이러스 엔진을 모두 능가하는 것은 무엇일까요?

이 질문은 어떤 등록기관도 대답하고 싶어 하지 않는 질문입니다. 언제 카스퍼스키, ESET, 포티넷, 비트디펜더, 소포스, G-Data 그리고 VirusTotal에서 10개의 보안 업체가 해당 도메인을 악성 도메인으로 표시하자, 등록 기관의 악용 대응 팀은 다음과 같이 결정했다 "별도의 조치가 필요하지 않습니다" — 도대체 누가 그 결정을 내린 건가요?

이 얼마나 터무니없는 일인지 생각해 보십시오. 등록 기관의 단 한 명의 악용 분석가가 다음 기관들이 종합적으로 제공한 위협 인텔리전스를 무효화해 버리는 것입니다. 16개의 독립적인 바이러스 백신 엔진, 각각 수십억 개의 데이터 포인트와 전담 연구소, 수십 년의 경험을 보유하고 있습니다. 도대체 어떤 근거로 그런 주장을 하는 것입니까? NiceNIC이나 GlobalDomainGroup의 악용 대응 팀이 카스퍼스키를 능가하는 어떤 스캐닝 인프라를 운영하고 있다는 것입니까?

정답은 간단합니다. ‘없음’입니다. 그들은 스캔도 하지 않고, 확인도 하지 않습니다. 보고서를 아예 보지도 않거나, 단순히 재무적 계산만 적용할 뿐입니다. 즉, 활성 도메인은 수익을 창출하지만, 정지된 도메인은 그렇지 않다는 식입니다.

farewex[.]com — 악용 신고 13건 접수. VirusTotal 탐지 결과 13건. 1,352시간(56일) 동안 활성 상태. 등록기관(apiname.com / Verisign)은 안티바이러스 업체, 위협 인텔리전스 플랫폼 및 ICANN 규정 준수 부서로부터 관련 증거를 접수했습니다. 해당 도메인은 여전히 활성화되어 있습니다. 도대체 누가 이런 게 괜찮다고 결정한 건가요?

이것이 무엇을 의미하는지 명확히 짚어보자. 등록 기관의 누군가가 13개 독립 보안 업체가 제시한 증거와 13건의 별도 악용 신고를 검토한 후, 자신의 판단이 더 낫다고 결론 내린 것이다. 이는 실수가 아니다. 바로 정책이다.

그들이 존중하는 권위는 없다

등록 기관들이 권위 있는 것으로 인정하는 안티바이러스 업체를 딱 하나만 꼽아 보세요. 못 하실 겁니다. 그런 업체는 없기 때문이죠.

  • 카스퍼스키 — 도메인을 감지하나요? 무시됨.
  • ESET — 피싱으로 표시되나요? 무시합니다.
  • 포티넷 — 네트워크 수준에서 차단하나요? 무시됨.
  • BitDefender — 수백만 명의 사용자에게 경고? 무시당했다.
  • Google Safe Browsing — 지구상에서 가장 큰 웹 보안 시스템? 여전히 무시당하고 있다.

~가 있다 검출 한계 없음 이 경우 등록기관은 조치를 취할 의무가 있습니다. 5개도 아니고, 10개도 아니고, 16개도 아닙니다. 도메인이 VirusTotal에 등록된 모든 안티바이러스 업체에 의해 경고 표시가 붙고, 여러 블랙리스트에 등재되며, 수십 건의 악용 신고가 접수되더라도, 등록기관은 법적으로 강제할 수 있는 어떠한 조치도 취할 의무가 없습니다.

이는 시스템상의 결함이 아닙니다. 이것이 바로 그 시스템입니다. 도메인 등록 업계는 보안 연구원, 안티바이러스 업체 또는 위협 인텔리전스 플랫폼의 조사 결과를 존중하도록 요구하는 어떠한 구속력 있는 기준도 성공적으로 회피해 왔습니다. 70개 엔진 중 16개가 특정 도메인을 탐지했다면, 이는 ‘어쩌면’이 아닙니다. 이는 명백한 합의입니다. 그러나 스캔 인프라가 전혀 없고 도메인을 유지하는 데 경제적 이해관계를 가진 등록기관의 악용 대응 팀은 그 합의를 무시하고 있습니다.

0
등록 기관이 조사 결과를 제공하는 안티바이러스 업체의 수는 의무가 있는 조치를 취할 수 있는 곳은 없습니다. 카스퍼스키도 아니고, ESET도 아니고, 구글도 아닙니다. 하나도 없습니다.
업계의 침묵의 벽 — 5만 개 이상의 신고된 도메인이 여전히 온라인 상태이며, NiceNIC, Tucows, GlobalDomainGroup, apiname, Porkbun, Dynadot, Endurance에 의해 차단됨
5만 건 이상의 악용 신고가 접수되었습니다. 등록기관 방어벽은 여전히 견고합니다. 도메인은 계속 온라인 상태를 유지하고 있습니다.

재정적 인센티브

도메인 등록 기관은 모든 도메인에 대해 연간 수수료를 부과합니다. 도메인이 정지될 때마다 수익 손실이 발생합니다. 도메인이 제거될 때마다 환불 위험이 따릅니다. 도메인을 활성 상태로 유지해야 할 직접적이고 측정 가능한 재정적 유인이 있는 반면, 악용 신고를 무시해도 재정적 불이익은 없습니다.

모든 인프라 제공업체가 그런 것은 아닙니다. Cloudflare예를 들어, 이 회사는 악용 신고를 효율적으로 처리하지만, 도메인 등록을 통해 수익을 창출하지는 않습니다. 이러한 차이는 중요합니다. 신고를 처리하는 회사가 해당 도메인이 온라인 상태를 유지하는 데서 이익을 얻는다면, 이는 구조적인 이해 상충입니다.

증거: 보고서에서 추출한 실시간 데이터

다음은 2026년 3월 악용 사례 에스컬레이션 로그의 일부입니다. 각 항목은 실제로 확인된 피싱 도메인을 나타내며, 아직 활동 중 보도 시점에는, 이전 보도와 확인된 탐지 사례에도 불구하고.

도메인보고서활성 시간 (시간)VTBL등록기관 악용
payscrow[.]bet61,788시간16Tucows
6chicken9[.]top41,783시간41지구력
apphyena[.]trade21,781시간3NiceNIC
airdrop[.]autos31,364시간41Gname
amlstats[.]com71,363시간141Tucows
amlscore[.]info71,363시간91Tucows
amlwallets[.]io41,363시간101nic.io
aavleaderboard[.]assetavenue[.]capital21,359시간1IdentityDigital
airdropchime[.]com21,359시간1Namecheap
farewex[.]com131,352시간13apiname.com
app[.]whitewhalesmeme[.]com41,330시간14베리사인
zordex[.]us31,314시간14apiname.com
alhpatrademarket[.]com21,278시간15GlobalDomainGroup
angelferno[.]com21,278시간71NiceNIC
ansol[.]cc41,278시간41NiceNIC
amltrackerbot[.]com21,278시간61Tucows
amlstatement[.]info41,228시간16Porkbun
a8vx[.]top21,049시간16Dynadot
amlinfo[.]now21,033시간2Porkbun
xwinner[.]cc41,026시간14GlobalDomainGroup
xerowex[.]com61,021시간14apiname.com
menty[.]sbs4985h16gen.xyz
perowex[.]com5971h14apiname.com
amlbot[.]im4965h6nic.im
3capitalstrading[.]com2879h2GlobalDomainGroup
naebex[.]com5826h11PDR
casbatle[.]com2803h2NiceNIC
amlchecknow[.]digital2751h6PDR
sollfalare[.]top2730h3지구력
marketcsgo[.]net2717h15GlobalDomainGroup
dinadrop[.]com2717h6GlobalDomainGroup
dotabuff[.]org2674시간2PIR
casesbattle[.]org2652h2PIR
763182819[.]top2618시간15Gname
kahcas[.]com5539h14INWX
qizaro[.]cc5535h12GlobalDomainGroup
apexresolvefix[.]com2496시간3코스모타운
amlriskscore[.]ru2448시간1cctld.ru
patricksstash[.]to2427h2tonic.to
stashhpatrick[.]cc2427h5NiceNIC
stake2win[.]me2402h14domain.me
wazbee[.]me2388시간16domain.me
dexscreener[.]at2328시간16nic.at
2fa[.]walletpinet[.]com116베리사인
appether[.]fi1131

VT = 약 70개의 분석 엔진을 통해 VirusTotal에서 탐지된 건수. “Active” = 에스컬레이션 시점에 첫 탐지 이후 경과한 시간(시간 단위). 데이터 출처: PhishDestroy 악용 사례 에스컬레이션 로그, 2026년 3월 19일~21일.

숫자는 거짓말을 하지 않는다

평균 활동 시간

943h

활동 시간이 확인된 모든 도메인의 평균 약 39일

최대 활동 시간

1,788시간

payscrow[.]bet — 75일, 6건의 신고, VT:16

전송된 보고서 총 수

150+

이 표본 내 모든 영역에 걸친 통합 보고서만으로도

VT가 10 이상인 도메인

22

전체 도메인의 거의 절반 — 10개 이상의 안티바이러스 엔진에 의해 악성으로 확인되었으나 여전히 활성 상태

재범자들: 등록 담당자별 분석

모든 등록기관이 똑같은 것은 아닙니다. 당사의 데이터에 따르면 뚜렷한 패턴이 드러나는데, 일부 등록기관은 성과가 가장 저조한 항목에 반복적으로 등장합니다.

apiname.com

  • farewex[.]com — 1,352시간, 13건의 신고, VT:13
  • zordex[.]us — 1,314시간, 신고 3건, VT:14
  • xerowex[.]com — 1,021시간, 신고 6건, VT:14
  • perowex[.]com — 971시간, 신고 5건, VT:14

4개 도메인. 총 4,658시간에 달하는 범죄 인프라 활동. 27건의 신고가 무시됨.

GlobalDomainGroup

  • xwinner[.]cc — 1,026시간, VT:14
  • marketcsgo[.]net — 717시간, VT:15
  • dinadrop[.]com — 717시간, VT:6
  • qizaro[.]cc — 535h, VT:12
  • csgomy[.]com — 356시간, VT:9
  • tastdrop[.]com — 357시간, VT:2
  • casebatle[.]com — 327시간, VT:6
  • casebatltle[.]com — 327시간, 조회수: 2
  • chestix[.]net — 293시간, VT:1
  • ggddrop[.]com — 365시간, 조회수: 1

10개의 도메인. 우리 데이터셋에서 가장 큰 단일 클러스터입니다. 우연이 아닌, 일정한 패턴입니다.

Tucows / IdentityDigital

  • payscrow[.]bet — 1,788시간, 6건의 신고, VT:16
  • amlstats[.]com — 1,363시간, 7건의 신고, VT:14, BL:1
  • amlscore[.]info — 1,363시간, 7건의 신고, VT:9, BL:1
  • amltrackerbot[.]com — 1,278시간, 신고 2건, VT:6, BL:1

Tucows: 총 22건의 신고, 5,792시간에 달하는 사기 행위. amlstats는 7건의 신고(주당 1건)를 접수했으나, 모두 무사히 극복했습니다.

NiceNIC (nicenic.net)

  • apphyena[.]trade — 1,781시간, VT:3
  • angelferno[.]com — 1,278시간, 방문자 수: 7, 블록 수: 1
  • ansol[.]cc — 1,278시간, 신고 4건, VT:4, BL:1
  • casbatle[.]com — 803h, VT:2
  • stashhpatrick[.]cc — 427시간, VT:5
  • casebaetle[.]com — 310시간, VT:2
  • casebattle[.]info — 첫 번째 보고서, VT:1
  • appalmanak[.]live — 첫 보도, VT:2

8개 분야. 총 5,877시간 이상. 이전에 조사된 내용: NiceNIC 평가 결과 — 합법적인 용도가 하나도 발견되지 않았습니다.

Porkbun

  • amlstatement[.]info — 1,228시간, 신고 4건, VT:16
  • amlinfo[.]now — 1,033시간, 신고 2건, VT:2
  • amlspace[.]com — 712시간, 신고 2건, VT:1

amlstatement[.]info: 16건의 바이러스 탐지, 4건의 신고, 51일간의 온라인 활동. Porkbun의 악용 대응 팀은 무엇을 허용 가능한 것으로 판단했을까요?

Dynadot

  • a8vx[.]top — 1,049시간, 신고 2건, VT:16
  • aave[.]events — 첫 번째 보고서, VT:2, BL:1
  • aavetrading[.]net — 첫 번째 보고서, VT:9

a8vx[.]top: 16건의 VT 탐지 및 44일간의 범죄 활동. Dynadot은 ICANN 공인 등록기관입니다.

domain.me

  • wazbee[.]me — 388시간, VT:16
  • stake2win[.]me — 402시간, VT:14

두 도메인 모두 14~16건의 바이러스 탐지 기록이 있습니다. 두 도메인 모두 두 번째 보고 이후에도 여전히 활성 상태입니다.

사이버 범죄의 숨은 공범들 — ABUSE IGNORED Hub에 연결된 등록 기관들의 네트워크 다이어그램 (수 시간 동안 아무런 조치도 취하지 않은 상태)
모든 노드는 ICANN 인증 등록기관입니다. 모든 숫자는 악용 신고가 접수된 후에도 온라인에 남아 있는 확인된 범죄 인프라의 운영 시간(시간 단위)을 나타냅니다.

등록 담당자의 미처리 시간 합계

NiceNIC
5,877시간
Tucows
5,792시간
GlobalDomainGroup
5,520시간 이상
apiname.com
4,658시간
Porkbun
2,973시간
지구력
2,513시간
Dynadot
1,049시간+
domain.me
790h

2026년 3월 데이터셋에 포함된 등록기관별, 보고된 모든 도메인의 총 활성 시간입니다. 이는 등록기관의 전체 악용 사례를 나타내는 것이 아니라, 단지 하나의 표본에서 관찰된 내용일 뿐입니다.

우리가 보내는 것과 그들이 하는 것

모든 PhishDestroy 악용 신고에는 다음 내용이 포함됩니다:

본 보고서에는 다음 내용이 포함되어 있습니다.

  • 도메인 URL 및 등록 정보
  • 공급업체명이 포함된 VirusTotal 점수
  • 피싱 사이트의 전체 화면 스크린샷
  • 카테고리 분류 (피싱, 자금 탈취, 사기 카지노)
  • 여러 피드에서 확인된 블랙리스트 상태
  • URLscan.io 또는 이와 유사한 스캔 결과
  • 이전 보고서 내역 및 일지

등록처의 답변

  • 아예 반응이 없음 (가장 흔한 경우)
  • 템플릿 확인, 조치 불필요
  • "검토하겠다" — 몇 주가 지나도 도메인은 그대로
  • "해당 주장을 확인할 수 없습니다" — 16건의 VT 탐지 기록이 있음에도 불구하고
  • 해결되지 않은 상태로 티켓이 종료되었습니다
  • 이미 제출된 증거에 대한 요청

등록 기관의 미조치로 인해, 우리는 다음 단계로 조치를 취합니다. ICANN 규정 준수 (compliance@icann.org). 위에 제시된 모든 사례에서, 두 번째 또는 그 이후의 보고서에는 ICANN이 참조(CC)로 포함되었습니다. 결과는 어땠을까요? 마찬가지로 아무런 성과도 없었습니다.

존재하지 않는 ICANN 표준

ICANN의 등록기관 인증 계약(RAA), 제3.18조 등록기관은 악용 관련 연락처를 유지해야 하며, 악용 신고에 대해 “합리적이고 신속한 조치를 취하여 조사하고 적절히 대응”해야 합니다.

실제로 “합리적이고 신속한”이란 표현은 등록기관이 어떻게 해석하느냐에 따라 그 의미가 달라집니다. 다음과 같은 경우가 있습니다:

  • 최대 응답 시간 없음 — 등록 기관은 몇 주를 기다린 뒤에도 그것이 “합리적”이었다고 주장할 수 있다
  • 의무적 정지 기준 없음 — VT 감지가 16회 발생했다고 해서 자동으로 어떤 조치도 취해지지는 않습니다.
  • 공개 보고 의무 없음 — 등록기관은 접수한 신고 건수나 이에 대해 취한 조치 내용을 공개할 의무가 없다
  • 실질적인 제재가 없다 — ICANN은 남용에 대한 조치 미이행으로 인해 인증을 취소한 사례가 거의 없다

그 결과, 등록기관들은 악용 사례 처리를 이행해야 할 안전상의 의무가 아니라 최소화해야 할 비용 요인으로 간주하고 있다.

표준은 다음과 같아야 한다: 24시간 내 접수 확인. VT가 10 이상인 도메인의 경우 72시간 내 조치. 3건 이상의 독립적인 신고가 접수되면 자동 정지. 악용 지표에 대한 분기별 공개 보고. 체계적인 규정 미준수 시 재정적 제재.

오타 도용에는 대응하지만 피싱에는 대응하지 않는다

이 상황을 더욱 터무니없게 만드는 점은 바로 이것입니다. 피싱 신고를 몇 달 동안이나 무시해 온 바로 그 등록기관들 중 일부가, 특정 유형의 악용 사례에 대해서는 놀라울 정도로 효율적으로 대응하고 있다는 사실입니다: 타이포스쿼팅 — 이미 확립된 브랜드명과 혼동될 정도로 유사한 도메인.

왜일까요? 타이포스쿼팅은 다음을 표적으로 삼기 때문입니다. 법률 예산이 있는 기업들. 구글, 애플, 마이크로소프트가 유사 도메인에 대해 UDRP 불만을 제기하면, 등록 기관들은 며칠 내에 조치를 취합니다. 상표권 남용에 대한 소송 위협과 ICANN의 제재는 현실적이고 즉각적입니다.

하지만 피싱 도메인이 개인 피해자로부터 돈을 훔친다면? 암호화폐 탈취 프로그램이 누군가의 평생 모은 돈을 싹 훔쳐간다면? 가짜 카지노가 게이머들의 신용카드 정보를 훔친다면? 기업 내 법무팀도 없고, UDRP 신청도 없으며, 시급한 상황도 아닙니다. 등록기관의 악용 처리 부서는 다른 기준을 적용하는데, 바로 피해자의 금전적 손실이 브랜드의 상표권 문제와 동일한 수준의 대응을 유발하지 않는 기준이다.

타이포스쿼팅 신고

  • 브랜드 소유자가 UDRP를 제기하다
  • 등록 담당자가 며칠 내에 답변을 드립니다
  • 도메인 신속히 잠금/정지됨
  • 조치를 취하지 않을 경우의 법적 결과

피싱/사기 신고

  • 피해자·연구자들이 학대 신고를 접수한다
  • 등록 담당자가 몇 주/몇 달 동안 방치함
  • 도메인은 만료일까지 유효합니다.
  • 무대응에 대한 아무런 결과도 없음

메시지는 분명합니다: 등록 기관은 사람이 아니라 브랜드를 보호합니다. 그들은 피해 증거가 아니라 법적 권한에 반응합니다. 저희 보고서에는 VirusTotal 스캔 결과, 안티바이러스 탐지 결과, 블랙리스트 확인, 스크린샷 등 그 어떤 UDRP 신청서보다 더 많은 객관적 증거가 포함되어 있음에도 불구하고, 여전히 답변을 받지 못하고 있습니다.

우리는 그들의 일을 대신해 줍니다 — 무료로

PhishDestroy는 독립적이고 비영리적인 프로젝트. 도메인을 스캔합니다. 위협을 분류합니다. VirusTotal 보고서를 생성합니다. 스크린샷을 캡처합니다. 상세한 악용 보고서를 작성하여 등록기관, 등록처 및 ICANN에 제출합니다. 저희는 등록기관이 직접 수행해야 할 보안 업무를 대신 처리해 드립니다.

그리고 여기 불편한 진실이 있습니다: 일부 등록기관은 실제로 이런 업무를 수행합니다. 일부 등록 기관은 자체 도메인 스캔 인프라를 운영하고, 비공개 위협 정보 피드를 활용하며, 누군가 신고하기도 전에 악성 도메인을 선제적으로 정지시킵니다. 실제로 그런 기관들이 존재합니다. 이들은 그것이 가능하다는 것을 증명하고 있습니다.

실질적인 역할을 하는 등록기관

  • 내부 스캔 도구(비공개, 일반에 공개되지 않은) 실행
  • 명백한 사기 도메인을 선제적으로 차단하십시오
  • 학대 신고에 몇 시간 이내에 대응하십시오
  • 연구자 및 법 집행 기관과 협력한다
  • VirusTotal 및 블랙리스트 데이터를 증거로 인정한다

이러한 등록기관들은 악용 사례에 대한 신속한 대응이 기술적·경제적으로 가능하다는 것을 입증하고 있습니다.

사기꾼들을 보호하는 등록기관들

  • 스캔 인프라가 전혀 없음
  • 보고서를 기다렸다가, 그냥 무시해라
  • 정형화된 답변, 티켓 종료, 도메인 활성화
  • 보고서 수신 거부 (NameSilo 패턴)
  • 증거 하나 없이 16개의 안티바이러스 엔진을 무력화하다

이 등록기관들은 안전보다 수익을 우선시했습니다. 이들의 무대응은 보안 전문가들이 무료로 업무를 수행해 주는 덕분에 유지되고 있습니다.

문제는 신속한 학대 대응이 가능한지 여부가 아닙니다. 그렇습니다. 문제는 왜 일부 등록기관들이 이를 시행하지 않기로 선택하는지입니다. 그리고 그 답은 매번 똑같은 구조적 유인 요인으로 귀결됩니다: 활성 도메인은 수익을 창출합니다. 정지된 도메인은 그렇지 않습니다.

적용되어야 할 권위 있는 기준

등록기관에 책임을 묻기 위한 체계는 이미 마련되어 있지만, 단지 제대로 시행되지 않고 있을 뿐입니다:

ICANN RAA 제3.18조

등록기관 인증 계약서 등록기관은 악용 관련 연락처를 관리하고 신고 사항을 신속히 조사해야 합니다. 그러나 실제로는 이러한 규정이 사실상 시행되지 않고 있습니다.

APWG

피싱 방지 실무 그룹 이 단체는 문제의 규모를 보여주는 피싱 동향 보고서를 분기별로 발간합니다. 도메인 등록 기관들은 APWG에 참여하고 있음에도 불구하고 여전히 해당 보고서를 무시하고 있습니다.

FTC의 조치

FTC가 NameSilo에 보낸 경고 서한 (2024년 12월) 사기 문제에 제대로 대처하지 못한 점을 명시적으로 지적했습니다. ICANN 자체의 준법감시부 우리의 에스컬레이션을 접수하고는 아무런 응답도 하지 않습니다.

DNSAI

DNS 남용 연구소 (PIR 제공)은 DAAR와 같은 도구를 개발하고 모범 사례를 장려합니다. 하지만 PIR이 직접 운영하는 레지스트리에는 dotabuff[.]org(674시간 활성화, VT:2)와 casesbattle[.]org(652시간)가 등록되어 있습니다.

50,000개의 도메인, 그리고 계속 늘어나는 중

위의 예시는 한 주간의 표본. 실제 규모는 어마어마하다.

5만 이상
당사의 데이터베이스에 등록된 활성 피싱 도메인 파기 목록 악용 신고가 접수된 것들입니다. 대부분은 아직 접속 중.

지속적으로 업데이트되는 당사의 위협 정보는 다음에서 확인하실 수 있습니다. content_active.txt 이 목록에는 악성으로 신고된 5만 개 이상의 도메인이 포함되어 있습니다. 각 도메인은 최소 한 건의 악용 신고를 받았으며, 상당수는 여러 건의 신고를 받았습니다. 등록 기관들은 VirusTotal 스캔 결과, 스크린샷, 블랙리스트 등재 확인서 등의 증거를 접수했음에도 불구하고, 대중의 안전보다 자사 고객을 우선시했습니다.

왜냐하면 이것이 바로 그런 것이기 때문입니다: 선택. 등록기관의 고객은 도메인을 등록한 사람, 즉 사기꾼입니다. 등록기관의 고객은 가짜 은행 페이지 때문에 저축을 모두 잃은 할머니도, 지갑에 있던 자금이 모두 털린 암호화폐 사용자도, 스팀 계정을 도난당한 게이머도 아닙니다. 등록기관은 매번 사기꾼을 선택했습니다.

50,000개의 도메인, 책임은 전무 — NiceNIC, Tucows, GlobalDomainGroup, apiname, Porkbun으로부터 ‘조치 없음(NO ACTION)’ 표시가 찍힌 피싱 도메인의 양산 라인
악용 신고 처리 컨베이어 벨트: 도메인이 VT:16 탐지 결과와 함께 유입되면 “조치 불필요”라는 낙인이 찍히고, 계속 처리 라인을 따라 이동합니다. 등록 기관 이름은 그들이 생성한 줄 위에 형광색으로 표시됩니다.

피해자 지원 보고서: 매 시간이 소중합니다

신고 내용을 제출하는 순간부터 시간이 시작됩니다. 그 순간부터 등록기관은 공식적으로 인지하고 있다 자사가 관리하는 도메인이 사기 행위에 이용되고 있다는 사실을 알게 된 후, 그 통지를 받은 후 아무런 조치를 취하지 않는 매 시간은 알고도 방조한 행위.

우리 데이터셋에 포함된 많은 도메인은 단순히 몇 건의 신고를 견뎌내는 데 그치지 않고, 그 도메인이 등록 기간이 만료됩니다. 이들은 등록, 사기, 신고, 재신고, ICANN으로의 상신, 사기 지속, 자연 만료에 이르는 전 과정을 반복합니다. 등록기관은 등록비를 챙겼고, 사기꾼은 훔친 자금을 챙겼으며, 피해자들은 아무것도 얻지 못했습니다.

NameSilo 해당 등록기관은 우리가 발송 사실을 입증할 수 있는 증거를 확보하고 있음에도 불구하고, 신고 접수 사실을 공개적으로 부인했습니다. 등록기관이 책임을 회피하기 위해 신고 접수 여부에 대해 거짓말을 할 때, 피해자들은 어떤 구제 수단을 가질 수 있을까요? 이제 등록기관의 신고 처리 절차에 대한 독립적인 감사를 실시할 때가 된 것 같습니다. 이 감사에서는 접수된 신고와 이에 대한 조치 내역을 비교 분석하고, 그 결과를 공개해야 합니다.

적시에 이루어지는 도메인 정지 조치는 단순한 행정적 조치에 그치지 않습니다. 이는 단순히 “등록자에게 불편을 주는 것”에 그치는 것이 아닙니다. 이건 구조 작전입니다. 제때 제거된 도메인 하나하나가 바로 자금이 유출되지 않은 지갑, 도용되지 않은 인증 정보, 비워지지 않은 예금 계좌를 의미합니다. 도메인 제거 조치를 “검열”이나 “사업 방해”로 규정하는 등록 기관들은 그들이 정확히 누구의 이익을 대변하고 있는지 드러내고 있는 셈입니다.

등록기관은 피해자들에게 배상해야 할까?

다음은 도메인 등록 업계 전체가 다루기를 꺼리는 질문입니다:

등록기관이 VirusTotal 탐지 결과, 스크린샷, 블랙리스트 확인 정보 등이 포함된 증거 기반의 악용 신고를 접수하고도 조치를 취하지 않기로 결정한 경우, 그 시점 이후 피해자에게 발생한 손해에 대해 해당 등록기관은 책임을 져야 하는가?

한 번 생각해 보세요. 등록 기관이 해당 보고서를 접수하면, 그들은 더 이상 무지하지 않다. 그들은 자신들이 관리하는 도메인이 금전, 인증 정보, 신원을 도용하는 데 이용되고 있다는 사실을 증거와 함께 통보받았습니다. 그 순간부터 계속해서 아무런 조치를 취하지 않는 것은 단순한 과실이 아니라, 바로 의식적인 결정 피해를 입히도록 허용하다.

  • 등록기관은 책임을 지려는 의향이 있는가 경고를 받았던 도메인을 통해 1달러가 도난당할 때마다?
  • 등록 기관은 피해자들에게 보상할 준비가 되어 있습니까? 학대 신고가 접수되었음에도 불구하고 무시당해 자금을 잃은 사람은 누구인가?
  • 등록기관의 법무팀은 16개의 안티바이러스 엔진이 서로 다른 결과를 보여주는 상황에서 “검토한 결과 아무런 문제가 발견되지 않았다”는 주장이 정당화될 수 없는 입장이라는 점을 이해하시나요?

이 세 가지 질문 모두에 대한 답이 “아니오”라면, 해당 도메인을 계속 유지할 정당한 이유는 없습니다. 먼저 자격을 정지시키고, 나중에 조사하라. 책임감 있는 인프라 제공업체들은 바로 그렇게 운영합니다. Cloudflare도 그렇게 운영합니다. 헤츠너(Hetzner)나 OVH와 같은 호스팅 제공업체들도 점점 더 그런 방식으로 운영하고 있습니다. 오직 도메인 등록 기관들만이 사기꾼의 편의가 피해자의 안전보다 우선시되는 모델에 집착하고 있습니다.

누가 대가를 치르는가

피싱 도메인이 온라인에 머무는 매 시간마다 피해자가 발생하게 됩니다:

  • 암호화폐 탈취 도메인 (farewex, perowex, xerowex, naebex) — 지갑 잔액이 순식간에 바닥났다. apiname.com 도메인들에 총 4,658시간이 기록된 것은 수천 건의 잠재적 지갑 탈취 사건을 의미한다.
  • 가짜 카지노 / CS:GO 사기 (casebattle variants, csgomy, ggddrop, tastdrop) — 게이머들을 대상으로 한 신용카드 사기, 신원 도용 및 결과 조작.
  • 가짜 서비스 사칭 (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — 브랜드 사칭으로 인한 인증 정보 도용 및 금전적 손실.
  • 카딩 인프라 (patricksstash, stashhpatrick) — 도난당한 결제 정보를 다른 범죄자들에게 판매하고 있다.
75
payscrow[.]bet 사이트가 운영되고 있었다는 사실은, 보안 담당자에게 소매치기가 있다는 사실을 알리고, 관련 영상을 보여주며 용의자를 지목했음에도 불구하고, 그 소매치기를 쇼핑몰에 2.5개월 동안 방치해 둔 것과 다름없다.

무엇이 바뀌어야 하는가

현재의 모델은 설계상 결함이 있습니다. 등록 기관들은 도메인이 활성화된 상태로 유지될 때 이익을 얻습니다. ICANN은 실효성 있는 집행 권한이 없습니다. 피해자들은 구제받을 방법이 없습니다. 이를 해결할 방법은 다음과 같습니다:

  1. 악용 사례 대응을 위한 필수 SLA: 24시간 내 접수 확인, 72시간 내 초기 조치, 7일 이내 에스컬레이션 절차. 측정 가능. 감사 가능.
  2. 자동 정지 기준치: VirusTotal에서 탐지 건수가 10건 이상이고 독립적인 보고서가 2건 이상인 도메인은 검토가 완료될 때까지 반드시 중단되어야 하며, 그 반대의 경우는 해당되지 않습니다.
  3. 공공 기관의 학대 사례 투명성 보고서: ICANN의 인증을 받은 모든 등록기관은 분기별로 접수된 신고 건수, 평균 응답 시간, 취해진 조치, 정지된 도메인 목록을 공개해야 합니다.
  4. 규정 미준수에 대한 과태료: 체계적으로 조치를 취하지 않는 등록기관에 대해서는 단계별 과태료를 부과한다. 반복적으로 위반하는 기관의 경우 인증을 박탈한다.
  5. 독립 학대 옴부즈맨: 등록 기관의 결정을 검토하고, 조치 미이행을 시정하며, 중대한 위협 발생 시 계정 정지 절차를 신속히 진행할 수 있는 제3자 기관.
  6. 등록기관 간 금지 목록: 등록자가 상습적인 악용자로 확인될 경우, 모든 공인 등록기관에 이를 통보해야 합니다. 더 이상 도메인 쇼핑은 허용되지 않습니다.

PhishDestroy가 이에 대해 취한 조치

우리는 보고서를 작성하고 업계가 스스로 문제를 해결하기를 기다리기만 하지 않습니다. 우리는 투명성을 강제하고, 조치를 취하지 않을 경우 그에 상응하는 결과를 초래하는 시스템을 구축합니다.

공개 위협 데이터베이스

저희는 다음을 구축하고 관리하고 있습니다. 파기 목록 — 50,000개 이상의 악성 도메인을 수록한, 지속적으로 업데이트되는 공개 데이터베이스입니다. 현재 당사가 발송하는 모든 악용 신고는 해당 등록 기관에 전달됩니다: 이 도메인은 공개 데이터베이스에 등록될 예정입니다. 해당 고객사의 도메인으로 인해 피해를 입을 가능성이 있는 사람들은 신고가 접수된 시점과 등록기관이 이를 얼마나 오랫동안 방치했는지 확인할 수 있게 됩니다. 이는 등록기관 입장에서는 곤란한 상황이며, 바로 그게 핵심입니다.

도메인 위협 페이지

현재 저희가 표시해 둔 모든 도메인에는 다음 주소에 전용 페이지가 마련되어 있습니다. phishdestroy.io/domain — 상세한 분석, AI가 생성한 위협 설명 및 위협 대응 Pipeline 정확한 처리 단계(탐지, 보고서 발송, 상급 부서 이관, ICANN 통지)를 보여줍니다. 상태는 실시간으로 업데이트됩니다. 완전한 투명성을 위해 현재 모든 후속 보고서에 정확한 타임스탬프를 추가하고 있습니다. 누구나 등록기관이 언제 통지를 받았는지, 그리고 얼마나 오랫동안 아무런 조치를 취하지 않았는지 정확히 확인할 수 있습니다.

에스컬레이션 시스템 — 침수 신고 금지

저희는 아니요 등록 기관에 중복 보고서를 쏟아붓는 일. 98%의 경우, 당사는 초기 보고서를 한 번만 발송하며 중복 발송하지 않습니다. 이는 일일 이메일 발송 한도 때문이기도 하지만, 대량 중복 발송이 올바른 접근 방식이 아니라고 생각하기 때문이기도 합니다. 당사는 도메인이 다시 활성 상태로 감지됨 새로운 스캔을 진행하는 동안입니다. 만약 모든 활성 도메인에 매일 스팸 메일을 보낸다면, 하루에 50,000통의 이메일이 발송될 것입니다. 하지만 우리는 그렇게 하지 않습니다. 당사의 에스컬레이션 시스템은 AI로 분석된 위협 요약, 업데이트된 VirusTotal 점수, 그리고 등록 기관이 해당 위협을 무시한 시간 수를 포함한 후속 보고서(#2, #3 등)를 생성합니다.

커뮤니티 재신고 도구

저희 Telegram 봇에서 @PhishDestroy_bot, 이제 사용자는 다음을 제출할 수 있습니다 재보고 당사의 초기 신고 이후에도 여전히 활성 상태로 확인된 도메인에 대해 말입니다. 너무 많은 등록 기관이 사기꾼들이 마음대로 활동하도록 방치하고 치명적인 피해를 외면하고 있기 때문에, 저희는 커뮤니티의 목소리를 대변합니다. 등록 기관이 저희의 말을 듣지 않는다면, 실제 사용자들이 제기하는 수많은 독립적인 신고를 통해야 비로소 귀를 기울일지도 모릅니다.

사기성 프로젝트 운영자 및 부주의한 등록 기관을 향한 경고: 만약 저희가 대량 보고서로 여러분을 “공격”하고 있다고 생각하신다면, 그렇지 않습니다. 저희는 탐지 사건 하나당 하나의 보고서만 발송합니다. 보고서를 많이 받고 계신다면, 이는 악성 도메인이 많기 때문입니다. 보고서는 모두 서로 다른 도메인에 대한 것이며, 각기 다른 증거를 담고 있습니다. 문제는 보고서의 양이 아니라—바로 귀하의 도메인 포트폴리오.

PhishDestroy — 우리는 브랜드를 보호하지 않습니다. 피해자를 변호하지도 않습니다. 우리는 피싱 및 사기 인프라를 근절합니다.

결론

16개의 안티바이러스 엔진이 특정 도메인이 악성이라고 판단하는데도 등록 기관이 “조치 없음”이라고 답한다면, 이는 등록 기관이 판단력을 행사하는 것이 아니라 수익을 지키기 위한 것일 뿐입니다. 13건의 별도 악용 신고가 묵살된 채 도메인이 1,352시간 동안 계속 운영된다면, 등록 기관은 밀린 업무를 처리하는 것이 아니라 범죄를 조장하고 있는 것이다.

이 기사에 제시된 데이터는 이론적인 것이 아닙니다. 이는 2026년 3월 중 한 주 동안 수집된 실제 악용 사례 에스컬레이션 로그이며, 그 이면에는 50,000개 이상의 신고된 도메인 지속적으로 업데이트되는 위협 정보 피드에서 확인할 수 있습니다. 이는 특정 등록 기관 한 곳에서만 발생하는 고립된 문제가 아닙니다. 이는 업계 전반의 실패 도메인 등록 생태계는 현재 모델이 수익성이 높기 때문에 이 문제를 해결할 의향이 전혀 없다.

등록기관이 반드시 준수해야 할 안티바이러스 업체의 조사 결과는 존재하지 않습니다. 의무적인 조치를 촉발하는 탐지 기준도 없습니다. SLA도, 책임 소재도, 그에 따른 결과도 없습니다. 등록기관은 수수료를 징수하고 보고서는 무시하며, 피해자들이 그 대가를 치르게 됩니다.

등록 기관은 중립적인 인프라 제공자가 아닙니다. 그들은 매일, 무시되는 신고 건마다 범죄 인프라가 온라인에 유지되도록 방치하는 ‘게이트키퍼’들입니다. 그들은 그로 인한 피해 사실을 알고 있습니다. 이를 막을 힘도 가지고 있습니다. 하지만 그들은 그렇게 하지 않기로 선택합니다. 그리고 누군가가 그들에게 유일하게 중요한 질문을 던지기 전까지는— "정지 조치를 거부한 도메인의 피해자들에게 보상할 의향이 있습니까?" — 아무것도 변하지 않을 것이다.

이 문제에 대한 업계의 침묵이야말로 그 무엇보다도 강력한 답변이다.

#AbuseReports#ICANN#Registrars#VirusTotal#PhishingTakedown#Investigation#CyberSecurity

관련 연구

전 세계적 사기 행각을 조장하는 등록기관들
NameSilo, Webnic, NiceNIC이 악용 신고를 묵인함으로써 사기 인프라를 어떻게 유지시키고 있는지.
NiceNIC 평가 결과
검토된 모든 NiceNIC 도메인 — 전체 포트폴리오에서 합법적인 용도로 사용된 사례는 단 하나도 발견되지 않았습니다.
NiceNIC 조사
IANA 3765의 실체 폭로 — 피싱 점수 1,141.74를 기록하며 전 세계 사이버 범죄를 조장하고 있는 ICANN 등록기관.
투명성 공지. PhishDestroy는 비영리 독립 프로젝트입니다. 당사의 연구 결과에는 사기 인프라 및 이를 가능하게 하는 서비스에 대한 내재적 편향이 반영되어 있을 수 있습니다. 독자 여러분께서는 모든 자료를 비판적이고 독립적인 시각으로 평가해 주시기를 당부드립니다. 투명성 선언문 전문 보기 →