
[REDACTED][.]com의 종말: IANA #1479는 200만 달러를 훔친 도둑을 감싸기 위해 거짓말을 했다
10년 동안 모네로 개인 키를 훔쳐온 이 조직이 무너졌다. 세 곳의 도메인 등록업체는 며칠 만에 조치를 취했다. 네 번째 업체인 IANA #1479는 사기꾼에게 연락을 취해 그의 말을 믿고, 그의 대변인 역할을 자처했다.
[REDACTED][.]com이 실제로 한 일
2016년부터 [REDACTED][.]com은 무료 오픈소스 모네로 지갑으로 자사를 홍보해 왔습니다. 저희는 2026년 2월 18일의 실시간 네트워크 캡처 이 프로그램이 전혀 다른 일을 하고 있음을 입증했는데, 바로 매번 로그인할 때마다 모네로(Monero)의 개인 뷰 키를 훔치고 서버 측에서 거래를 가로채는 것이었다.
삽입된 코드가 아닌 — 그 핵심 아키텍처. 8개의 PHP 엔드포인트에 걸쳐 운영되는 세션 시스템으로, 피해자의 개인 뷰 키를 전송하는 세션당 40회 이상. 사용자가 XMR을 송금하면 해당 거래는 아무런 알림 없이 무효화되었습니다 (raw_tx_and_hash.raw = 0)를 사기꾼의 것으로 바꿔치웠습니다.
VirusTotal에 등록된 6개의 보안 업체가 이 파일을 악성 파일로 판정했습니다. Trustpilot, Sitejabber, BitcoinTalk에 총 15명의 피해자가 보고되었습니다. 한 피해자는 590 XMR (약 177,000달러) 단 한 건의 절도 사건에서.
세 명의 등록 담당자가 제 역할을 다했다
저희는 [REDACTED] 도메인을 호스팅하는 4곳의 등록기관 모두에 동일한 악용 신고를 접수했습니다. 그중 3곳은 즉시 조치를 취했습니다:
인도, 말레이시아, 중국 — 증거를 검토한 끝에 사기 행각을 적발하고 해당 도메인을 정지시켰습니다. 아무런 질문도 없이 말이죠.
IANA #1479, 다른 길을 선택하다
네 번째 등록관 — [REDACTED] (미국) — 증거가 가장 많고 피해자도 가장 많은 주요 도메인을 호스팅하고 있는 업체 — 는 정반대의 행동을 취했습니다. 그들은 사기꾼에게 연락을 취해 그의 말을 믿고, 그를 옹호하는 공개 성명을 발표했습니다:
“당사의 악용 대응 팀은 이 사안에 대해 심층적인 검토를 진행한 결과, 해당 도메인이 몇 달 전에 해킹당한 것으로 보입니다... 광범위한 조사 끝에, 당사 팀은 등록자와 무관한 해킹 증거를 발견했습니다... 또한 등록자는 VT 보고서에서 해당 웹사이트가 제외되도록 조치 중입니다.”
— IANA #1479, X(Twitter)를 통해
우리는 이 진술을 한 줄씩 분석했습니다. 모든 주장은 거짓이었다.
운영자의 직접적인 발언
IANA #1479가 개입하기 전, 해당 운영자는 당사의 악용 신고에 직접 답변했습니다. 그의 이메일 내용으로 보아 그는 이 사실을 인지하고 있었으며, 다음과 같은 의도를 가지고 있었습니다:
일곱 가지 거짓말, 그 실체
도난 메커니즘은 핵심 아키텍처로, 8개의 PHP 엔드포인트, Base64 키 유출, 그리고 5.3년 동안의 GitHub 커밋 공백기. 이 시스템은 수년에 걸쳐 구축된 것이지, 급조된 것이 아닙니다.
VirusTotal의 6개 공급업체, 수년 전부터 이어져 온 Trustpilot의 불만 사례, BitcoinTalk의 경고 게시물, 운영자 2018년에 r/Monero에서 차단됨. 구글에서 한 번만 검색해 봤어도 이 사실을 알 수 있었을 텐데.
운영자가 등록되었습니다 4개 등록기관에 걸친 4개의 도메인 (각각 5~10년 선불) ~전에 조사 결과가 공개되었습니다. GitHub 이슈 21개 이상을 삭제했습니다. 캡차 시스템 개발을 위해 개발자들을 채용했습니다. 이건 피해자가 아니라 작전입니다.
도난 방지 코드가 운영 환경에서 실행 중이었습니다 IANA #1479의 성명서에서. 해당 사고와 관련된 GitHub 커밋은 단 하나도 없습니다. 어떤 변경 사항도 되돌려지지 않았습니다.
IANA #1479는 사기꾼이 포티넷의 “피싱” 탐지 기능을 제거하도록 로비한 점을 칭찬했다 — 피싱 코드를 제거하지 않은 채로. 그건 선의가 아닙니다. 보안 경고를 무시하는 행위입니다.
사건을 종결하기 위해 입증 책임을 신고자에게 전가하고 있다. 증거는 신고서에 이미 나와 있었다. 동료 등록 담당자 세 명이 굳이 물어볼 필요도 없었다.
“재개”라는 말은 한때 열려 있었다는 뜻이다. 그들의 조사는 사기꾼에게 전화를 걸어 그가 한 말을 적는 것으로 이루어졌다. 그건 조사가 아니라 받아쓰기일 뿐이다.
인프라 관련 증거
연표: [REDACTED]의 몰락
결론
IANA #1479는 그 증거를 무시하지 않았습니다. 그들은 그 증거를 검토하고, 사기꾼에게 전화를 걸어 그의 말을 믿은 뒤, 그가 무죄라고 선언했으며, 보안 경고를 은폐하는 데 일조했습니다. 그리고는 연구진에게 그 악용 사례가 “최근의 것”임을 증명해 달라고 요구했습니다.
그건 태만이 아닙니다. 그건 파트너십입니다.
도메인이 다운되었습니다. 사기 행각은 끝났습니다. 하지만 미국의 한 도메인 등록 기관이 200만 달러 상당의 암호화폐를 훔친 범인을 감싸기 위해 공개적으로 거짓 변명을 꾸며낸 사실은, IANA #1479에 오랫동안 꼬리표처럼 따라다닐 것입니다. 그들의 성명서는 앞으로 제기될 모든 소송 서류에서 핵심 증거 자료가 될 것입니다.
도둑을 감싸주면, 그 대가를 함께 짊어져야 한다.
증거 및 자료
관련 조사
이번 조사는 공개된 증거, 실시간 네트워크 캡처 자료, OSINT, 공개 리뷰 플랫폼 및 IANA #1479가 직접 발표한 공식 성명을 바탕으로 진행되었습니다. 무단 접근은 이루어지지 않았습니다. 모든 조사 결과는 독립적으로 재현 가능합니다.