도메인만 그럴듯하게 바꾸고 잠깐 영업한 뒤 사라지는 사설 사이트를 몇 번 겪고 나면, 겉보기에 번듯한 디자인이나 화려한 프로모션이 보안 신뢰의 증거가 아니라는 걸 금세 깨닫게 된다. 먹튀검증을 오래 하다 보면 공통된 징후가 눈에 들어온다. 인증서 만료를 대충 때우는 습관, 취약한 TLS 설정, 웹 방화벽을 흉내만 낸 플러그인, 로그가 비어 있는 서버. 기술적 시그널은 조합할수록 선명해진다. 이 글은 HTTPS부터 WAF까지, 실제로 현장에서 반복해서 써 온 보안 점검 포인트를 하나씩 풀어 쌓은 체크리스트다. 보안 장비를 많이 샀다는 말보다, 작은 설정 하나라도 제대로 굴러가는지 확인하는 쪽이 먹튀를 가르는 데 훨씬 도움이 된다.
왜 보안 체커가 먹튀검증의 핵심 신호가 되는가
먹튀 사이트의 목적은 단기에 많은 유입을 끌어당기고 정산 전 이탈하는 데 있다. 이 구조는 기술 스택에 인색할 수밖에 없다. 장기 운영을 전제한 사이트는 인증서 자동 갱신, 적절한 키 길이, 모니터링 알람, 웹 방화벽 규칙 튜닝 같은 반복 노동을 필수로 깔아둔다. 반대로 단기 사이트는 비용과 시간이 많이 드는 계정을 피한다. 예를 들어 제대로 된 WAF는 카드 결제를 거쳐야 하고 도메인 소유 검증을 통과해야 하며, 룰셋 튜닝에 며칠은 써야 체감 효과가 난다. 이런 차이가 헤더 하나, 지문 하나에 나타난다.
또 한 가지, 보안 구성은 거짓말을 하기 어렵다. 랜딩 페이지의 문구는 얼마든지 베낄 수 있지만, 서버가 내보내는 TLS 핸드셰이크, HSTS 정책, CSP 지시문, 인증서 투명성 로그는 외부에서 교차 검증이 가능하다. 그래서 먹튀검증을 하다 보면 결국 보안 체커의 결과를 모아 확률을 평가하는 방식이 안정적으로 굳어진다.
HTTPS, 그 자체보다 더 중요한 것들
HTTPS 유무만 보는 검증은 2018년 이후로 의미가 희미해졌다. 무료 인증서의 확산 덕분에 대부분의 사이트가 HTTPS를 사용한다. 차이는 품질에서 갈린다. TLS 버전, Cipher Suite, OCSP Stapling, HSTS 배포, 인증서 투명성 로그, 키 교체 주기가 종합적으로 안정감을 만든다.
현장에서 자주 보는 실수는 TLS 1.0이나 1.1을 열어둔 채 방치하거나, 서버 우선 순위가 취약한 RC4 계열을 선호하도록 설정된 경우다. 또, www와 apex 도메인을 따로 운영하면서 한쪽 인증서만 갱신해 브라우저 경고를 유발하기도 한다. 중간자 공격 위험을 줄이는 OCSP Stapling을 켜지 않아 검증 지연이 생기는 일도 잦다. HSTS는 선언만 하고 preload 등록을 하지 않아 초기 접근에서 평문 다운그레이드가 가능한 경우가 있다. 이런 항목을 모아서 보면 운영 성숙도가 들여다보인다.
실무 팁 하나. SSL Labs 같은 공개 도구에서 A 이상을 받는 사이트라도, 서브도메인까지 동일하게 관리되는지 꼭 확인한다. 공격자들은 회원 영역을 다른 도메인으로 보내는 습관이 있다. 인증서 품질이 급격히 떨어지거나 와일드카드를 무리하게 적용한 흔적이 보이면, 위험 신호로 기록해 둔다.
보안 헤더가 보여주는 운영 성숙도
Content Security Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy 같은 보안 헤더는 사이트의 보안 태도를 드러내는 단서다. CSP가 아예 없는 사이트는 스크립트 인젝션 방어를 할 생각이 없다고 봐도 과하다 싶지 않다. 반대로 CSP가 너무 느슨해 모든 도메인을 허용하거나, report-to만 적어두고 실제 리포트 엔드포인트가 응답하지 않는 경우는 베껴 넣은 구성일 가능성이 크다.
SRI(Subresource Integrity)가 적용된 정적 리소스가 보인다면 프런트엔드가 주기적으로 관리된다는 신호다. 다만 CDN을 적극 활용하는 사이트는 빌드 파이프라인에서 해시가 자동 생성되므로, SRI만으로 성숙도를 단정하긴 어렵다. 중요한 건 일관성이다. 메인 페이지와 결제, 회원 영역의 정책이 엇갈리면 운영이 분화되었거나 외주 테마를 그대로 썼을 공산이 크다.
DNS와 인증서 투명성, 도메인의 이력 읽기
도메인 나이는 먹튀 판단에서 과대평가되기도 한다. 오래되었어도 최근 소유주가 바뀐 경우, 과거 신뢰는 현재와 무관하다. 그래서 WHOIS의 updated 날짜, Name Server 변경 이력, 등록기관의 교체를 함께 본다. CAA 레코드는 어떤 인증기관을 허용했는지 알려 주는데, 이 항목이 비어 있다면 관리가 허술하다고 판단한다. TXT 레코드에 SPF, DMARC가 적절히 설정되었는지도 간접 신뢰의 요소다. 운영팀이 피싱 리스크를 인지하고 있는지 알 수 있기 때문이다.
crt.sh 같은 인증서 투명성 로그 검색으로 해당 도메인과 연관된 인증서 발급 이력을 먹튀검증 보면, 갑작스러운 대량 서브도메인 발급이나 상이한 조직명이 섞인 인증서가 포착되는 때가 있다. 공격자가 하위 도메인을 만들어 피싱을 시도한 흔적일 수도 있고, 반대로 CDN 통합을 서둘러 진행한 합법적 사유일 수도 있다. 결국 하나의 지표가 아니라 맥락을 본다.
WAF, 보안의 간판이 아니라 튜닝의 결과물
웹 방화벽은 사용한다고 끝이 아니다. 목적은 두 가지, 노이즈를 줄이고 중요한 이벤트를 확실히 잡는 것. 여기서 숙련도의 차이가 난다. 기본 룰만 켜 두면, 자동화 봇 스캐닝이 대량으로 로그를 때리면서 정작 공격 징후를 가려 버린다. 좋은 튜닝은 사이트 특성에 맞게 허용 목록을 만들어 오탐을 줄이고, 비정상 트래픽 패턴에 보강 정책을 얹는다. 예를 들어 회원 가입 엔드포인트에 짧은 기간 내 동일 IP 다중 시도를 제한하고, 로그인 실패 횟수 누적과 IP 평판을 교차해 추가 인증을 트리거한다.
외부에서 WAF 존재를 추정하는 방법은 헤더 시그니처나 챌린지 페이지 응답으로 가능하다. 그런데 표지판만 있고 실효성이 없는 경우가 의외로 많다. 특정 패턴의 SQLi 페이로드를 몇 가지 변형해보면 우회가 쉽게 되고, GraphQL 엔드포인트가 아예 예외 처리되어 노출된 사례도 종종 만난다. 먹튀 의심 사이트는 대개 가입과 입금 관련 경로만 필터링하고, 출금 요청이나 고객센터 API 보호는 빈틈이 보인다. 이런 비대칭은 비용과 동기가 어디에 있는지 들려 준다.
프런트와 백엔드, 기술 스택의 정직한 흔적
BuiltWith나 Wappalyzer 결과를 맹신하진 않지만, 조합을 보면 대충 운영 히스토리가 보인다. 제작사가 자주 사용하는 테마, CMS와 플러그인의 세대차, jQuery와 Vue가 겹쳐 쓰이는 기묘한 혼합. 긴급히 제작된 사이트일수록 기본 인증 플러그인 그대로 쓰는 경향이 있어 알려진 취약점과 버전이 일치하는 때가 잦다. 정적 리소스의 캐시 정책을 통해서도 디테일이 보인다. 이미지 파일에 5분짜리 캐시만 걸어 둔 사이트는 배포 파이프라인이 정리되지 않았을 확률이 높다. 장기 운영이라면 해시 기반 캐시 무효화로 1년짜리 캐시를 걸어 두는 게 일반적이다.
서버 쪽에서는 응답 시간의 안정성이 힌트다. 상용 WAF와 CDN을 거치면 지역별 편차가 줄어든다. 반대로 밤 시간대에만 응답이 덜컥 느려지는 현상은 저렴한 단일 리전에 몰아넣었거나 오토스케일이 꺼져 있을 가능성을 시사한다. 출금 요청같이 민감한 작업에서만 유난히 에러가 잦다면, 의도적 병목일 수도 있다. 이런 패턴은 며칠만 관찰해도 눈에 들어온다.
계정 보안, 2차 인증, 세션 관리
회원 계정 보안은 투자 여부가 잘 드러나는 분야다. 2단계 인증을 제공한다고 해도 이메일 링크 인증만 제공하는 경우가 많다. 그마저도 링크 만료 시간이 느슨해 보안 효과가 약하다. TOTP 기반의 앱 인증 제공, 백업 코드 발급, 새 기기 로그인 알림, 세션 고정 방지 같은 디테일이 모여 신뢰를 만든다. 비밀번호 정책 역시 균형이 필요하다. 복잡도만 높이고 지연 알고리즘은 약하면, 해시가 유출됐을 때 위험이 커진다. bcrypt나 Argon2를 사용하며, 로그인 시도에 지연과 캡차를 적절히 섞어 둔 구성이 합리적이다.
먹튀 의심 사이트에서는 KYC를 구실로 신분증 사본을 과도하게 요구하면서, 전송 채널은 평범한 업로더 하나로 끝나는 경우가 많다. 전송 경로의 암호화, 저장 시 암호화, 접근 통제, 삭제 정책이 문서로 설명돼 있지 않다면 개인정보 보호 의지가 낮다고 봐야 한다. 비정상 운영은 데이터 보호를 비용으로만 본다.
로그와 모니터링, 거대한 침묵을 경계한다
정상적인 운영팀은 로그인 실패, 비정상 지리적 접속, 권한 상승 시도, 결제 실패율 변동 같은 시그널에 민감하다. 이런 이벤트를 SIEM으로 모아 알람을 튜닝한다. 반대로 먹튀 운영은 로그를 남기는 걸 꺼린다. 나중에 분쟁의 증거가 되기 때문이다. 그래서 사용자 활동 내역 페이지가 지나치게 비어 있거나, 이상 징후 알림 기능이 아예 없을 때가 많다. 외부에서 간접적으로 볼 수 있는 건 보안 리포트 엔드포인트의 응답 품질과 상태 페이지의 투명성이다. 실제 사고가 났을 때 타임라인을 공개하는 팀은 드물지만, 최소한 가용성 지표와 장애 공지를 정기적으로 유지하는지 확인할 수 있다.
결제, 출금, 정산 플로우의 기술적 징후
먹튀는 출금 단계에서 드러난다. 기술적으로 보면 출금 요청 API는 감사 로그와 승인 워크플로우가 붙어야 하고, 재시도 정책과 상태 전이가 명확해야 한다. UI에서 사소한 징후가 보일 때가 있다. 예를 들어 출금 요청 후 상태가 긴 시간 동안 단일 값으로 머무르고, 중간 상태가 표시되지 않는다. 또는 같은 건을 여러 번 클릭해도 중복 방지 토큰이 감지하지 못한다. 이런 디테일은 내부 트랜잭션 설계가 빈약하다는 증거다. 합법적 운영은 정산이 지연되면 이유와 예상 시간을 구체적으로 제시하고, 고객센터가 케이스를 바로 조회할 수 있다. 그렇지 않다면 임시로 막아 두었거나 정산 자금이 고갈되었을 확률이 높다.
오탐을 줄이는 법, 신호를 점수화하기
실전에서는 단일 신호만으로 결론을 내리지 않는다. 다섯 영역 정도를 골고루 본다. 통신 보안, 애플리케이션 보안, 인프라 안정성, 계정 보안, 운영 투명성. 각 영역에서 2개 이상 신뢰 신호가 부재하면 위험도를 높인다. 예를 들어 HSTS preload, TLS 1.2 이상 강제, CSP 유효, 2FA 제공, 상태 페이지 업데이트가 꾸준하다면 가점. 반대로 TLS 하위 호환 열림, CSP 없음, 회원 영역이 다른 도메인으로 이동, 출금 API가 중복 요청을 허용, 고객센터 응답이 자동문장뿐이라면 감점. 사람이 하는 평가는 결국 확률을 가늠하는 일이다. 먹튀검증의 목적도 0과 1의 판정보다는 손실 가능성을 추정해 행동을 선택하는 데 있다.
빠르게 훑고, 깊게 파는 두 단계 접근
현장에서 시간을 아끼려면 먼저 가벼운 자동화로 후보를 추리고, 이상 징후가 있는 대상만 수동 점검을 깊게 가져간다. 이때 필수와 선택을 가른다. 필수는 위험이 큰 결함이면서 검사가 쉬운 항목, 선택은 맥락 해석이 필요한 항목이다. 예를 들어 인증서 만료 임박은 필수, CSP의 세부 지시문 평가는 선택에 가깝다. 도구는 비교 가능한 출력이 중요하다. 결과를 시계열로 쌓아야 추세를 읽을 수 있기 때문이다.
실무에서 자주 쓰는 보안 체커, 이렇게 엮는다
- 빠른 10분 점검에 유용한 항목 1) SSL/TLS 품질과 HSTS 배포 확인, 인증서 투명성 로그로 최근 발급 이력 점검 2) 보안 헤더 스냅샷, CSP 유무와 report 엔드포인트 응답성 확인 3) 메인과 회원, 결제 서브도메인의 일관성, 혼합 콘텐츠 여부 4) CDN, WAF 존재 시그니처 체크, 간단한 봇 차단 동작 관찰 5) 상태 페이지나 공지 채널 업데이트 주기, 약관의 출금 관련 조항 최신화 여부 1시간 내 심화 점검으로 확장하는 항목 1) 로그인, 회원가입, 비밀번호 재설정 플로우에서 속도 제한과 추가 인증 트리거 관찰 2) API 엔드포인트 유추 후 응답 코드 일관성, 중복 요청 방지 토큰 동작 확인 3) DNS 레코드 정합성, CAA, SPF, DMARC 정책 강도와 변경 이력 4) 페이지 성능과 지역별 응답 편차, 밤 시간대 지연 패턴 수집 5) 서브도메인 포트 스캔 범위 제한 하에 노출 서비스 파악, 불필요한 대시보드 차단 여부
이 목록은 최종 판단을 대신하지 않는다. 대신 어디부터 의심을 시작하고 무엇을 기록할지 방향을 제시한다. 짧은 시간에 넓게 훑고, 신호가 겹치는 지점을 깊게 판다. 특히 회원 영역과 결제 영역의 정책 차이는 반복해서 먹튀 의심을 뒷받침한 신호였다.
도구 선택, 공짜와 유료의 균형
무료 도구만으로도 상당한 범위를 커버할 수 있다. 공개 SSL 평가, 헤더 점검, 인증서 로그 검색, 간단한 포트 스캔, 서브도메인 열람은 모두 무상으로 가능하다. 하지만 트래픽 패턴, 지역별 지연, 봇 비율 같은 요소는 유료 모니터링이 시간 대비 효율이 좋다. 예산이 빠듯하면 정기 구독 대신 1개월만 집중 측정해 히스토리를 확보한 뒤, 이후에는 경보성 이벤트만 감지하는 형태로 전환한다. 실무에서 가장 효율이 높았던 조합은 주간 SSL 헤더 스냅샷 자동화, 월간 DNS 변경 감시, 분기별 성능 계측이다. 여기에 신고가 들어온 사이트만 수동 심화 점검을 얹는다.
규정과 법적 리스크, 보안보다 먼저 따져야 할 것
먹튀검증은 기술만으로 끝나지 않는다. 이용 약관의 관할 법원 조항, 환불 규정, 보너스 제한 조항, 개인정보 국외 이전 동의는 기술 신호와 같은 무게로 봐야 한다. 약관이 모호하면 기술이 아무리 좋아도 분쟁에서 이기기 어렵다. 특히 출금 보류 사유가 과도하게 넓거나, 계정 정지 조건이 회사 재량으로만 규정되어 있으면 위험도가 높다. 실무에서는 보안 점검 리포트와 함께 약관 리스크를 같은 점수판에 올려 종합 점수를 만든다. 기술적으로 완성도가 높아도, 법적 책임을 회피하는 약관을 쓰는 운영은 최종적으로 피해를 만든다.
사례로 보는 경계의 신호
두 사례를 간단히 적는다. 첫 번째는 겉보기엔 훌륭했다. TLS A+, CSP 엄격, 2FA 제공. 그런데 회원 영역이 다른 서브도메인으로 넘어가면서 와일드카드 인증서가 아닌 별도 DV 인증서를 쓰고 있었다. 인증서 투명성 로그를 보니 해당 서브도메인이 그 주에 새로 발급됐고, DNS NS 레코드가 이틀 간격으로 두 번 바뀌었다. 출금 API는 중복 요청 방지가 불완전했고, 상태 페이지는 3개월째 업데이트가 없었다. 일주일 후 사용자 제보로 출금 지연이 확인됐다. 기술 신호가 운영 리스크와 만나면 결론은 자연스럽게 따라온다.
두 번째는 반대로 초반 인상은 나빴다. 보안 헤더가 다소 빈약했고 SRI도 보이지 않았다. 그런데 TLS 설정이 견고했고, HSTS가 preload로 등록돼 있었으며, KYC 업로드 경로가 독립된 서브도메인에서 별도 키로 암호화되어 저장된다고 명시돼 있었다. 약관의 출금 조항이 구체적이었고, 상태 페이지에는 최근 장애 내역과 복구 시간이 투명하게 기록되어 있었다. 프런트엔드 신호만 보고 판단했다면 놓칠 수 있었던 사례다. 장단이 섞인 경우에는 시간을 두고 추세를 본다. 두 달 후 CSP가 보강되었고, 2FA 옵션이 추가되었다. 이런 개선은 장기 운영 의지를 보여 준다.
현장에서 자주 받는 질문에 대한 짧은 답
HTTPS만 있으면 안전한가. 아니다. 최소한 TLS 버전과 HSTS, 인증서 관리 수준을 보라. 회원과 결제 서브도메인이 같은 기준을 지키는지도 중요하다.
WAF가 있으면 믿을 만한가. 간판이 아니라 튜닝이 관건이다. 가입과 입금만 막고 출금은 허술한 구성이 의외로 많다. 간단한 비정상 패턴에 반응하는지 관찰하라.
도메인 나이가 오래면 안전한가. 최근 소유 변경이 있었는지, NS와 CAA 변화, 인증서 발급 이력을 함께 보라. 오래된 도메인도 매매로 성격이 바뀐다.
2FA가 있으면 계정은 안전한가. TOTP 제공 여부와 백업 코드, 새 기기 알림이 함께 있어야 실효성이 높다. 이메일 링크만으로는 약하다.
상태 페이지가 없으면 모두 위험 신호인가. 절대값이 아니다. 다만 사고 소통에 무관심하다는 신호로는 충분하다. 공지 채널이 대체 역할을 하는지 확인하라.
단계별 먹튀검증 워크플로우, 실패를 줄이는 순서
- 사전 스크리닝 1) 메인, 회원, 결제 도메인 수집, SSL/TLS 점수와 인증서 로그 스캔 2) 보안 헤더와 HSTS, CSP 유무 확인, 혼합 콘텐츠 탐지 3) DNS 레코드 스냅샷, CAA, SPF, DMARC 정책 기록 4) 간단한 성능 계측으로 지역별 편차 파악 5) 약관의 출금 조항, 분쟁 관할, 개인정보 이전 조항 캡처 심화 검증 1) 로그인, 비밀번호 재설정 플로우에서 속도 제한, 캡차, 2FA 제공 확인 2) 회원 정보 변경, 출금 요청의 상태 전이와 중복 요청 방지 동작 관찰 3) WAF 존재 시그니처 확인 후 단순 페이로드에 대한 반응 체크 4) 상태 페이지와 공지 채널의 업데이트 이력, 사고 커뮤니케이션 방식 평가 5) 일주일 간 간헐적 모니터링으로 지연과 오류율의 시간대 패턴 수집
이 순서는 경험상 헛걸음을 줄인다. 사전 스크리닝에서 절반 이상은 탈락한다. 남은 절반만 심화 검증으로 가져가면 체력 소모가 덜하다. 무엇보다도, 결과를 기록해 두면 다음 번 평가 속도가 점점 빨라진다.
사람과 시스템, 두 축을 함께 본다
먹튀를 피하고 싶다면 사람의 흔적을 본다. 고객센터의 대응 톤, 공지의 디테일, 약관 개정 기록. 시스템은 거짓말을 못하고, 사람은 급하면 실수를 한다. 둘을 나란히 놓고 보면 엇박자가 난다. 기술이 좋은데 소통이 허술하면 장기적 리스크, 기술이 어설픈데 소통이 성실하면 개선의 시간이 보인다. 먹튀검증의 목적은 완벽한 사이트를 찾는 것이 아니라, 신뢰할 만한 속도로 고쳐지는 운영을 찾는 데 있다.
마지막 점검, 스스로에게 던지는 다섯 가지 질문
지금 본 신호는 일관적인가. 한두 개의 결함이 아니라 여러 층위에서 같은 방향을 가리키는가.
시간에 따라 개선되는가. 며칠, 몇 주를 두고 재측정했을 때 더 나아졌는가.
회원과 결제, 출금의 기준이 같은가. 가장 민감한 구간에서 보안 수준이 오히려 낮지 않은가.
도메인의 이력과 현재 운영이 연결되는가. 과거 신뢰가 현재에도 유효한가.
문제가 생겼을 때, 이 팀은 제대로 알리고 고칠 것 같은가. 기록, 약속, 실행의 흔적이 있는가.
먹튀검증은 결국 확률의 게임이다. HTTPS부터 WAF까지 기술의 디테일을 쌓아 올리고, 운영의 태도를 교차 검증하면 확률은 확실히 좋아진다. 작은 징후를 가볍게 넘기지 말 것. 반대로 단일 신호에 과잉 반응하지도 말 것. 균형감각이 손실을 줄인다.