뉴스로 돌아가기
조사 보고서 — 최종본

xmrwallet[.]com의 종말: NameSilo는 200만 달러를 훔친 도둑을 감싸기 위해 거짓말을 했다

10년 동안 모네로 개인 키를 훔쳐온 이 조직이 무너졌다. 세 곳의 도메인 등록업체는 며칠 만에 조치를 취했다. 네 번째 업체인 NameSilo는 사기꾼에게 연락을 취해 그의 말을 믿고, 그의 대변인 역할을 자처했다.

2026년 3월 27일 PhishDestroy 연구 읽는 데 12분
xmrwallet.com 조사 — NameSilo의 실체 밝혀져
조사 개요: xmrwallet[.]com의 몰락과 사기범을 보호하는 데 NameSilo가 수행한 역할.
$2M+
도난 추정
10
활동 기간
3/4
등록기관 자격 정지
7
NameSilo의 거짓말이 입증되다
8
PHP 엔드포인트 탈취

xmrwallet[.]com이 실제로 한 일

2016년부터 xmrwallet[.]com은 무료 오픈소스 모네로 지갑으로 자사를 홍보해 왔습니다. 저희는 2026년 2월 18일의 실시간 네트워크 캡처 이 프로그램이 전혀 다른 일을 하고 있음을 입증했는데, 바로 매번 로그인할 때마다 모네로(Monero)의 개인 뷰 키를 훔치고 서버 측에서 거래를 가로채는 것이었다.

모네로 뷰 키 유출 공격 — 도난당한 키를 사기꾼의 서버로 전송하는 노트북
스크린샷 1 — 탈취 방식: 지갑에 로그인할 때마다 피해자의 모네로 개인 뷰 키가 Base64 인코딩을 거쳐 사기꾼의 서버로 전송되었습니다.
핵심 도난 메커니즘

삽입된 코드가 아닌 — 그 핵심 아키텍처. 8개의 PHP 엔드포인트에 걸쳐 운영되는 세션 시스템으로, 피해자의 개인 뷰 키를 전송하는 세션당 40회 이상. 사용자가 XMR을 송금하면 해당 거래는 아무런 알림 없이 무효화되었습니다 (raw_tx_and_hash.raw = 0)를 사기꾼의 것으로 바꿔치웠습니다.

사용자가 지갑을 엽니다
유출된 키 보기 (Base64)
TX 서버 측 해킹
사기꾼에게 송금된 XMR
뷰 키 탈취에 사용된 8개의 PHP API 엔드포인트 — GitHub 증거 저장소
스크린샷 2 — GitHub 증거 저장소에 기록된 8개의 PHP 엔드포인트. 각 엔드포인트는 session_key/view_key 유출 체인에 관여합니다.

VirusTotal에 등록된 6개의 보안 업체가 이 파일을 악성 파일로 판정했습니다. Trustpilot, Sitejabber, BitcoinTalk에 총 15명의 피해자가 보고되었습니다. 한 피해자는 590 XMR (약 177,000달러) 단 한 건의 절도 사건에서.

VirusTotal 검사 결과, 93개 업체 중 6곳이 xmrwallet.com을 악성 사이트로 표시했으며, 여기에는 Fortinet의 피싱 탐지 기능도 포함되어 있습니다.
스크린샷 3 — VirusTotal: 93개 업체 중 6곳이 xmrwallet.com을 악성 사이트로 표시했습니다. Fortinet은 이를 “피싱”으로 분류했습니다.
ScamAdviser에서 xmrwallet.com을 ‘매우 안전하지 않을 가능성이 높음’으로 표시하며, 신뢰 점수는 100점 만점에 1점입니다.
스크린샷 4 — ScamAdviser: 신뢰도 점수 1/100. “안전하지 않을 가능성이 매우 높음.”

세 명의 등록 담당자가 제 역할을 다했다

저희는 xmrwallet 도메인을 호스팅하는 4곳의 등록기관 모두에 동일한 악용 신고를 접수했습니다. 그중 3곳은 즉시 조치를 취했습니다:

등록 업무가 정지된 등록 대행사를 상징하는 잠긴 문 세 개와, NameSilo의 조치 거부 의사를 나타내는 열린 문 하나
스크린샷 5 — 세 곳의 등록 기관은 문을 잠갔습니다. NameSilo는 사기꾼을 위해 문을 활짝 열어두었습니다.

퍼블릭도메인레지스트리

xmrwallet.cc
정지됨

인도 · 행동에 나설 때까지 남은 일수

WebNic

xmrwallet.biz
정지됨

말레이시아 · 행동에 나서기까지 남은 일수

NiceNIC

xmrwallet.net
DNS 중단

중국 · 행동에 나설 시간이 얼마 남지 않았다

NameSilo

xmrwallet.com
거절됨

미국 · 사기범을 변호한

세 나라. 세 가지 서로 다른 결론.

인도, 말레이시아, 중국 — 증거를 검토한 끝에 사기 행각을 적발하고 해당 도메인을 정지시켰습니다. 아무런 질문도 없이 말이죠.

NameSilo, 다른 길을 선택하다

네 번째 등록관 — NameSilo, LLC (미국) — 증거가 가장 많고 피해자도 가장 많은 주요 도메인을 호스팅하고 있는 업체 — 는 정반대의 행동을 취했습니다. 그들은 사기꾼에게 연락을 취해 그의 말을 믿고, 그를 옹호하는 공개 성명을 발표했습니다:

NameSilo가 X(Twitter)를 통해 xmrwallet.com 운영자를 옹호하며 도메인이 해킹당했다고 주장한 것에 대한 공식 성명
스크린샷 6 — 2026년 3월 12일, NameSilo가 X(Twitter)에 게시한 공식 성명. 이 게시물의 모든 주장은 거짓이었다.
“당사의 악용 대응 팀은 이 사안에 대해 심층적인 검토를 진행한 결과, 해당 도메인이 몇 달 전에 해킹당한 것으로 보입니다... 광범위한 조사 끝에, 당사 팀은 등록자와 무관한 해킹 증거를 발견했습니다... 또한 등록자는 VT 보고서에서 해당 웹사이트가 제외되도록 조치 중입니다.”

— NameSilo, X(Twitter)를 통해

우리는 이 진술을 한 줄씩 분석했습니다. 모든 주장은 거짓이었다.

운영자의 직접적인 발언

NameSilo가 개입하기 전, 해당 운영자는 당사의 악용 신고에 직접 답변했습니다. 그의 이메일 내용으로 보아 그는 이 사실을 인지하고 있었으며, 다음과 같은 의도를 가지고 있었습니다:

xmrwallet 운영자가 보낸 이메일 답변에서, 이는 피싱이 아니며 8년 동안 운영되어 왔다고 주장함
스크린샷 7 — 운영자의 답변: “이건 피싱이 아닙니다. 저희는 8년 넘게 운영해 왔습니다.”
xmrwallet 운영자가 도난 혐의를 부인하고 데이터 수집 관행을 옹호하는 이메일 답변
스크린샷 8 — 상담원의 두 번째 답변: “이 서비스를 제공하려면 이 데이터가 필요합니다.” 여기서 ‘데이터’란 피해자의 개인 조회 키를 의미했다.

일곱 가지 거짓말, 그 실체

거짓말 1: “도메인이 해킹당했다”

도난 메커니즘은 핵심 아키텍처로, 8개의 PHP 엔드포인트, Base64 키 유출, 그리고 5.3년 동안의 GitHub 커밋 공백기. 이 시스템은 수년에 걸쳐 구축된 것이지, 급조된 것이 아닙니다.

거짓말 #2: “우리는 이전에 학대 신고를 받은 적이 없었다”

VirusTotal의 6개 공급업체, 수년 전부터 이어져 온 Trustpilot의 불만 사례, BitcoinTalk의 경고 게시물, 운영자 2018년에 r/Monero에서 차단됨. 구글에서 한 번만 검색해 봤어도 이 사실을 알 수 있었을 텐데.

거짓말 3: “등록자를 포함시키지 않는다”

운영자가 등록되었습니다 4개 등록기관에 걸친 4개의 도메인 (각각 5~10년 선불) ~전에 조사 결과가 공개되었습니다. GitHub 이슈 21개 이상을 삭제했습니다. 캡차 시스템 개발을 위해 개발자들을 채용했습니다. 이건 피해자가 아니라 작전입니다.

거짓말 4: “그들은 즉시 이를 바로잡기 위한 조치를 취했다”

도난 방지 코드가 운영 환경에서 실행 중이었습니다 NameSilo의 성명서에서. 해당 사고와 관련된 GitHub 커밋은 단 하나도 없습니다. 어떤 변경 사항도 되돌려지지 않았습니다.

거짓말 #5: “VirusTotal에서 목록에서 제외되도록 노력 중”

NameSilo는 사기꾼이 포티넷의 “피싱” 탐지 기능을 제거하도록 로비한 점을 칭찬했다 — 피싱 코드를 제거하지 않은 채로. 그건 선의가 아닙니다. 보안 경고를 무시하는 행위입니다.

거짓말 #6: “학대는 최근에 일어난 일인가요?”

사건을 종결하기 위해 입증 책임을 신고자에게 전가하고 있다. 증거는 신고서에 이미 나와 있었다. 동료 등록 담당자 세 명이 굳이 물어볼 필요도 없었다.

거짓말 #7: “우리는 수사를 재개할 것입니다”

“재개”라는 말은 한때 열려 있었다는 뜻이다. 그들의 조사는 사기꾼에게 전화를 걸어 그가 한 말을 적는 것으로 이루어졌다. 그건 조사가 아니라 받아쓰기일 뿐이다.

인프라 관련 증거

조사 전에 등록된 정지된 xmrwallet 도메인과 에스케이프 도메인을 보여주는 도메인 네트워크 다이어그램
스크린샷 9 — 도메인 탈출 네트워크: 4개 등록기관에 분산된 4개의 도메인이 모두 동일한 서버를 가리키고 있다. 그중 3개가 무력화되었다.
여러 최상위 도메인(TLD)에서 xmrwallet 도메인이 동일한 IP 주소로 해결되는 것을 보여주는 URLScan 결과
스크린샷 10 — URLScan 데이터: 모든 xmrwallet 도메인(.com, .cc, .biz, .net, .me, .app)이 동일한 인프라로 연결됩니다.
도난된 엔드포인트와 네트워크 캡처 기록이 담긴 GitHub 증거 저장소
스크린샷 11 — 전체 네트워크 캡처 분석 결과가 담긴 당사의 GitHub 증거 저장소. 단일 세션에서 109건의 요청과 43건의 뷰 키 전송이 기록되었습니다.

연표: xmrwallet의 몰락

2016
xmrwallet[.]com이 “무료 오픈소스 모네로 지갑”을 내세우며 서비스를 시작했습니다.
2018
운영자 r/Monero에서 차단됨. 트러스트파일럿에 첫 피해자 후기가 올라왔다
2026년 2월 4일
xmrwallet.cc 도메인 등록 완료 (8년 선불) — 조사 결과가 발표되기 전
2026년 2월 13일
제35호 발간 — TX 탈취 메커니즘 전체가 드러났다
2026년 2월 18일
제36호 — 실시간 캡처: 단일 세션에서 109건의 요청, 43건의 뷰키 전송
2026년 2월 23일
xmrwallet.cc 서비스 중단 (PDR). xmrwallet.biz 서비스 중단 (WebNic). 운영자가 이슈 #35 및 #36을 실수로 삭제함
2026년 2월 26일
공황이 더욱 확산: xmrwallet.net 및 .me 도메인 등록 완료 (10년 선불, 정지된 도메인과 동일한 IP)
2026년 3월 8일
xmrwallet.net DNS 오류 (NiceNIC). 4개의 탈출 도메인 중 3개가 무력화됨
2026년 3월
NameSilo가 성명을 발표했습니다: “등록자가 피해자입니다.” VirusTotal의 탐지 결과를 억제하는 데 도움이 됩니다
2026년 3월 27일
ICANN에 정식 민원 제기 (RAA 제3.18조). 법 집행 기관에 제출된 증거. 본 보고서 공개.

결론

NameSilo는 그 증거를 무시하지 않았습니다. 그들은 그 증거를 검토하고, 사기꾼에게 전화를 걸어 그의 말을 믿은 뒤, 그가 무죄라고 선언했으며, 보안 경고를 은폐하는 데 일조했습니다. 그리고는 연구진에게 그 악용 사례가 “최근의 것”임을 증명해 달라고 요구했습니다.

그건 태만이 아닙니다. 그건 파트너십입니다.

도메인이 다운되었습니다. 사기 행각은 끝났습니다. 하지만 미국의 한 도메인 등록 기관이 200만 달러 상당의 암호화폐를 훔친 범인을 감싸기 위해 공개적으로 거짓 변명을 꾸며낸 사실은, NameSilo에 오랫동안 꼬리표처럼 따라다닐 것입니다. 그들의 성명서는 앞으로 제기될 모든 소송 서류에서 핵심 증거 자료가 될 것입니다.

도둑을 감싸주면, 그 대가를 함께 짊어져야 한다.

증거 및 자료

관련 조사

이번 조사는 공개된 증거, 실시간 네트워크 캡처 자료, OSINT, 공개 리뷰 플랫폼 및 NameSilo가 직접 발표한 공식 성명을 바탕으로 진행되었습니다. 무단 접근은 이루어지지 않았습니다. 모든 조사 결과는 독립적으로 재현 가능합니다.

이 조사 결과 공유하기

X / Twitter Telegram 레딧 LinkedIn

관련 조사

xmrwallet.com의 실체: 10년 동안 도난당한 키들
심층 조사
xmrwallet.com의 실체: 10년 동안 도난당한 키들
NiceNIC 조사: 사이버 범죄를 조장하는 ICANN 등록기관
심층 조사
NiceNIC 조사: 사이버 범죄를 조장하는 ICANN 등록기관
NameSilo, Webnic, NiceNIC: 사기를 조장하는 등록기관들
조사
NameSilo, Webnic, NiceNIC: 사기를 조장하는 등록기관들