whois와 dig로 5분 만에 스미싱 문자 가짜 판별하기

어느 날 문자 한 통을 받았습니다. "8시간 이내에 인증되지 않으면 계정이 차단됩니다"라는 경고와 함께 짧은 링크 하나가 적혀 있었습니다. WhatsApp을 사칭한 스미싱 문자였는데, 화면을 본 첫 반응은 '뭐지?'였습니다. 가슴이 철렁할 새도 없이 곧바로 의심스럽다는 생각이 먼저 들었습니다. 무언가에 속을 뻔했다기보다는, 문장의 결이 처음부터 어딘가 어긋나 있었습니다. 그래서 링크는 열지 않았습니다. 대신 터미널을 열고, 이 도메인이 어떤 데이터를 품고 있는지부터 천천히 들여다봤습니다.

이 글에서 제가 지킨 단 하나의 원칙은 이것입니다. 의심스러운 링크는 절대 열지 않고, 도메인의 공개 메타데이터만 조회한다. 그렇게 whois와 dig 두 명령만으로 약 5분 만에 "이건 가짜"라는 결론에 도달했습니다. 피해는 0이었고, 판별은 전부 외부 정찰만으로 끝났습니다.

결론부터 — 이건 가짜입니다

먼저 결론을 말씀드리면, 이 문자는 WhatsApp을 사칭한 스미싱이 확실합니다. 다만 그 판단의 근거가 "왠지 느낌이 이상해서"가 아니라는 점이 중요합니다. 근거는 전부 공개된 WHOIS·DNS 데이터였고, 같은 명령을 따라 치면 누구나 똑같은 결론에 도달할 수 있습니다.

막연한 불안도 몇 줄의 데이터로 바꿔 놓으면, 의심은 그저 차분한 확인 작업이 됩니다. 아래에서 어떤 신호를 어떤 명령으로 확인했는지 순서대로 풀어보겠습니다.

데이터가 말해 준 신호들

가장 먼저 눈에 걸린 것은 도메인의 철자였습니다. 문자에 적힌 주소는 whatapp-serve[.]com이었습니다. 정식 도메인은 whatsapp.com입니다. 's'가 하나 빠졌고, 뒤에 -serve라는 접미사가 붙어 있었습니다. 진짜와 비슷하게 보이도록 살짝 비튼 타이포스쿼팅(typosquatting)입니다. 눈으로 의심이 들었으니, 나머지는 명령으로 검증하면 됩니다.

그다음은 등록일이었습니다. 이것이 가장 강력한 적신호였습니다.

whois whatapp-serve.com

출력에서 제가 확인하고 싶었던 줄은 단 하나, 생성일이었습니다.

Creation Date: 2026-05-11
Registrar: Gname.com Pte. Ltd.
Registrant: Redacted for privacy

분석 시점이 2026년 6월 1일이었으니, 이 도메인은 약 3주 전에 만들어진 것이었습니다. 전 세계가 쓰는 메신저 브랜드가 고작 3주 전에 새 도메인을 만들어 "계정을 인증하라"고 문자를 보낼 이유는 없습니다. 신규 등록 도메인 하나만으로도 이야기의 절반은 끝난 셈이었습니다.

같은 출력의 나머지 두 줄도 그림을 분명하게 만들어 주었습니다. 등록 대행사는 Gname.com Pte. Ltd.(싱가포르)였는데, 대량 피싱에 자주 악용되는 곳입니다. 정식 Meta라면 MarkMonitor처럼 브랜드 보호에 특화된 기업용 등록기관을 씁니다. 게다가 등록자 정보는 Redacted for privacy로 가려져 있었습니다. 정식 브랜드 도메인은 보통 Meta 명의가 공개되는데, 사칭과 은닉이 겹친다는 점이 다시 마음에 걸렸습니다.

이제 도메인이 어떤 인프라 위에 올라가 있는지를 봤습니다.

dig +short whatapp-serve.com NS
dig +short whatapp-serve.com A
dig +short whatsapp.com A

네임서버부터 보겠습니다.

dee.ns.cloudflare.com
leo.ns.cloudflare.com

Cloudflare 뒤에 숨어 있었습니다. Cloudflare 자체는 정상적인 서비스지만, 원본 서버 IP를 가리고 차단(takedown)을 회피하려는 피싱 도메인이 흔히 기대는 구성이기도 합니다. 그 자체로 결정적 증거는 아니되, 앞서 본 신호들과 겹치면 의미가 달라집니다.

마지막은 가장 결정적인 대조였습니다. 가짜 도메인과 정식 도메인이 실제로 어떤 IP로 해석되는지를 나란히 놓아봤습니다.

# whatapp-serve.com  →  172.67.209.214 / 104.21.93.122   (Cloudflare 프록시 대역)
# whatsapp.com       →  57.144.189.32                     (Meta 자체 IP 대역)

같은 회사가 운영하는 서비스라면 인프라가 이렇게까지 동떨어질 수 없습니다. 정식 도메인은 Meta 자체 대역을 가리키는데, 사칭 도메인은 그 흔적이 전혀 없었습니다. 동일한 주체가 아니라는 결론이 데이터로 분명해졌습니다.

마지막 신호는 명령이 아니라 문장 그 자체에 있었습니다. "8시간 내에 인증하지 않으면 계정이 차단됩니다"라는 문구는 시간 압박과 계정 정지 위협을 한데 묶은, 전형적인 피싱 공식입니다.

지금까지의 신호를 정식과 가짜로 나란히 정리하면 차이가 더 또렷해집니다.

도메인을 안 봐도 끝나는 한 가지

사실 위의 분석을 전부 생략해도 이 문자가 가짜라는 결론은 바뀌지 않습니다. 더 단순하고 결정적인 사실이 하나 있기 때문입니다. WhatsApp은 SMS 링크로 계정을 "인증"하지 않습니다. 인증은 오직 앱 안에서 6자리 코드를 입력하는 방식으로만 이루어집니다.

그러니 "링크를 눌러 인증하라"는 요구는 WhatsApp의 정책상 애초에 성립할 수 없습니다. 서비스가 그렇게 동작하지 않는다는 사실 하나만으로, 도메인을 들여다보기도 전에 가짜라고 단정할 수 있었습니다. 앞의 WHOIS·DNS 분석은 결론을 바꾸기 위한 것이 아니라, 왜 가짜인지를 데이터로 증명하기 위한 보강이었던 셈입니다.

따라 해 보는 5분 루틴

같은 상황을 마주쳤을 때 그대로 따라 칠 수 있도록 제가 사용한 명령을 모아 두겠습니다. 핵심은 변함없이 브라우저로 사이트를 직접 열지 않는다는 것입니다.

whois whatapp-serve.com            # 등록일·등록기관·등록자·네임서버
dig +short whatapp-serve.com A     # 실제 해석 IP
dig +short whatapp-serve.com NS    # 네임서버 (은닉 여부)
dig +short whatsapp.com A          # 정식 도메인과 대조

사이트를 직접 열지 않고도 정보를 얻고 싶을 때는 urlscan.io나 VirusTotal 같은 서비스가 도움이 됩니다. 이들이 대신 접속해 주기 때문에, 제 IP는 피싱 사이트에 한 번도 노출되지 않았습니다. 결국 의심에서 결론까지 가는 데 필요한 것은 명령 몇 줄과 약간의 차분함뿐이었습니다.

연구하면서 지킨 것들

마지막으로, 이런 도메인을 들여다볼 때 스스로 지킨 원칙을 정리해 둡니다. 확인하는 사람이 도리어 노출되는 일을 막기 위한, 최소한의 매너에 가깝습니다.

• 내 집 IP로 피싱 사이트에 직접 접속하지 않습니다. WHOIS·DNS·urlscan 같은 수동 정찰을 우선하고, 스크린샷이 꼭 필요하면 VPN과 격리된(샌드박스) 브라우저를 씁니다.

• 글에 적는 URL은 defang 처리합니다. whatapp-serve[.]com, hxxps://처럼 적어, 독자가 실수로 클릭하는 일을 막습니다. 보안 글의 표준 매너이기도 합니다.

• 내 개인정보는 가리고, 분석 대상은 그대로 둡니다. 문자 스크린샷의 전화번호나 이름은 가리되, 도메인·IP·등록기관·등록일은 공개된 WHOIS 정보이므로 그대로 기재해도 무방합니다.

• 증거는 지금 캡처해 둡니다. 신규 피싱 도메인은 곧 차단되어 사라집니다. urlscan 결과와 WHOIS·dig 출력을 지금 저장해 두면 기록이 보존됩니다.

돌이켜 생각해보면, 달라진 것은 도구가 아니라 태도였습니다. 예전에는 의심이 들면 막연히 불안해하다 끝났는데, 이제는 whois 한 줄, dig 몇 줄로 그 불안을 데이터로 환산해 봅니다. 모든 문자를 분석할 필요는 없겠지요. 다만 마음에 걸리는 한 통이 왔을 때 5분이면 끝나는 짧은 루틴 하나를 갖고 있다는 것만으로도, 충분히 든든하다는 생각이 들었습니다.