온라인 불법 도박과 사기 사이트는 치고 빠지는 속도가 빠르다. 밤중에 도메인을 갈아타고, 낮에는 광고를 잠깐 열었다 닫는다. 피해자는 수분 단위로 늘어난다. 운영사나 커뮤니티, 보안팀이 뒤늦게 움직이면 이미 자금이 빠져나가고, 흔적은 프록시와 해외 호스팅의 뒤안길로 숨어든다. 그래서 먹튀검증을 전담하는 조직이라면, 긴급 차단과 신고를 평상시처럼 굴러가게 만들어야 한다. 준비된 루틴, 정확한 증거 수집, 손에 익은 신고 채널. 이 세 가지가 맞물려야 실제 피해를 줄일 수 있다.
이 글은 현장에서 반복해서 다듬은 절차와 판단 기준을 담았다. 보안 업계나 커뮤니티 운영자, 결제 중개사, 광고 네트워크 담당자, 호스팅 및 도메인 등록기관 실무자에게 도움이 되도록 실무 언어로 정리했다.
먹튀, 먹튀검증, 그리고 ‘긴급’의 기준
먹튀는 가입 유도와 이벤트, 고수익 미끼로 사용자를 끌어들인 뒤 출금 거부, 계정 정지, 고객센터 잠적 등으로 이탈하는 전형적 사기 행위를 말한다. 먹튀검증은 해당 사업자의 신뢰도를 다각도로 평가해 위험을 조기에 식별하고, 이미 발생한 피해를 줄이기 위한 대응을 포함한다. 여기에는 채널 모니터링, 도메인·IP 인프라 분석, 고객 제보 정합성 점검, 결제 흐름 추적, 광고 소재 검수, 그리고 법적 신고와 차단 협조 요청이 모두 들어간다.
긴급 차단의 기준은 모호하면 안 된다. 보통 다음 중 하나라도 충족하면 바로 긴급 라인으로 태운다. 첫째, 동일 도메인 또는 동일 운영팀으로 의심되는 계정군에서 출금 지연이나 계정 정지 제보가 일정 수 이상, 보통 3건 이상 24시간 내에 유입된 경우. 둘째, 신규 유입을 대량으로 터는 광고 집행이 감지되는 경우, 예를 들어 특정 시간대 검색광고 클릭률이 급증하거나 메시지 앱 오픈채팅 유입이 갑자기 치솟는 패턴. 셋째, 결제 중개사 혹은 제3자 파트너의 경보, 예를 들어 PG에서 동일 MID로 발생하는 비정상 거래 반려율이 20%를 넘겼다는 통보. 넷째, 도메인과 서버 인프라가 기등록된 ‘고위험’ 템플릿과 높은 유사도를 보이는 경우. 이 네 가지는 별개로 보이지만, 현장에서는 종종 동시에 일어난다.
증거는 빠르게, 그러나 정밀하게
긴급 차단을 누르기 전에 필수로 거쳐야 하는 과정이 있다. 증거 수집이다. 서두르다 보면 스크린샷은 남겼지만 타임스탬프가 없고, 화면 일부만 찍혀 맥락이 사라지거나, WHOIS와 DNS 쿼리 결과를 저장하지 않아 차단 협조가 늦어진다. 증거는 나중에 법적 다툼에도 쓰인다. 반대로 증거가 허술하면 명예훼손 이슈에 휘말릴 수도 있다.
현장에서 유용했던 원칙은 두 가지다. 첫째, 동일 시점 기준 원시 데이터와 사람이 읽을 수 있는 정리본을 동시에 남긴다. 예를 들어 nslookup, whois, curl 결과를 원본 텍스트로 저장하고, 화면 녹화와 스크린샷을 함께 보관한다. 둘째, 연쇄적으로 연결되는 인프라를 그래프 형태로 계속 업데이트한다. 초기에는 도메인 하나였더라도 곧바로 미러 도메인과 서브도메인, 광고 랜딩 URL, 텔레그램 채널, CDN 엣지 IP가 엮여나온다. 이 연결 관계를 시간순으로 보관해야 다음 차단 요청이 빨라진다.
긴급 차단 표준 절차, 5단계
- 탐지와 분류: 제보와 모니터링 신호를 수집해 사건 ID를 발급한다. 10분 내에 고위험 템플릿과 지표를 대조해 긴급 여부를 결정한다. 탐지 단계에서 가장 많이 틀리는 부분은 ‘단일 제보의 신뢰도’다. 동일 사용자 반복 제보는 가중치를 낮추고, 서로 다른 결제 수단에서의 동일 오류 메시지는 가중치를 높인다. 최소 확인과 에스컬레이션: 운영 담당자가 바로 확인 가능한 항목만 신속히 검증한다. 도메인·IP, 결제 MID, 운영자 연락 수단, 출금 거부 화면, 약관 변경 이력. 이 검증은 30분을 넘기지 않는다. 확인된 사실과 불확실성을 분리해 기록하고, 불확실한 항목은 추정으로 표기한다. 격리와 노출 억제: 내부 자산과의 연결 차단부터 조치한다. 자사 광고 집행 중단, 제휴 링크 비활성화, 탐지 룰을 업데이트해 추천·검색 노출을 걷어낸다. 동시에 파트너사에 사전 경보를 보내 PG, 광고 네트워크, CDN, 호스팅에 임시 제한을 요청한다. 이때는 정지보다 스로틀링이나 리캡차 삽입, 신규 계정 생성 제한 같은 억제책도 유용하다. 공식 차단 요청과 신고: 관할 신고 채널과 사업자 Abuse 창구로 정식 요청을 넣는다. 도메인 등록기관, 호스팅, CDN, 결제사, 앱마켓, 광고 플랫폼에 약관 위반과 피해 사실을 근거로 차단을 요구한다. 동시에 국내 신고 시스템에 사건을 접수해 레퍼런스 번호를 확보한다. 레퍼런스 번호는 파트너사 대응을 끌어내는 데 생각보다 큰 힘을 발휘한다. 사후 추적과 복구: 차단 후 72시간은 재등장 모니터링을 강화한다. 미러 도메인, 단축 URL, 다른 메신저 채널로의 이동을 추적하고, 내부 차단 정책을 정교화한다. 피해자 가이드, 환불 유사 사기 경보, 법률 지원 안내를 정리해 일괄 배포한다.
이 먹튀검증 5단계는 각 단계 사이에 병렬로 처리할 작업이 많다. 예를 들어 격리 단계와 신고 단계는 부분적으로 겹친다. 그러나 타임라인을 명확히 쪼개야 담당자 교대나 야간 대응에서 혼선이 줄어든다.
차단 지점은 여러 곳, 어느 나사를 먼저 조일 것인가
차단은 한 곳만 두드려서는 충분하지 않다. 도메인부터 트래픽, 결제, 유입 경로까지 각각의 밸브를 동시에 혹은 순차적으로 잠가야 한다. 우선순위는 피해 확산 속도와 협조 가능성에 따라 정한다.
도메인과 DNS는 장점과 한계가 뚜렷하다. 등록기관 레지스트라에 약관 위반과 불법 콘텐츠 호스팅 사실을 근거로 등록 중지를 요청할 수 있다. 국내 레지스트라는 상대적으로 응답이 빠른 편이지만, 해외 특히 프라이버시 보호를 앞세우는 레지스트라는 증거를 더 깐깐히 본다. DNS 레코드를 자주 바꾸는 빠른 유동(fast-flux) 패턴이라면, 카운터메저로 해결책이 오래 못 간다.
호스팅과 CDN은 콘텐츠 전송을 멈출 수 있는 강력한 지점이다. 글로벌 CDN은 AUP 위반 신고에 신속 대응하는 편이지만, 중소 호스팅은 Abuse 창구가 형식적이거나 해외 시간대에 묶여 대기가 길어진다. 트래픽 특징, 예를 들어 특정 경로나 파일이 불법 유도 페이지라는 명확한 근거를 제시하면 부분 차단이 아닌 계정 정지로 이어질 확률이 높다.
결제는 사기 수익의 혈류다. MID가 확인된다면 PG사 리스크팀과 협의해 결제 중단, 정산 보류, KYC 재검증을 걸 수 있다. 최근에는 토스, 네이버페이 같은 간편결제와 가상계좌를 섞는 경우가 많다. 가상계좌는 발급 은행의 금융사기 대응 라인과 직접 연동하면 빠르다. 반면 암호화폐 주소로 유도하는 케이스는 거래소와의 협력이 핵심이다. 거래소의 AML 부서에 주소 블랙리스트 등록을 요청하고, 온체인 분석으로 관련 주소군을 함께 제출한다. 거래소마다 응답 속도가 달라, 과거 협업 이력이 있는 곳은 평균 2시간 내 피드백이 오지만 신규 접점은 하루 이상 걸리는 경우가 많다.
유입 경로는 공급을 줄이는 밸브다. 검색광고와 디스플레이 네트워크, 앱마켓, 소셜·메신저 커뮤니티가 주요 루트다. 광고 플랫폼은 ‘부정 행위’, ‘사기성 서비스’ 등 위반 카테고리로 신고하면 빠르게 광고 계정을 제한한다. 다만 광고주가 멀티 계정을 돌리는 경우, 지표 기반 자동 룰과 소재 지문(fingerprint)을 병행해야 한다. 앱마켓은 심사 정책 위반에 대한 근거를 명확히 제시하면 보통 수일 내 조치가 나오지만, 외부 웹뷰를 통해 불법 행위가 이뤄지는 형태는 입증이 까다롭다. 이때는 네트워크 트래픽 캡처와 웹뷰 렌더링 증거를 덧붙여야 한다.
신고 채널, 어디에 어떻게 넣을 것인가
국내 공공 신고는 레퍼런스 확보와 사후 수사 연계를 위해 반드시 밟아야 한다. 경찰청 사이버범죄 신고시스템은 온라인 불법 도박, 전자금융 사기 등 사이버 범죄 전반을 접수한다. 피해 금액, 접속 경로, 거래 내역, 스크린샷이 함께 들어가면 사건 분류가 빨라진다. 전화나 방문보다 온라인 접수가 이력 관리에 유리하다. 긴급성이 높다면 112를 병행하되, 온라인 접수 번호를 전달해 사건 연계를 요청한다.
방송통신심의위원회 불법유해정보 신고센터는 웹사이트와 게시물, 앱 등 정보매체 단위의 시정 요구를 담당한다. URL 단위, 게시글 단위로 넣는 것이 원칙이며, 반복적 재게재가 확인되면 사이트 단위 심의를 요청할 수 있다. 여기에는 유출 우려가 있는 개인정보가 포함될 수 있어, 증빙 자료에서 주민번호 등 민감 정보를 마스킹하는 습관을 들여야 한다.
한국인터넷진흥원은 스팸, 피싱, 악성 앱 유포 등 정보보호 관점의 침해사고 신고를 받는다. 피싱형 먹튀 페이지나 스미싱 문구가 결합된 케이스라면 KISA 신고를 병행하는 것이 유효하다. 상담센터를 통해 호스팅, 통신사, 금융권과의 협업 창구를 안내받을 수 있어 복합 사건에는 도움이 된다.
금융 관련 피해가 뚜렷하다면 금융감독원 상담과 신고 채널을 동시에 열어두는 편이 낫다. 특히 비인가 결제 대행, 대포통장 연계가 의심되면 계좌 지급정지나 추가 피해 확산 방지에 필요한 조치를 서둘러 요청할 수 있다. 단, 피해자 본인 인증과 이체 내역이 필요하므로, 조직이 대리로 진행할 때는 위임장과 증빙을 갖춰야 한다.
민원 일원화 창구인 국민신문고도 유용하다. 사이버범죄나 불법 정보는 최종적으로 해당 부처와 기관으로 배분된다. 긴급 사안에서는 직접 전문 신고 시스템으로 넣고, 병행해 국민신문고에 사건 개요와 참고자료를 제출해 기록을 남긴다. 분쟁 소지가 있는 가짜 제보나 허위 신고를 걸러내는 데도 사건 기록이 도움이 된다.
신고 시 필수 증빙 체크리스트
- URL, 도메인, IP, 서버 응답 헤더: 시간과 타임존을 포함해 캡처한다. 동일 시점에 nslookup, whois, curl -I 결과를 저장한다. 이용약관과 결제 흐름: 가입과 입금, 베팅, 출금 화면을 시간순으로 녹화하고, 약관 변경 이력이 있으면 이전 버전과 비교본을 준비한다. 거래 내역과 상대 계좌 정보: 결제 승인·거절 로그, 가상계좌 발급 내역, 입금 계좌 실명 정보, 암호화폐 주소와 트랜잭션 해시를 포함한다. 사용자 제보 원본: 닉네임이 아닌 연락 가능한 식별자와 제보 시각, 동일인이 여러 차례 제보했는지 여부, 캡처 원본 파일. 가능하면 해시값으로 무결성 표시. 연결 인프라 지도: 미러 도메인, 단축 URL, 광고 소재 ID, 텔레그램·디스코드 채널 링크, CDN·WAF 서명과 위반 로그.
위 다섯 가지를 한 번에 모두 모으기 어렵다. 그러나 신고 접수 시 첫 묶음으로 1, 2, 3을 넣고, 24시간 내 보강 자료로 4, 5를 추가 제출하는 흐름을 정해두면 협조 속도가 빨라진다.
커뮤니케이션, 말 한마디가 시간을 단축한다
신고 그 자체만큼 중요한 것이 커뮤니케이션 포맷이다. 결제사나 호스팅사 Abuse 팀은 하루에도 수십 건의 제보를 받는다. ‘먹튀가 의심된다’는 표현보다 ‘피해자 N명, 동일 도메인, 동일 MID, 출금 거부 패턴, 약관 위반 조항’ 식의 구조화된 문장을 선호한다. 제목은 세 줄을 넘기지 않고, 첫 줄에는 요청 행동을 명시한다. 예를 들면 “정산 보류 및 거래 중단 요청 - 도메인 X, MID Y, 피해 제보 7건”.
승인 라인이 긴 조직에는 사전 안내가 효과적이다. “오늘 오후 5시에 긴급 요청이 들어갈 예정이며, 관련 자료는 링크에 정리했다. 담당자 호출 라인을 공유해달라.” 이런 사전 통지는 근무시간 종료 직전의 공백을 줄여준다. 실제로 야간에 사전 연락 없이 들어간 Abuse 요청은 다음날 오전까지 묶이는 경우가 절반 가까이 된다.
현장에서 겪은 두 가지 사례
첫 사례는 광고 억제가 늦어 피해가 커진 경우다. 특정 토요일 오후, 신규 가입 쿠폰으로 검색광고 클릭률이 세 배로 뛰었다. 내부 모니터링은 알람을 냈고, 제보도 동시에 들어왔다. 그런데 광고 중단 승인 라인이 주말 체계로 묶여 6시간이 걸렸다. 그 사이 첫 입금 유도에 응한 사용자 수가 2천 명을 넘었고, 결제 금액은 1억 원대 중반이 확인됐다. 이 사건 이후 우리는 주말 전용 승인 라인을 따로 뺐고, 광고 계정 내에서 자율 중단 권한을 리스크 온콜에 위임했다. 비슷한 패턴이 다시 왔을 때는 40분 내 노출을 80% 이상 줄일 수 있었다.
둘째 사례는 과잉 차단의 후폭풍이다. 도메인 템플릿이 유사하고 고객센터 문구가 비슷하다는 이유로 합법 서비스까지 함께 묶어 차단 요청을 넣었다. 호스팅사는 계정을 정지했고, 이틀 뒤 법무팀 연락이 왔다. 정식 사업자등록증과 결제 내역, 출금 정상 처리 로그가 명확했다. 우리는 사과하고 접근 제한 해제를 요청했다. 이 사건을 겪은 뒤, 긴급 라인에서도 최소한의 재확인 항목을 두 가지로 못 박았다. 운영자 실체 확인(사업자 등록 또는 KYC 문서), 실제 출금 실패 증거. 이 두 가지가 없으면 차단 요청 문구에서 ‘의심’으로만 표기하고, 플랫폼 노출 억제에 그치도록 룰을 바꿨다.
법적 쟁점과 윤리적 균형
먹튀검증은 공익을 목적으로 하지만, 명예훼손과 무고의 경계에 서기 쉽다. 사실 적시 명예훼손은 한국 법제에서 범죄가 될 수 있다. 그래서 표현을 절제하고, 평가가 아닌 사실과 근거 중심으로 정리하는 습관이 필요하다. “사기 업체”라는 단정 대신 “출금 지연 제보 N건, 고객센터 미응답, 약관 XX조 위반 정황, 법령 YY 위반 소지”처럼 적는다.
증거 수집 과정의 합법성도 중요하다. 타인의 계정을 무단으로 침투하거나, 인증을 우회해 내부 페이지를 캡처하는 방식은 위법 소지가 있다. 공개된 정보, 신고자의 자발적 제공, 합법적 트래픽 캡처 범위에서 움직여야 한다. 그리고 개인정보 보호. 제보자가 남긴 계좌번호, 연락처, 신분증 일부는 신고 기관 제출 용도 외에 공개하면 안 된다. 내부 문서에는 최소한의 식별자만 남기고, 외부 공유본은 마스킹과 비식별화를 기본값으로 둔다.
로그 보존 정책도 분명해야 한다. 접수부터 3년, 혹은 사법기관 요청이 있을 때까지 연장하는 정책이 흔하다. 반면, 불필요한 장기 보관은 침해사고 리스크를 키운다. 사건 종결 6개월 뒤에는 PII를 분리 삭제하고, 기술 지표와 재발 방지에 필요한 메타데이터만 남기는 절충안을 권한다.
외국 소재, 텔레그램, 미러 사이트 같은 까다로운 변종
해외 레지스트라와 호스팅은 한국 기관의 요구에 즉각 반응하지 않는다. 이때는 약관 위반과 함께 해당 국가 또는 사업자의 준거법 위반 가능성을 언급하면 반응률이 올라간다. 예컨대 카드사 규제에 반하는 불법 도박 결제 유도, KYC 미이행, 소비자 보호 정책 위반 등이다. 글로벌 사업자는 내부 정책 위반에 더 민감하다.
텔레그램, 디스코드 같은 메신저 채널은 공개 링크와 메시지 신고가 출발점이다. 운영 주체 식별이 어려워도, 봇 연동 지표나 결제 랜딩 연결 고리를 증거로 제시하면 채널 비공개 전환이나 삭제가 빠르게 이뤄지기도 한다. 메신저 신고는 보통 열람 후 일괄 조치라, 사건 개요와 링크 모음을 한 번에 보내는 편이 효율적이다.
미러 사이트는 흔히 짧은 도메인을 연속 사용한다. 패턴을 잡기 위해 도메인 생성 알고리즘 유사성을 본다. 등록일, 네임서버, SOA 값, CDN 설정, TLS 인증서 발급 기관과 서명 패턴은 재사용 흔적을 남긴다. 이들 지문을 바탕으로 예측 블록리스트를 운영하면, 신규 노출을 사전 억제할 수 있다. 다만 과잉 차단 위험이 있으니, 자동 차단 임계값을 낮게 잡고 사람 검토 단계를 끼워 넣는다.
지표와 회고, 다음 사건을 더 빨리 막기 위해
운영에서 지표는 말이 아니라 시간을 줄인다. 탐지까지 걸린 평균 시간(MTTD), 결정까지 걸린 시간, 외부 협조 응답 시간, 전체 차단까지 걸린 시간(MTTR). 이 네 가지를 사건마다 기록한다. 거기에 재등장률과 미러 사이트 출현 간격을 덧붙이면, 미래 사건의 리소스 배분이 보인다. 예를 들어 레지스트라 협조가 느린 유형에서는 광고 억제와 결제 중단에 더 많은 시간을 투입하는 편이 합리적이다.
오탐률과 과잉 차단에 따른 반발 건수도 관리해야 한다. 일정 기간 오탐률이 2%를 넘으면, 심사 기준을 재정의하거나, 증거 점검 체크리스트를 강화한다. 반대로 사건 대응 시간이 길어지면, 의사결정권자를 재배치하거나 온콜에 더 넓은 권한을 부여한다. 야간과 주말, 공휴일마다 다른 성능을 보이기도 한다. 주당 최소 한 번은 야간 훈련을 돌려, 실제 환경에서 알람부터 차단, 신고까지의 흐름을 리허설한다.
사람과 도구, 둘 다 훈련되어야 한다
먹튀검증을 전담하는 팀이든, 관련 업무를 겸하는 보안팀이든, 도구와 사람이 함께 업그레이드돼야 한다. 자동화는 피로를 줄이고, 판단은 실수를 줄인다. 도메인 관제, 광고 소재 지문화, 결제 흐름 감시, 온체인 분석, 스크린샷과 화면 녹화 자동 저장, 워터마크와 타임스탬프 삽입 같은 툴을 표준화한다. 반면 제보 정합성 판단, 과잉 차단 리스크 평가, 공문 문구 작성은 사람이 맡는 것이 낫다.
신규 인원에게는 실제 사건 기록을 교재로 쓰는 것이 가장 빠르다. 성공과 실패 모두를 보여준다. 예를 들어 “사건 A는 PG 대응이 40분에 끝났고, 레지스트라에는 6시간이 걸렸다. 이유는 증거 패키지의 부족이었다. 다음부터는 초기 패키지에 이 항목을 추가한다.” 이런 형태의 실전 교본은 문서보다 더 오래 기억에 남는다.
피해자 보호, 사후 사기도 막아야 한다
차단이 잘 이뤄져도, 피해자에게는 새로운 위험이 온다. 환불을 미끼로 한 2차 사기다. “환급 수수료만 내면 원금 전액 돌려준다”는 유형이 대표적이다. 사건 공지와 함께 2차 사기 경보를 붙이고, 환불 유도 연락은 전부 사기라고 명확히 안내한다. 필요한 경우, 피해자 커뮤니티와 협력해 공지를 고정하고, 정식 신고 방법과 상담 창구를 연결한다.
법률 지원이나 금융 상담이 필요한 경우가 많다. 실제로 개별 피해액이 30만 원대라도 여러 번 분할 입금된 패턴이라 총액이 수백만 원에 이르는 사례가 적지 않다. 피해자가 스스로 사건을 정리하도록 돕는 양식, 예를 들어 거래 일시와 금액, 계좌, 대화 캡처, 신고 접수 번호를 채워 넣는 문서를 제공하면 신고 품질이 고르게 올라간다.
마지막 점검, ‘지금 당장’ 가능한 개선
이 글을 읽고 바로 할 수 있는 일은 복잡하지 않다. 긴급 차단 5단계 요약본을 팀 위키 최상단에 올리고, 신고 채널별 제출 서식 템플릿을 만들어 둔다. 도메인·IP·결제·광고·앱마켓 담당자의 연락처와 야간 온콜 라인을 하나의 페이지로 묶는다. 증거 자동 수집 스크립트를 사내 표준으로 배포하고, 저장 위치를 사건 ID로 통일한다. 마지막으로, 다음 주 중 30분짜리 모의 훈련을 잡는다. 제보 3건을 가정하고, 90분 내에 어디까지 갈 수 있는지 팀이 함께 확인한다.
먹튀검증은 완벽할 수 없다. 하지만 절차와 신고 채널을 손에 익히면, 피해 확산 속도를 이길 수 있다. 결국 현장은 시간 싸움이다. 준비된 팀만이 시간을 자기 편으로 돌린다.