가상화폐 결제와 해외 서버가 보편화되면서 사업자들이 제시하는 인허가 문서 한 장이 신뢰를 좌우하는 경우가 많다. 특히 먹튀검증의 맥락에서는 사업자 실체 파악이 어렵기 때문에, 인허가 서류의 진정성은 사실상 최후의 방어선에 가깝다. 문제는 그 한 장이 가장 쉽게 조작되는 대상이라는 점이다. 화면 캡처를 잘라 붙이거나, QR을 복제해 가짜 조회 페이지로 연결시키거나, 존재하지 않는 번호 체계를 꾸며내는 수법이 생각보다 흔하다. 현장에서 수백 건의 라이선스 사본을 비교해 본 경험으로, 위조를 거르는 요령은 기술적 확인과 사람의 감각이 절반씩을 차지한다. 아래 내용은 그 둘을 합친 실무형 점검법이다.
발급기관의 지형을 먼저 이해하기
인허가 검증의 출발점은 누가 무엇을 발급하는지 아는 것이다. 관할 구역이 다르면 라이선스 명칭, 번호 형식, 공개 범위가 전부 달라진다. 영국과 몰타처럼 사업자 검색을 공개 API나 검색폼으로 지원하는 곳이 있는가 하면, 특정 범주의 사업자만 공시하거나 PDF 공시 자체를 하지 않는 곳도 있다. 큐라소처럼 라이선스 체계가 계층적으로 운영되는 곳에서는 서브라이선스 개념을 이해하지 못하면 엉뚱한 결론에 도달하기 쉽다. 필리핀의 경우 정부기관 발급과 사기업 위탁의 경계가 시기에 따라 달라졌고, 동일 명칭의 문서라도 발급 연도에 따라 서식과 서명 방식이 다르다.
이 말은 즉, 진위 확인을 할 때 단일 체크리스트로는 부족하다는 뜻이다. 같은 항목을 보더라도 제도적 배경을 함께 읽어야 한다. 발급기관이 공식적으로 공시하지 않는 요소를 사업자가 내민다면, 그 자체로 신호가 된다. 예를 들어 특정 기관은 라이선스 원문에 QR을 쓰지 않는데, 제출된 PDF에 큼지막한 QR이 붙어 있다면 최소한의 경계는 세워야 한다.
위조가 가장 자주 일어나는 지점
문서 위조는 화려한 합성이 아니라 빈틈을 찌르는 간단한 요령으로 일어난다. 실무에서 반복적으로 마주친 패턴은 네 가지다. 첫째, 존재하지 않는 라이선스 번호 체계를 제시한다. 길이, 접두사, 구분자 형태가 실제와 다르다. 둘째, 진짜 번호를 쓰지만 사업자명과 매칭이 안 된다. 이미 말소된 회사나 다른 법인의 번호를 가져오는 수법이다. 셋째, 발급기관 로고와 서명을 고해상도로 복제한 뒤 날짜와 회사명만 바꾼다. 넷째, QR이나 링크를 가짜 검증 페이지로 연결시킨다. 링크 도메인이 실제 기관 도메인의 철자를 살짝 바꾼 경우가 많고, TLS 자물쇠 아이콘에 기대어 사용자의 경계를 낮춘다.
이 지점들을 잡아내려면, 단순한 표면 비교를 넘어 문서가 말해 주는 맥락과 외부 세계의 데이터가 일치하는지 계속 교차 확인해야 한다. 라이선스는 고립된 종이가 아니다. 발급기관의 공시, 기업등록부, 도메인 WHOIS, 결제계약의 상호, 심지어 고객센터의 서명 습관까지 연결되면 드러나는 단서들이 있다.
1차 육안 점검에서 걸러낼 수 있는 것들
첫 대면에서 놓치지 말아야 할 요소는 생각보다 기본적이다. 단 몇 분 투자로 절반 가까운 위조를 솎아낼 수 있다.
먹튀검증- 해상도와 활자 품질을 확대해 본다. 제목은 선명한데 본문만 계단현상이 심하거나, 반대로 본문만 벡터처럼 매끈하면 레이어 합성 가능성이 있다. 날짜 형식과 표기 관행을 본다. 기관이 통상 사용하는 달력 표기, 시차, 서명자의 직함이 실제 관행과 다른지 비교한다. 로고와 문장 요소 간 배율이 자연스러운지 확인한다. 인쇄물 스캔에는 가장자리 그레인과 그림자 낙차가 생기는데, 합성된 로고는 그레인 패턴이 주변과 다르다. QR, 바코드, 링크 앵커 텍스트를 추출해 도메인 철자와 프로토콜을 확인한다. 짧은 URL 리다이렉트는 보류하고 원본 목적지를 본다. 문서 언어의 미세한 오탈자와 지역화 수준을 본다. 공식 문서에서 흔한 맞춤법 오류는 생각보다 적다. 번역체의 흔적은 강한 경고다.
이 다섯 가지만으로도, 의심 신호가 두 개 이상이면 기술적 검증에 앞서 추가 자료 요청을 권한다. 성급히 진위를 단정하기보다, 제출자의 설명 일관성부터 본다. 위조업자는 세부 질문에 피로를 느낀다.
QR과 라이선스 번호, 교차검증의 기본기
QR이 붙어 있다고 끝이 아니다. 첫째, QR이 공식 도메인으로 향하는지 본다. 발급기관의 주 도메인과 서브도메인 정책을 아는 것이 중요하다. 예를 들어 기관이 검증용으로 정해 둔 서브도메인 패턴이 있는데, 임의의 경로로 깊게 들어가는 URL이라면 일단 경계한다. 둘째, QR 도착 페이지의 TLS 인증서를 열어 발급자와 유효기간, SAN 항목을 비교한다. 피싱 페이지는 SAN에 기형적인 다중 도메인을 억지로 얹어 둔 경우가 있다. 셋째, QR이 연결하는 정보와 문서 표면의 항목이 완전히 일치하는지 확인한다. 사업자명, 번호, 발급일이 한 자라도 다르면, 정정 공문이나 재발급 이력을 요청해야 한다.
라이선스 번호는 규칙을 가진다. 길이와 구분자, 접두사나 체크섬 규칙이 있어서 무작정 생성하기 어렵다. 다만, 공개 규격을 어디까지 밝히는지는 기관마다 다르다. 그래서 번호만으로 진위를 즉시 가르는 시도는 위험하다. 안전한 방법은, 해당 번호가 공시 시스템에서 동일한 사업자명과 도메인, 주소로 나온다는 사실을 교차 확인하는 것이다. 사업체의 이전이나 사명 변경이 잦은 업계 특성상, 변경 이력과 연결되지 않는 정적 일치만 찾다 보면 놓치는 게 생긴다. 이럴 땐 공시 페이지 하단의 revision 기록, notice 게시판의 정정 공고를 꼼꼼히 훑는다.
PDF와 이미지의 메타데이터, 보이는 것 너머를 읽기
전자 문서는 흔적을 남긴다. PDF의 Document Properties에는 생성 도구, 제작자, 폰트 임베딩 방식, 생성 및 수정 시각이 있다. 실제 기관이 배포하는 PDF는 대체로 표준화된 제작 파이프라인을 쓰기 때문에, 도구명과 폰트 임베딩 패턴이 일정하다. 반면 위조물은 화면 캡처를 이미지로 붙이거나, 서드파티 편집기로 조합한 흔적을 숨기기 어렵다.
PDF 내부 구조를 보면 더 확실하다. 텍스트가 진짜 벡터 텍스트라면 복사해서 붙여 보았을 때 철자가 정확히 나온다. 이미지로 붙여 둔 텍스트는 복사하면 공백이나 쓰레기 문자가 섞인다. 또, 폰트가 subset 으로 임베딩되어 있는지, 시스템 폰트를 직접 참조하는지에 따라 생산 경로를 가늠할 수 있다. 정식 문서는 폰트 라이선스를 준수하기 위해 보통 subset 임베딩을 사용한다.
이미지 파일이라면 EXIF에 남은 편집기 흔적과 타임스탬프를 본다. 단, 요즘은 EXIF를 비우는 경우가 많아 부재가 곧 위조라는 뜻은 아니다. 대신 픽셀 그리드의 정합성, 가장자리의 비정상적 선명도 변화, JPEG 블록 노이즈의 분포를 눈으로 본다. 확대했을 때 문서 가장자리만 또렷하고 내부 로고 주변에 불연속적인 노이즈 밴드가 생겼다면 합성 가능성이 높다.
전자서명과 인증서 체인, PKI를 맛있게 쓰는 법
일부 기관은 PDF에 전자서명을 적용한다. 서명을 클릭하면 서명자 이름, 인증서 발급자, 유효기간, 타임스탬프가 보인다. 여기서 봐야 할 건 두 가지다. 첫째, 인증서 체인이 신뢰 루트까지 깔끔하게 이어지는지. 자체서명이나 미인증 중간 인증서가 끼어 있으면 유효하게 보이지 않는다. 둘째, 문서 서명 시각이 발급일과 합리적으로 일치하는지. 발급일보다 훨씬 이전이나 이후라면 재발급 경위에 대한 설명이 필요하다.
서명 유효성은 뷰어마다 달라 보일 수 있다. Adobe를 기본으로 보되, 별도의 검증 도구로 OCSP 혹은 CRL 응답을 확인하면 좋다. 다만 해외 기관의 일부 인증서는 국내 기본 신뢰 저장소에 포함되지 않아 노란 경고가 뜰 수 있다. 이때는 인증서 체인과 발급기관 공시를 함께 봐야 한다. 전자서명이 없다고 곧바로 위조로 보기도 어렵다. 오래된 양식이나 특정 관할은 종이 위주의 발급을 여전히 쓴다. 전자서명이 없는 것을 빌미로 무조건 배제하면 실물을 놓칠 수 있다.
발급기관 사이트에서 진위를 대조하는 실무 절차
다음 절차는 시간이 조금 들지만 재현 가능한 방식이다. 공시 시스템이 있는 관할에서 특히 유용하다.
- 기관 공식 도메인에 직접 접속해 검색폼으로 라이선스 번호나 사업자명을 조회한다. 검색 결과가 없다면 유사 문자열과 철자 변형으로 재조회한다. 검색 결과에서 법인등록번호, 주소, 담당자명, 라이선스 범주를 확인하고 제출 문서의 항목과 하나씩 대조한다. 도메인과 상호가 모두 일치할 필요는 없지만, 변경 이력의 설명이 있어야 한다. 공시 페이지의 업데이트 일자와 노출되는 PDF, HTML 레코드가 일관적인지 본다. PDF만 있고 HTML이 없거나 그 반대인 경우, 유지보수 패턴을 알아 두면 판단에 도움이 된다. 제출자가 보낸 QR 링크와 공시 페이지의 고유 링크를 비교한다. 동일한 세션 매개변수나 리디렉션 체인이 비정상적으로 붙어 있으면 수상하다. 문의 채널이 제공될 때에는 공시 페이지의 이메일로 짧은 진위 확인을 보낸다. 회신까지 3일에서 10일 걸릴 수 있다. 회신 기록은 분쟁 시 증거가 된다.
이 과정을 따라가면, 서류만 보고 판단할 때보다 실수가 줄어든다. 무엇보다 제출자의 태도가 달라진다. 확인 절차가 체계적이라는 사실만으로도 위조자가 스스로 발을 빼는 일이 자주 있다.
문서 언어와 용어, 미세한 흔적 읽기
외국 기관 문서는 해당 언어의 관행을 따른다. 날짜에 콤마를 찍는지, 수치 표기에 억양을 두는지, 직함의 약어가 지역별로 다르다. 영어로 된 문서에서 British English와 American English가 뒤섞여 있으면 의심 신호다. 발급기관의 고유 명사를 사용할 때 대문자 사용법이 일정하지 않은 것도 단서가 된다. 예를 들어 Department, Authority 같은 단어를 문장 내부에서 대문자로 쓰는지, 소문자로 쓰는지 기관마다 스타일 가이드가 있다.
번역의 질도 중요하다. 국내 사용자에게 보여주기 위해 임의로 번역문을 덧붙인 경우, 원문과 병기해 달라고 요구한다. 제대로 된 사업자는 공증된 번역 혹은 기관이 제공한 다국어 양식을 쓴다. 반대로 번역을 거부하면서 원문에 대한 접근을 제한한다면, 라이선스 범주가 한국어 서비스 제공을 포괄하지 않는지도 살핀다. 라이선스 적용범위 밖의 언어 지원은 별도 조건을 달기도 하니까.
실물 문서를 스캔해 보낸 경우의 체크포인트
스캔본은 디지털 위조보다 판독이 힘들다. 그러나 그래도 보이는 것들이 있다. 용지의 섬유결 패턴이 균일하지 않고, 각 페이지마다 가장자리의 음영이 조금씩 달라야 자연스럽다. 모든 페이지가 동일한 회색 그라데이션을 띠면, 컬러 레이저 프린트로 출력한 뒤 일괄 스캔했을 가능성이 있다.
홀로그램과 워터마크는 조명각에 따라 색이 바뀌거나 모아레가 생긴다. 스캔 이미지에서 이러한 변화를 전혀 볼 수 없다면, 홀로그램이 사진으로 합성되었을 수 있다. 확대해서 보면 홀로그램 경계에서 픽셀의 에일리어싱이 문서의 다른 선과 달리 톱니처럼 도드라진다. 또 한 가지, 도장과 서명은 잉크 번짐과 압력 자국이 생기는데, 복제된 이미지는 번짐이 일정하고 압흔이 없다. 고해상도 스캔에서 밝기 콘트라스트를 올리면 압흔이 드러나는 경우가 종종 있다.
사례로 보는 위조 탐지의 실제
몇 해 전, 한 운영팀이 보낸 라이선스 PDF에는 큰 QR이 붙어 있었고, 스캔 품질도 나쁘지 않았다. QR을 찍으면 검증 페이지로 보이는 화면이 떴다. 자물쇠도 떴고, 콘텐츠도 그럴듯했다. 그런데 주소 표시줄의 도메인이 기관 도메인의 한 글자가 바뀌어 있었다. o가 0으로 대체된 수준의 사소한 차이. 더 들어가 보니 TLS 인증서는 무료 인증기관에서 며칠 전에 발급받은 것이었다. 반면 진짜 기관의 검증 페이지는 서브도메인 패턴이 다르고, 페이지 하단의 푸터 구조도 확연히 달랐다. 제출자는 도메인에 관해 묻자 잠시 머뭇거리더니, 며칠 내에 업데이트될 예정이라며 다른 문서를 보냈다. 두 번째 문서에서는 발급일과 서명자 직함이 전과 달랐다. 육안으로 본다면 별것 아닌 차이다. 그러나 QR, 도메인, 인증서 발급일, 직함의 조합이 거짓말을 드러냈다.
또 다른 경우, 실제 존재하는 번호를 가진 서류였지만, 사업자명이 공시 시스템의 과거 상호와 조금씩 달랐다. 제출자는 합병으로 사명이 바뀌었다고 설명했다. 합병 공시를 요청했더니 내부 문서라며 제공을 거부했다. 대신 기관 공시 페이지의 notice 보드를 살펴보니, 해당 번호의 라이선스는 특정 활동 범주로 제한되어 있었고, 제출된 문서에는 포괄 범주로 표시되어 있었다. 서식은 진짜였지만, 범주가 달랐다. 사업자는 모호한 표현을 이용해 범위를 뻥튀기한 셈이다. 이 경우 위조라고 단정하지는 않았지만, 활동 범주 밖에서의 서비스는 위험이 크다고 보고 파트너십을 보류했다.
위험 판단의 문턱과 보류 전략
먹튀검증은 결국 리스크 관리다. 인허가 문서의 진위를 0과 1로만 나누면 오판이 나온다. 몇 가지 기준을 정해 두면 도움이 된다. 첫째, 위조 신호가 둘 이상이면 추가 자료를 요청한다. 공증본, 발급기관의 이메일 회신, 원본 PDF의 전자서명 등. 둘째, 설명의 일관성을 본다. 질문이 반복될수록 디테일이 달라지는지 체크한다. 셋째, 시간표를 설정한다. 예를 들어 7일 안에 기관 회신이 없으면 임시로 낮은 신뢰도로 분류하고, 노출과 거래 한도를 제한한다.
보류는 처벌과 다르다. 관계를 끊을지 유지할지는 나중에 결정해도 된다. 중요한 건 이용자 보호를 당장 어떻게 할지다. 출금 한도를 일시적으로 낮추거나, 신규 프로모션을 중단하고, 이용자에게 공지할 때 확인 중이라는 문구를 명확히 넣는다. 경험상 이런 투명성이 오히려 신뢰를 높인다. 서류의 실체가 결국 진짜였을 때에도, 이런 절차 덕분에 나중에 생길 수 있는 법적 분쟁의 여지를 줄일 수 있다.
자동화 도구의 도움과 한계
텍스트 추출, QR 디코딩, WHOIS 조회, 스크린샷 보존은 자동화하기 좋다. 정규표현식으로 라이선스 번호 패턴을 1차 필터링하고, 공시 페이지의 DOM 구조가 바뀌었는지 모니터링하면 반복 업무가 줄어든다. PDF 메타데이터를 꺼내는 스크립트만 돌려도, 같은 제출자가 여러 버전의 문서를 보내면서 편집 도구가 바뀌는 장면을 포착할 때가 있다.
다만 자동화는 정답을 주지 않는다. 기관 사이트의 디자인이 바뀌면 크롤러는 고장 나고, 합법적 재발급이 있었는데 공시 반영이 늦는 사례도 있다. QR 링크를 타고 가는 중간 리디렉션이 일시적으로 404를 내는 바람에, 진짜를 가짜로 착각할 수도 있다. 그래서 핵심 판단은 사람이 한다는 원칙을 세워야 한다. 자동화는 수집과 정리, 알림 역할에 집중시키는 편이 안전하다.
기록을 남기는 습관, 법적 대응을 준비하는 방법
분쟁은 뒤늦게 온다. 그때 필요한 건 기억이 아니라 기록이다. 검증 과정의 각 단계에서 무엇을 보았고, 어떤 기준으로 판단했는지 남겨 두면, 나중에 책임 소재를 가리는 데 큰 도움이 된다. 캡처를 떠둘 때에는 주소 표시줄과 시스템 시각이 함께 보이게 찍고, 가능하면 원본 HTML을 WARC 형태로 보관한다. 파일 해시를 계산해서 타임스탬프 서비스에 박아 두면, 조작 시비를 줄일 수 있다.
발급기관에 보낸 이메일과 회신, 통화기록, 제출자와의 메시지 로그도 체계적으로 저장한다. 날짜별로 모아두면 맥락이 살아난다. 내부적으로는 심사 메모를 남긴다. 예를 들어 의심 신호 3개, 반대 신호 1개, 보류 권고 같은 식의 요약을 붙인다. 이 문서들이 있어야 외부 감사나 법적 분쟁에서 합리적 주의의무를 다했음을 설명할 수 있다.
먹튀검증 팀 내에서의 역할 분담과 교육
경험이 쌓인 사람에게 모든 판단을 맡기면 병목이 생긴다. 팀 차원에서는 1차 필터, 2차 검증, 최종 판정으로 역할을 나누는 게 효율적이다. 1차는 서류 수합과 기본 점검, 2차는 공시 대조와 메타데이터 분석, 최종은 리스크 팀과 협의해 사업적 판단을 내린다. 정기 교육에서 실제 사례를 블라인드 처리해 리플레이하는 방식이 효과적이다. 위조 서류와 진짜 서류를 섞어 놓고, 어느 지점에서 결정을 바꿨는지 토론한다. 같은 자료를 보고도 서로 다른 결론에 이르는 과정을 공유하면, 팀의 기준선이 맞춰진다.
외부 네트워크도 도움이 된다. 같은 업권의 다른 검증 팀과 연락망을 만들어, 수상한 번호나 문서 템플릿이 돌기 시작하면 빠르게 공유한다. 위조는 복제와 변형으로 확산한다. 한 번 본 패턴을 기억하고 있어야 다음에 더 빨리 잡는다.
한 걸음 더, 사업 실체와 문서의 일치성
인허가 문서가 진짜라도, 사업 실체와 일치하지 않으면 위험은 그대로다. 포트폴리오 내 여러 브랜드가 하나의 법인 라이선스를 공유하는 구조에서, 특정 브랜드가 어느 범주에 포함되는지 애매할 수 있다. 이럴 때는 결제 계약서의 상호, 사이트 푸터의 저작권 표기, 개인정보 처리방침의 법인명, 고객센터 이메일의 도메인이 서로 맞물리는지 본다. WHOIS에 등록된 연락처가 라이선스 공시의 주소지와 합리적으로 연결되는지도 본다. 다 맞을 필요는 없다. 다만 불일치가 생겼을 때 이유를 설명할 수 있어야 한다.
간혹 운영 파트너가 라이선스를 빌려 쓰는 형태를 정당하다고 주장한다. 일부 관할에서 서브라이선스가 제도적으로 허용되기도 한다. 허용되더라도, 공시 체계에 파트너 정보가 반영되는지, 책임 소재가 어디에 있는지 확인해야 한다. 사고가 났을 때 누구에게 청구할 수 있는지를 알지 못하면, 라이선스 한 장은 장식에 불과하다.
최종 점검 체크리스트, 팀 책상 위에 붙여둘 것
- 공식 도메인 기반의 공시 시스템에서 번호와 상호, 주소, 범주를 교차 확인했다. PDF 전자서명 또는 메타데이터에서 생산 경로와 타임스탬프가 합리적이다. QR과 링크의 도착 도메인, 인증서 체인, 콘텐츠가 문서와 일치한다. 번역본이 있다면 원문과 병기되었고, 용어와 표기가 기관 관행과 부합한다. 제출자의 설명이 반복 질문에도 일관되고, 추가 자료 요청에 성실히 응답했다.
이 다섯 가지를 모두 채웠다고 해서 100퍼센트 안전하다는 뜻은 아니다. 그렇지만 이 수준까지 확인하면, 대다수의 조잡한 위조는 일찌감치 걸러진다. 남는 것은 애매한 회색지대다. 여기서 판단은 기술보다 조직의 원칙에 달려 있다. 이용자 보호를 최우선으로 두고, 근거를 갖춘 보류와 공개를 병행하는 팀이 결국 신뢰를 확보한다.
마무리 생각, 기술과 태도의 균형
인허가 문서 위조를 가려내는 작업은 단발성 테크닉이 아니다. 제도와 문서, 웹 기술과 인쇄물의 물성을 두루 이해해야 한다. 동시에 상대의 태도와 맥락을 읽는 감각이 필요하다. 먹튀검증에서 이 둘의 균형은 결과를 좌우한다. 빠르게 배우고, 사례를 쌓고, 무엇보다 기록을 남기는 팀이 흔들리지 않는다. 문서 한 장의 진위를 넘어서, 그 문서가 기댄 세계와 우리의 책임을 함께 보려는 태도가 중요하다. 그렇게 쌓인 루틴은 다음 사건에서 시간을, 그리고 사용자들의 돈을 지켜 준다.