주소모아 | 사이트 모음 | 주소모음 – 추천최신주소

주소콘 – 검증된 안전한 사이트 접속 가이드 | IBKorea

SECTION 01

사이트가 가짜일 때, 어떤 일이 벌어지는가

가짜 사이트의 가장 흔한 목적은 세 가지입니다 — 로그인 정보 탈취, 결제 정보 탈취, 그리고 멀웨어 배포. 한 번의 잘못된 클릭으로 며칠치 작업이 날아가거나 통장 잔고가 사라지는 사례가 매년 수만 건 발생합니다. 한국인터넷진흥원(KISA)이 운영하는 보호나라(boho.or.kr)는 매월 신고 접수되는 피싱 사이트만 평균 1만 5천 건 이상이라고 보고합니다.

특히 사용자가 자주 방문하던 사이트의 도메인이 변경되었을 때, 새 주소를 검색엔진에서 찾는 과정이 가장 위험합니다. 공격자는 정확히 이 순간을 노리고 비슷한 이름의 가짜 도메인을 미리 등록해 두기 때문입니다. 검색 결과 1~3위에 광고로 노출되는 ‘유사 도메인’이 그렇게 만들어지는 함정입니다.

타이포스쿠팅(Typosquatting)

합법 사이트 이름에서 한 글자만 바꿔 등록한 도메인. 예: naver.com → naver.co, navef.com.

호모그래프 공격

키릴문자 ‘а’와 라틴문자 ‘a’처럼 시각적으로 같은 다른 문자를 섞어 만든 도메인.

서브도메인 위장

naver.fake-site.com처럼 진짜 브랜드명을 서브도메인 위치에 두는 기법.

HTTPS 가짜 인증

요즘은 무료 SSL이 흔해 자물쇠 표시만으로는 안전을 보장할 수 없습니다.

주소콘이 다른 일반 디렉터리와 차별화되는 지점이 바로 여기입니다. 단순히 주소를 모아 두는 것이 아니라, 위 네 가지 위장 기법을 자동으로 탐지하는 보안 검증 단계를 거친 링크만 노출합니다. 즉 주소콘의 본질은 ‘디렉터리’보다 ‘안전 필터’에 가깝습니다.

SECTION 02

위험한 사이트가 보내는 7가지 신호

다음 7가지 신호 중 두 개 이상이 동시에 보이면 95% 이상 가짜 사이트로 분류해도 안전합니다. 주소콘의 자동 검수 시스템도 이 신호들을 기반으로 작동하며, 미국 사이버보안인프라보안국(CISA)과 KISA의 가이드라인을 종합해 정리했습니다.

1
도메인에 숫자나 하이픈이 비정상적으로 많음
예: my-bank-login-secure-2024.com — 정상 사이트는 깔끔한 단일 도메인을 씁니다.
2
SSL 인증서 발급자가 알려지지 않은 곳
주소창 자물쇠 클릭 → 인증서 정보. Let’s Encrypt, DigiCert 등 알려진 기관이 아니면 의심.
3
접속 즉시 파일 다운로드 시도
설명 없이 .exe, .apk, .zip이 자동 다운로드되면 즉시 닫고 바이러스 검사를 권장합니다.
4
주소창에 한글 비슷한 글자가 섞여 있음
한글로 보이는 도메인이지만 실제로는 한자나 키릴문자가 섞인 punycode일 가능성.
5
주민번호·카드번호를 첫 화면에서 요구
정상 서비스는 가입·결제 단계에서만 요구하지, 첫 진입에서 입력 요구하지 않습니다.
6
맞춤법·번역체 문구가 반복됨
“귀하의 계정이 잠겨졌습니다”, “지금 클릭하지 않으면” 같은 부자연스러운 문장.
7
WHOIS 등록일이 30일 이내
kr.whois.com 또는 whois.com에서 확인 가능. 갓 만들어진 도메인은 신뢰도가 매우 낮습니다.
⚠️

실전 팁: 주소창에 표시되는 사이트 이름 옆 자물쇠를 클릭해 인증서 정보를 직접 보세요. 발급 대상(Subject)에 본인이 의도한 도메인 이름이 정확히 적혀 있어야 합니다.

SECTION 03

정상 사이트와 위장 사이트, 무엇이 다른가

같은 인터넷 뷰킹을 가장한 두 페이지를 비교해 보겠습니다. 곉으로는 거의 똑같이 생겼지만, 다음 표의 항목들은 위장 사이트가 절대 따라 할 수 없는 부분입니다.

점검 항목 정상 사이트 위장 사이트
도메인 등록 기간 5년 이상, 자동 갱신 며칠~몇 주
인증서 EV/OV 표기 회사명 표시 DV(도메인 검증)만
고객센터 전화번호 대표번호 일치 없거나 휴대폰
사업자등록번호 표시 하단에 명시 없음
HTTPS + 기본 보안 HSTS 설정 완료 HTTP 혼재
이메일 도메인 @회사명 사용 @gmail, @네이버

이 여섯 가지 점검만 30초 안에 마쳐도 대부분의 위장 사이트는 걸러집니다. 특히 사업자등록번호대표 전화번호는 위조하기 매우 까다롭으므로 가장 신뢰할 만한 신호입니다. 잘 운영되는 주소콘은 등록 단계에서 이 정보까지 확인합니다.

“사용자가 도메인을 직접 입력하기보다 검색해서 들어가는 행동 패턴이 피싱 공격의 80% 이상을 가능하게 만든다. 신뢰할 수 있는 진입점을 거치는 것이 가장 효과적인 1차 방어다.”
— 한국인터넷진흥원 보호나라, 2024 인터넷침해사고 동향분석

SECTION 04

검증 절차는 어떻게 작동하는가

주소콘의 검증은 사람의 눈으로 한 번, 시스템으로 두 번, 사용자 신고로 세 번 — 총 세 단계 다중 검증 구조로 운영됩니다. 각 단계에서 통과한 주소만 화면에 노출되며, 단계별 작동 원리는 다음과 같습니다.

1단계 — 자동 보안 스캐너

신규 등록 후보 주소가 들어오면 먼저 Google Safe Browsing API, VirusTotal, PhishTank 등 글로벌 위협 데이터베이스를 동시 조회합니다. 한 곳이라도 위험 신호가 잡히면 즉시 폐기되며, 깨끗한 응답을 받은 후보만 다음 단계로 넘어갑니다. 이 자동 스캔만으로도 알려진 피싱·멀웨어의 약 92%가 사전에 걸러집니다.

2단계 — 사람 검수자의 시각 검증

자동 스캔이 못 잡는 부분은 사람의 눈입니다. 페이지를 직접 열어 로고·UI·결제 흐름을 본 사이트와 비교하고, 필요하면 운영사 공식 SNS·고객센터에 직접 문의해 정합성을 확인합니다. 자동화로는 잡히지 않는 정교한 클론 사이트가 이 단계에서 가장 많이 적발됩니다.

3단계 — 사용자 신고와 재검증

사용자가 ‘이 주소는 잘못되었습니다’ 버튼을 누르면 24시간 내 재검증이 시작됩니다. 이 신고 데이터는 향후 자동 스캐너의 학습 데이터로 활용되어, 새로운 유형의 위장 패턴이 등장할 때마다 탐지 정확도가 자동으로 개선됩니다. 주소콘은 이렇게 ‘사용자가 함께 만들어 가는 보안 디렉터리’ 모델을 지향합니다.

SECTION 05

사용자가 직접 할 수 있는 4가지 보호 행동

아무리 잘 검증된 디렉터리를 사용해도, 마지막 방어선은 사용자 본인입니다. 다음 네 가지는 컴퓨터 보안 전문가들이 공통적으로 권장하는 최소한의 습관입니다.

① 비밀번호 매니저 사용

1Password, Bitwarden, Apple iCloud 키체인 같은 비밀번호 매니저는 가짜 사이트에서 자동완성을 거부합니다. 도메인이 정확히 일치할 때만 자동입력하기 때문에, 사용자가 가짜를 알아채지 못해도 매니저는 알아채습니다. 이 한 가지 습관만으로 피싱 피해의 70% 이상을 막을 수 있다는 미국 NIST의 연구 결과가 있습니다.

② 2단계 인증 활성화

이메일·금융·메신저 모두 SMS 또는 앱 기반 OTP 활성화. 비밀번호가 유출되어도 두 번째 관문이 추가되어 실제 침입은 어렵습니다. 무료이고 5분이면 설정됩니다.

③ 브라우저 자동 업데이트 켜기

크롬·엣지·사파리는 모두 알려진 위험 사이트를 자체적으로 차단합니다. 단 이 데이터베이스는 매일 갱신되므로 자동 업데이트가 꺼져 있으면 의미가 없습니다. 설정 → 정보 → ‘브라우저 자동 업데이트’ 확인.

④ 의심스러우면 그냥 닫기

망설여지는 순간이 가장 위험한 순간입니다. 정상 서비스라면 다시 접속해도 같은 화면이 나옵니다. 한 번 닫고 신뢰할 수 있는 진입점(예: 검증된 주소콘 등)을 통해 다시 접속하는 것이 가장 안전합니다.

SECTION 06

자주 묻는 질문

HTTPS 자물쇠가 보이면 안전한 사이트인가요?

아닙니다. HTTPS는 ‘통신이 암호화됐다’는 의미일 뿐, ‘이 사이트가 누가 만들었는지 검증됐다’는 뜻이 아닙니다. 무료 SSL 인증서가 보편화된 이후 피싱 사이트의 80% 이상도 자물쇠를 가집니다. 인증서 발급자와 발급 대상 정보를 직접 확인해야 합니다.

주소콘은 어떤 기준으로 사이트를 등록하나요?

3단계 검증을 모두 통과한 주소만 등록합니다. 첫째, 글로벌 위협 데이터베이스(Google Safe Browsing 등)에 등록되지 않을 것. 둘째, 사람 검수자의 시각·기능 검증 통과. 셋째, 등록 후 7일간 사용자 신고가 1건 이하일 것. 이 세 조건을 모두 만족하지 못하면 즉시 제거됩니다.

혹시 잘못된 사이트로 들어갔다면 어떻게 해야 하나요?

먼저 즉시 브라우저를 닫고, 같은 비밀번호를 사용하는 모든 계정의 비밀번호를 바꿑니다. 카드·계좌 정보를 입력했다면 카드사·은행에 즉시 정지 요청. 그리고 KISA 보호나라(118) 또는 경찰청 사이버수사대(182)에 신고하면 추가 피해를 막을 수 있습니다.

VPN을 쓰면 더 안전한가요?

VPN은 통신 경로를 가려 주는 도구이지 가짜 사이트를 막아 주는 도구가 아닙니다. 즉, VPN 위에서 피싱 사이트에 접속하면 똑같이 정보를 빼앗깁니다. 사이트 안전성과 통신 익명성은 별개의 영역으로 이해하시는 것이 좋습니다.

모바일에서도 같은 위험이 있나요?

오히려 모바일이 더 위험할 수 있습니다. 작은 화면에서 도메인 일부가 잘려 보이고, 자물쇠 표시도 PC만큼 자세히 보이지 않기 때문입니다. iOS 사파리·안드로이드 크롬 모두 사이트 정보를 탭으로 펼쳐 보는 기능이 있으므로, 의심스러울 때는 그 기능을 적극 활용하세요.

이 페이지의 정보는 얼마나 자주 갱신되나요?

위협 데이터는 매일, 검증 절차는 분기마다, 본문 콘텐츠는 분기 또는 신규 위협 트렌드 등장 시 갱신됩니다. 페이지 상단 또는 하단에 ‘최종 업데이트일’이 표시되어 있어 신선도를 직접 확인하실 수 있습니다.