먹튀검증 프록시·우회 접속 탐지 팁

먹튀검증을 오래 하다 보면 기술보다 습관이 눈을 더 빠르게 움직이게 만든다. 아침에 서버 리포트를 펼쳐 보면, 같은 지점에서 태어난 계정들이 서로 모른 척하면서도 같은 패턴으로 로그인하고 같은 시간대에 묘하게 비슷한 결제를 시도한다. 한두 번은 우연일 수 있지만, 우회 접속이 얽히면 흔적이 겹겹이 남는다. 그 흔적을 모아 읽는 일이 곧 탐지의 본질이다. 이 글은 프록시와 VPN, 호스팅 IP, 브라우저 스푸핑, 시차 위장 같은 우회 기법을 어떻게 현실적으로 가려내는지, 그리고 실제 운영 환경에서 어떤 절충과 판단이 필요한지 다룬다. 도구 목록을 나열하기보다 어떤 신호가 신뢰할 만한지, 어디서 오탐이 터지는지, 로그를 어떤 순서로 읽어야 빠르게 결론에 닿는지에 초점을 맞춘다.

왜 우회 접속이 문제를 키우는가

먹튀검증 대상이 되는 서비스는 보통 금전 흐름과 직결된다. 공격자는 계정 대량 생성, 보너스 악용, 패턴화된 배팅, 지급 전 이탈을 위해 위치와 신원을 지운다. 프록시와 VPN은 저비용으로 대역폭이 넉넉하고, 지리 위치를 수시로 바꿀 수 있어 방화벽과 단순 블록리스트를 뚫기 쉽다. 또한 상용 프록시는 정상 이용자도 많이 쓰기 때문에 막기만 하면 민원과 이탈이 올라간다. 결국 핵심은 우회 접속을 무조건 차단하는 게 아니라, 결제나 출금 같은 고위험 동작에서만 추가 검증을 걸고, 저위험 동작에는 관대하게 흘려보내는 위험 구간화다.

우회 접속이 남기는 네트워크 신호

IP는 출발점이자 함정이다. 요약 지표 하나만 보고 차단하면 오탐이 폭발한다. 각각의 지표를 조합해야 한다.

IP 평판과 소유자 정보는 여전히 유효하다. 데이터센터 ASN, 호스팅 레인지, 상용 VPN 풀 같은 강한 신호는 차단 후보로 삼을 만하다. 하지만 클라우드 WAF나 프록시를 쓰는 정상 기업 사용자는 업무 환경에서 접속한다. 같은 호스팅 IP라도 포트 스케닝 결과, 반응 지연, 역방향 DNS 네이밍에 따라 위험도는 갈린다. 예를 들어 443만 열리고 ICMP 차단, RTT가 3 ms대인 서울 내부망 IP는 기업 게이트웨이 가능성이 높다. 반대로 1194와 8080, 3128 포트가 열려 있거나, 역방향 DNS에 vpn, static, customer가 붙으면 상업 VPN일 확률이 높다.

연결 특성도 단서다. TLS 핸드셰이크에서 JA3 혹은 JA4 같은 지문을 수집하면, 상용 VPN 클라이언트와 브라우저 기반 연결을 어느 정도 구분할 수 있다. 예를 들어 특정 VPN의 JA3 해시는 공개 컬렉션에도 자주 등장한다. 다만 브라우저 확장이나 TLS 중계기가 끼면 동일 지문이 일반 사용자에게도 나타난다. 단일 지문으로 차단하지 말고, 접속 집약도나 동일 ASN에서의 계정 생성 폭증과 결합해 신뢰도를 높여야 한다.

지리 정보와 시간대는 교차 확인이 중요하다. IP 지오IP는 도시 단위에서 ±50 km 오차가 흔하다. 대신 클라이언트가 노출하는 브라우저 시간대, Accept-Language, 시스템 로케일을 같이 본다. 서울 번호의 휴대폰 인증 직후, 브라우저 시간대가 America/Chicago, Accept-Language가 en-US, 키보드 레이아웃에서 한국어 입력기가 보이지 않는다면 우회 가능성이 커진다. 반대로 유학생이나 재외동포라는 합리적 설명이 가능할 수도 있다. 지오IP 불일치만으로 조치하지 말고 타 신호를 기다리는 편이 피해가 적다.

지연과 경로도 익숙해지면 눈에 들어온다. 같은 지역이라면 왕복 지연값이 일정 범위로 수렴한다. 서울 리전 서버에서 정상 LTE 사용자는 20에서 45 ms 사이가 대부분인데, 호주 VPN을 거치면 130 ms 이상이 쉽게 나온다. 트래픽 엔지니어가 아니라도, 시간대별 평균과 표준편차를 저장해 두면 이탈 지점이 보인다. 또한 연결이 자주 끊겼다가 다른 IP로 붙는다면 모바일 망 핸드오버일 수도 있고, 프록시 풀 로테이션일 수도 있다. 10분 이내 세 번 이상, 다른 대륙 ASN으로 튀는 트래픽은 거의 확실히 로테이션이다.

브라우저와 디바이스에서 드러나는 불일치

프록시 탐지는 네트워크로 먹튀검증 절반, 나머지는 브라우저와 기기 지문에서 보완한다. 브라우저 Canvas와 WebGL 지문은 오탐이 많지만, 업데이트 시퀀스와 플러그인 생태계는 거짓말하기 어렵다. 예를 들어 크롬 121인데 내장 코덱 목록이 117 세대와 일치하거나, 폰트 목록에 중국 내수용 번들이 함께 나타나는 등 작은 불일치가 겹치면 스푸핑 가능성을 올려 본다.

WebRTC IP 누출 검사는 여전히 유용하지만, 많은 프라이버시 확장이 이를 차단한다. 누출이 없어도 의심을 높이지 말고, 누출이 있는 경우 내부 사설 IP 대역이 호스팅 환경과 유사한지 본다. 10.8.0.0/24이나 172.16 대역으로 일관되면 OpenVPN 계열 터널일 수 있다. 반대로 100.64.0.0/10은 통신사 CGNAT이 흔하니 섣불리 결론 내리면 안 된다.

디바이스 수준에서는 센서와 배터리 정보가 의외로 쓸모가 있다. 데스크톱 브라우저인데 Touch 이벤트가 간헐적으로 들어오거나, 모션 센서가 미세하게 흔들리면 에뮬레이터나 리모트 제어 가능성을 의심할 수 있다. 배터리 충전 상태와 화면 밝기 API는 브라우저 정책에 따라 제한되지만, 가능한 범위에서 수집하면 자동화 스크립트가 고정된 값을 내놓는 경우가 있다. 다만 이 역시 프라이버시 이슈가 있으니 최소 수집 원칙을 지키고, 세션 보안 용도로만 사용해야 한다.

행태 신호는 후반전에서 더 빛난다

네트워크와 장치 신호가 전반전이라면, 행태 신호는 후반전을 책임진다. 동일인 여부를 가리는 가장 강한 증거는 사용 습관이다. 비정상 사용자는 초반 24시간의 클릭 시퀀스와 속도가 반복적이고 빠르다. 입력 필드는 탭 순서가 일정하며, 마우스 움직임의 가속도 분포가 기계적이다. 반면 정상 사용자는 스크롤과 멈춤 구간이 더 길고 변동성이 크다. 이를 점수화한다고 해서 정답이 되지는 않지만, 다른 신호와 결합하면 도장처럼 작동한다.

결제 흐름에서도 힌트가 많다. VPN을 통해 한국 IP로 위장하더라도 카드 BIN 국가, 3DS 인증 라우트, 결제 창 언어와 브라우저 언어가 어긋나면 위험 구간에 진입한다. 보너스만 소비하고 로그아웃하는 계정이 다수 IP에서 순환한다면 오퍼 악용이다. 출금 요청 직전 IP가 데이터센터로 전환되는 패턴도 흔하다. 이때 무조건 차단하지 않고 인증을 한 단계 올리는 편이 전환 손실을 줄인다.

로그에서 신호를 엮는 방법

필드에서 가장 자주 보는 실수는, 지표를 이벤트 단위로만 보다가 사용자 단위, 디바이스 단위 시각을 놓치는 것이다. 예를 들어 동일 디바이스 지문이 세 계정을 돌려 쓰고, 각 계정은 서로 다른 프록시를 거친다면, IP 기준 탐지는 실패한다. 반대로 디바이스 지문만 보고 묶으면 PC방이나 가족 공용 디바이스가 오탐으로 묶인다. 해법은 가중치와 기간이다. 72시간 창에서 3회 이상 로그인 공유가 발생하고, 각 계정 간 자금 흐름이나 보너스 사용 시점이 겹치면 연결고리를 강화한다. 가중치를 0에서 1 사이 점수로 두고, 특정 임계치 이상에서만 리뷰 큐에 올리면 오탐을 관리할 수 있다.

데이터 모델링에서는 피처를 세 층으로 나눈다. 세션 레벨 피처에 RTT, JA3, HTTP 헤더 불일치 같은 단발 신호를 담고, 디바이스 레벨 피처에 폰트 해시, GPU 지문, 입력 습관 변수를 둔다. 사용자 레벨에는 결제 시퀀스, 보너스 사용 패턴, 로그인 시간대 분포를 쌓는다. 이렇게 층을 나누면 어떤 층에서 경보가 울렸는지 설명 가능성이 생기고, 규정 준수와 고객 응대에도 도움이 된다. 이유를 설명할 수 없는 블랙박스 경보는 분쟁에서 약하다.

실무에서 자주 만나는 우회 유형과 대응

상용 VPN 회전형. 가입과 로그인은 모바일 데이터처럼 보이지만, 트랜잭션 직전 데이터센터 IP로 바뀐다. 상용 VPN 사업자의 고정 노드 목록을 주기적으로 업데이트하면 막기 쉽지만, 유동 풀은 매주 변한다. 이 경우 결제 시도 시점의 ASN을 강하게 반영하고 3DS 추가 인증을 요구한다.

공용 와이파이 터널링. 공항이나 카페 AP를 통해 접속하다가 TLS MITM 프록시를 만나는 경우가 있다. 인증서 체인 이상, SNI 필드 불일치, TLS 버전 다운그레이드 시그널이 보이면 고객에게 안전 경고를 띄우고 재접속을 유도한다. 공격 의도라기보다는 보안 솔루션이 삽입된 기업망일 때도 많다.

모바일 앱 자동화. 에뮬레이터로 앱을 돌리고, 프록시로 지역을 바꾼다. 장치 무결성 체크를 앱에 추가하고, 가속도 센서와 자이로 패턴을 난수화한 챌린지를 간헐적으로 보낸다. 동시에 그래픽 렌더링 타이밍의 미세 지연을 측정하면, 가상환경에서 특정 주기로 드러나는 진동이 관찰된다. 오탐을 줄이려면 구형 저가형 기기의 레이턴시 분포를 학습 데이터에 포함시킨다.

브라우저 확장 기반 스푸핑. User-Agent, 언어, 해상도만 바꾸는 수준에서는 헤더 간 불일치가 금방 드러난다. 예를 들어 UA는 윈도우인데, 플랫폼 API는 MacIntel을 리포트한다. GPU 벤더 문자열과 WebGL 확장 목록이 서로 맞지 않거나, 오디오 컨텍스트 지문이 비정상적으로 동일한 세션도 있다. 여기서는 단일 값보다 상관관계로 본다.

운영자가 체감하는 오탐과 비용의 균형

오탐을 줄이려면 트래픽 상위 20퍼센트가 쓰는 경로를 배려해야 한다. 한국에서는 통신사 CGNAT 비중이 높아 다중 계정이 같은 공인 IP를 쓰는 일이 잦다. 대학 기숙사, PC방, 군부대 네트워크도 비슷하다. 이들을 모두 막으면 VOC가 쌓인다. 반대로 방임하면 보너스 악용 비용과 지급 지연으로 인한 불만이 폭증한다. 해법은 흐름별 단계적 검증이다. 로그인은 관대하게, 입금은 중간 정도, 출금과 대량 보너스 신청은 엄격하게 본다. 같은 프록시 신호라도 단계별로 임계치를 다르게 적용하면 경험 품질을 크게 해치지 않고 리스크를 잡을 수 있다.

또 다른 비용은 운영 시간이다. 수작업 리뷰는 정확하지만 확장되지 않는다. 리뷰 큐를 만들 때는 신호가 서로 독립인지, 중복인지 따져본다. IP 평판과 ASN 호스팅 여부는 상관성이 높아 가중치를 합치면 과벌이 된다. 반면 로그인 시간대 분포와 브라우저 언어는 독립성이 있어 합치는 편이 낫다. 1주일에 한 번은 샘플을 뽑아 오탐 사유를 태깅하고, 규칙의 계수를 조정한다. 작은 조정이 한 달 뒤 지급 지연 시간을 몇 시간씩 줄인다.

간단 점검 체크리스트

    데이터센터 ASN과 상용 VPN 노드 목록을 주 1회 이상 동기화한다. JA3 혹은 JA4 지문과 HTTP 헤더 불일치 규칙을 세션 점수에 반영한다. 브라우저 시간대, 언어, 지오IP의 3자 불일치를 리뷰 큐로 보낸다. 동일 디바이스 지문에서 72시간 내 3개 이상 계정 생성 시 경고한다. 출금 요청 시점의 IP 변동과 ASN 변화를 별도로 기록한다.

수집과 프라이버시, 법적 고려

먹튀검증이라는 명분이 있다고 해서 무엇이든 수집할 수 있는 것은 아니다. 서비스 약관과 개인정보 처리방침에 보안과 부정 방지를 위한 기술적 수단을 명시하고, 목적 외 사용을 제한해야 한다. 민감한 생체 데이터나 불필요한 하드웨어 식별자는 피하고, 해시 처리와 보존 기간을 명확히 한다. 고객이 이의를 제기하면 결정을 설명할 수 있어야 하고, 옴부즈 역할을 할 내부 채널을 둔다. 프록시 탐지 실패의 비용과 프라이버시 침해의 비용을 함께 본다. 규제 환경은 국가마다 달라, 유럽의 경우 디바이스 지문은 동의 체계가 중요하고, 한국도 고유식별정보 처리에는 별도 요건이 따른다.

지표의 정확도를 추적하고 개선하는 법

탐지는 모델이 아니라 운영이다. 정확도를 높이려면 주기적인 사후 검증이 필요하다. 매주 적은 양의 사례라도 샘플링해서 팩트 체크를 한다. 환불, 분쟁, 지급 보류가 걸린 사건 중 무작위로 50건을 뽑아, 신호가 어떻게 결론에 기여했는지 역추적한다. 오탐의 60퍼센트가 CGNAT 탓이라면 접속 동시성이나 세션 지속 시간을 더 반영해야 한다. 반대로 탐지 실패가 상용 VPN의 신규 프리픽스에서 나왔다면, 서드파티 IP 데이터의 갱신 주기를 앞당긴다.

학습 데이터를 만들 때는 시간 누수를 피한다. 한 달 전 사건으로 만든 규칙이 오늘 데이터에 과최적화되기 쉽다. 룰과 점수는 시즌성에 맞춰 서서히 가중치를 옮긴다. 예를 들어 대형 스포츠 이벤트 주간에는 신규 유입이 평소 대비 2에서 3배까지 늘고, 해외 트래픽 비중도 높아진다. 이 시기에는 언어 불일치를 약하게 보고, 결제 흐름에서의 이례 신호를 강하게 본다. 시즌이 끝나면 기준을 원복한다.

image

사례로 보는 판별의 디테일

한 번은 새벽 3시 이후, 20분 사이에 14개의 신규 계정이 들어왔다. 모두 서울 IP였고, 지오IP 도시도 일치했다. 평소 같으면 이상하다고 느끼기 어렵다. 그러나 세션 초기의 RTT가 110에서 140 ms로 넓게 퍼져 있었고, TLS JA3 지문이 세 가지로만 묶였다. 브라우저 시간대는 Asia/Seoul이었지만, Accept-Language는 pt-BR과 en-US가 반반이었다. 디바이스 지문을 보면 폰트 목록이 브라질 포르투갈어 번들을 포함하고 있었다. 여기에서 상용 VPN의 브라질 노드에서 한국 노드로 체인을 바꾼 게 아닌가 하는 가설이 섰다. 출금 요청은 48시간 뒤에 모아졌고, 그 순간 IP는 데이터센터 ASN으로 바뀌었다. 위험 점수를 올려 전화 인증을 넣었고, 14명 중 9명이 인증에 실패했다. 네트워크 신호 하나만으로는 불가능한 결정이었다.

또 다른 사례에서는 오탐을 줄이기 위한 판단이 중요했다. 지방 소도시 PC방에서 5명의 신규 사용자가 동시에 접속했고, 모두 같은 디바이스 지문 일부를 공유했다. GPU 문자열과 폰트 해시가 동일해 이상했다. 그러나 헤더와 브라우저 언어, 결제 카드 BIN이 모두 국내로 안정적이었고, RTT 분포도 18에서 26 ms 사이로 단단했다. PC방 환경에서 동일 이미지가 배포되었을 가능성이 높았다. 리뷰 큐에서 제외했더니, 이후 이 5명은 정상 활동을 이어갔다. 오탐 하나 줄인 덕분에 다음 주말 콜센터 민원 3건이 깎였다.

자동화와 수작업의 경계

규칙은 기동력이 좋다. 상용 VPN 프리픽스를 차단하거나, JA3 블랙리스트를 적용하는 식으로 즉시 효과를 본다. 그러나 규칙만으로는 공격자의 변주를 따라가기 어렵다. 반대로 기계학습 모델은 신호를 조합하는 데 강하지만, 원인을 설명하기 어렵고 배포 이후 데이터 드리프트에 취약하다. 둘을 섞을 때는 역할을 나눈다. 규칙은 과실을 벌어들이듯 명백한 케이스를 깎아내고, 모델은 회색지대를 점수화해 리뷰 큐의 우선순위를 정한다. 모델이 경보를 내릴 때는, 상위 기여 피처 3개와 임계치 근거를 로그에 함께 남긴다. 사람이 마지막에 읽을 수 있어야 운영이 지속된다.

실무 플로우 제안

    세션 시작 즉시 네트워크 지표를 점수화한다. ASN, RTT, TLS 지문, 헤더 불일치를 반영한다. 디바이스 지문을 수집하되 최소 수집 원칙을 지킨다. 폰트 해시와 GPU, 입력 습관을 요약한다. 사용자 레벨에서 과거 결제, 보너스, 로그인 시간대를 합성 점수로 만든다. 중요 행위 직전, 최근 10분 내 IP와 ASN 변동, 시간대 재설정 여부를 다시 본다. 점수 임계치에 따라 자동 승인, 추가 인증, 수작업 리뷰로 분기한다.

단계별 마찰 설계

탐지는 보안만이 아니라 UX의 문제다. 출금 직전 추가 인증을 걸면 불편하지만, 이 시점의 손실 회피 효과가 크다. 반대로 로그인 단계에서 과한 챌린지를 걸면 신뢰가 먼저 무너진다. 그래서 마찰은 단계에 따라 가볍게, 무겁게 배치한다. 예를 들면, 로그인에서는 이메일 링크 확인 같은 소프트 챌린지를 쓰고, 보너스 신청 때는 휴대폰 OTP 정도를 요구한다. 출금이나 계정 정보 변경에는 정부 발급 신분증과 얼굴 인식까지 올라갈 수 있지만, 이를 요청하는 사유를 알리고 대체 경로를 마련한다. 신호가 약한 경고에도 무작정 신분증을 요구하면 장기적으로 이탈이 커진다.

실무 팁 몇 가지

실제 운영에서는 작은 자동화가 체감 시간을 줄인다. IP와 ASN의 조합을 캐싱하고, 동일 지표 내에서 24시간 동안 위험 점수가 일정 범위라면 재계산을 생략한다. 지오IP DB는 공급사 두 곳 이상을 교차 사용한다. 서로 다른 결과가 나오면 낮은 확신도로 처리한다. JA3 지문은 기간이 지나면 무의미해질 때가 많아, 3개월 단위로 히스토리를 압축한다. 디바이스 지문은 소금값을 바꿔 재해시하면 재식별 위험을 줄이면서도 군집화에는 충분한 정보를 유지할 수 있다. 무엇보다, 리뷰 큐에 올라오는 건수와 처리 시간을 대시보드 첫 화면에 붙인다. 병목을 겉으로 드러내야 팀이 같은 그림을 본다.

먹튀검증 맥락에서의 우선순위

먹튀검증에서는 지급 위험을 중심에 둔다. 가입과 로그인은 느슨하게 보고, 결제와 보너스, 출금을 조인다. 프록시 차단을 전면에 세우기보다, 의심 신호가 겹치는 흐름에서만 강하게 쓴다. 오퍼 악용은 대체로 다수 계정이 얕은 신호를 여러 개 낸다. 반대로 계정 탈취는 소수 계정이 강한 신호 몇 개를 낸다. 대응도 달라야 한다. 전자는 군집 탐지와 네트워크 패턴이 중요하고, 후자는 비정상 로그인 알림과 2단계 인증, 세션 잠금이 유효하다. 팀의 KPI를 지급 보류 해제 소요 시간, 오탐율, 손실 방지 금액으로 나누어 관리하면, 과도한 차단으로 숫자를 맞추는 유혹을 줄일 수 있다.

앞으로의 변화와 대비

프록시 탐지는 계속 어려워진다. 브라우저가 프라이버시 강화를 이유로 지문 정보를 줄이고, VPN 사업자는 가정용 회선 레인지로 노드를 확장한다. HTTP/3와 QUIC 보급이 늘면서 일부 TLS 지문 기법은 힘이 빠진다. 반대로 서버 측에서 할 수 있는 일도 늘어난다. 커넥션 코알레싱과 0-RTT 재사용 패턴, SNI 암호화 이후의 메타데이터 분석 같은 방향이 열린다. 무엇보다 장기적으로는 네트워크 신호 의존도를 낮추고, 사용자와 트랜잭션 맥락에서 위험을 읽는 쪽으로 간다. 언젠가 IP는 거의 의미가 없어질 수도 있다. 그때도 변하지 않는 건 운영의 기본이다. 작은 실험을 자주 하고, 데이터를 적게 모으고, 설명 가능한 결정을 내리는 일이다.

프록시와 우회 접속을 무서워할 필요는 없다. 적당한 거리에서 다룰 수 있으면, 손실을 줄이고 고객 경험을 지킬 수 있다. 규칙 몇 개와 점수화가 출발점이고, 리뷰와 조정이 엔진이다. 흔적은 남는다. 일을 오래 하다 보면, 그 흔적을 읽는 눈이 제일 큰 자산이라는 걸 알게 된다.