보안 업체들과 대응하며 오탐으로 나빠진 사이드 프로젝트의 평판을 회복한 과정을 정리한 글.
2026년 2월 12일
보안 업체들과 씨름하며 오탐(False Positive)으로 표시된 뒤 사이드 프로젝트의 평판을 회복한 과정을 짧게 정리한 글.
금요일 저녁은 긴 한 주가 끝난 뒤 사이드 프로젝트를 만지작거리기에 딱 좋은 시간이다. 차 한 잔을 따르고 노트북을 열어 프로젝트로 접속했는데, 브라우저가 앱 전체에 빨간 배너를 띄우며 “앞에 기만적인 사이트(Deceptive site ahead)”라고 경고한다.
이 일이 Engramma에서 벌어졌다. 디자인 토큰이 포함된 JSON을 편집하는 내 도구다. 피싱도, 악성코드도 없고, 익명 애널리틱스만 쓴다.
나는 디자인 시스템에 대한 더 나은 접근을 탐구하고, 디자인 시스템을 다룰 때의 경험을 개선해 보고자 Engramma를 만들었다. 아직은 소수의 사용자만 있는 진행 중인 프로젝트라서, 이런 경고가 뜬다는 게 더더욱 비현실적으로 느껴졌다.
이런 일이 실제 비즈니스에서 벌어지면 얼마나 치명적일까도 떠올랐다. 몇 시간의 다운타임은 곧바로 돈 손실로 이어진다. 내 경우엔 시간만 잃었을 뿐이지만.
배너가 안내하는 대로 Google Safe Browsing에서 상태를 확인하고, Google Search Console에 계정을 만든 뒤 DNS 설정에 TXT 레코드를 추가해 도메인 소유권을 인증했다. 하지만 오류 메시지는 답답할 정도로 모호했다. “피싱 활동이 감지됨” 같은 내용뿐이었다.
간단한 해명과 함께 검토 요청(review request)을 제출했다. 두 시간 뒤 이메일이 왔고, 도메인이 정상으로 복구되었다. 빨간 배너는 즉시 사라졌다.
휴.
그런데, 끝이 아니었다. 더 파고들어 보니 문제는 훨씬 심각했다. VirusTotal에서 확인해 보니 10개의 서로 다른 보안 벤더가 도메인을 악성으로 표시해 둔 상태였다.
구글의 경고는 사라졌지만, 다른 보안 제공업체들은 사용자의 설치된 보안 앱에서 계속 경고를 띄우기 시작했다.
이제 진짜 일이 시작됐다. 웹 폼, 포럼, 지원 이메일 등을 통해 각 벤더에 일일이 연락해야 했다. 아래는 대응 경험을 기준으로 “최고부터 최악까지” 정리한 순위다.
CRDF는 계정 생성 없이 제출할 수 있는 오탐 전용 폼을 따로 운영한다. 내용을 제출했고, 다음 날 아침 답장을 받았다.
도메인 ‘engramma.dev’가 당사 데이터베이스에서 제거되었음을 기쁘게 알려드립니다.
BitDefender 지원은 기본이 AI 봇인데, 아무것도 모른다. 나는 바로 “human agent”라고 입력했다. AI는 곧바로 사람 상담원에게 연결해 주었고, 상담원은 기술팀으로 에스컬레이션했다.
3일 후:
초기 탐지는 오탐이었습니다.
리포트를 제출하려면 계정 생성이 필수다. 여러 벤더를 상대해야 하는 상황에서 이런 마찰은 꽤 짜증난다. 케이스를 등록하고 기다렸다.
4일 후:
재스캔 후 사이트를 재분류했습니다. 파트너 시스템은 24시간 내 업데이트될 예정입니다.
가장 짜증났던 경험. 자동 “검토” 시스템이 내 첫 요청 이후에도 피싱 분류를 그대로 확정해 버렸다. 제출 폼의 카테고리도 직관적이지 않아서 여러 번 시도해야 했다. 결국 폼을 아예 포기하고, 자동 발송된 이메일 중 하나에 직접 답장하는 방식으로 우회했다.
결과:
업데이트된 카테고리: 정보기술(Information Technology)
4일, 여러 번의 폼 제출, 그리고 자동화 루프에서 빠져나오기 위한 단호한 이메일 한 통.
“오탐 신고(Report False Positive)” 버튼을 누르면 Meta의 메시지(Messages)로 리다이렉트된다. 나는 즉시 탭을 닫았다.
대신 사이트에서 연락처 이메일을 찾아 보냈다. 6일 뒤 답장:
답변 감사합니다. 곧 회신드리겠습니다.
하지만 그 뒤로는 아무 연락도 없었다. 다만 어느 시점에선가 플래그가 사라지긴 했다(확인 메일은 없었지만).
1차 시도: 1월 초 이메일 전송. 무응답. 아무 변화도 없음.
2차 시도: 8일 뒤 다시 시도. 30분 뒤:
다음 도메인이 성공적으로 화이트리스트에 추가되었음을 확인하는 자동 응답입니다: engramma.dev, github.com
아마 그들의 봇이 휴가 중이었나 보다. 덤으로 내가 요청하지도 않은 github.com까지 화이트리스트 처리해 줬다.
포럼 가입이 필요했다. 계정을 만들고 케이스를 올렸는데… 아무것도 없었다. 확인 이메일도 없고, 상태 업데이트도 없고, 해결 안내도 없다. 어느 순간 플래그가 조용히 사라졌다. 모르는 게 약이랄까?
웹 폼만 제공. 접수 확인도, 예상 일정도, 투명성도 없다. 결국엔 플래그가 해제되었다.
Gridinsoft는 내 리스트에서 가장 먼저 보였고, 동시에 가장 마지막까지 남았다. 첫 답변은 이랬다:
현재 도메인에 대한 차단은 당사 팀의 수동 판단에 근거한 것이 아닙니다. 여러 제3자 보안 및 평판 제공업체가 보고한 탐지 결과에서 비롯된 것입니다.
그들은 VirusTotal을 인용하며 사실상 “다른 데부터 다 해결하고 오세요”라고 했다.
그래서 그대로 했다. VirusTotal 목록에 있는 모든 벤더를 찾아 하나씩 해제받고, 2주 뒤 다시 돌아갔다. 이번엔 수동 재스캔을 진행했고, 마침내 신뢰 점수(trust score)가 업데이트됐다.
구글 플래그를 해결한 지 3일 뒤, Search Console에서 또 다른 알림이 왔다.
engramma.dev에서 소셜 엔지니어링 콘텐츠가 감지되었습니다
똑같이 모호한 오류, 설명은 0. 나는 사이트에 피싱 콘텐츠가 없다고 적어 다시 검토 요청을 제출했다.
그 뒤로 조용해졌다. 그런데 며칠 후, 또 똑같은 플래그가 뜨는 것이다.
구글 포럼을 뒤지다 보니 가장 많이 보고된 원인을 찾았다: 302 임시 리다이렉트(temporary redirect).
나는 랜딩 페이지를 만들기 싫어서, engramma.dev → app.engramma.dev로 리다이렉트 하나만 걸어 두었다. 게다가 새로 등록한 도메인이었다. 이 조합은 보기에 매우 수상하다. 악성 행위자들이 이런 리다이렉트를 광범위하게 악용하기 때문에, 보안 시스템이 이를 차단 대상으로 삼는 것이다.
그래서 Engramma 로고와 “Engramma 열기(Open Engramma)” 버튼이 있는 작은 랜딩 페이지를 만들었다. 마지막으로 검토 요청을 제출했다.
1주일 뒤, 모든 것이 해결됐다. 그리고 거의 한 달이 지난 지금까지도 문제는 없다.
나는 임시 리다이렉트가 SEO 관점에서 미래의 문제를 피하는 안전한 선택이라고 늘 생각했지만, 결과적으로는 스스로 발등을 찍는 행동이 될 수도 있다는 걸 알게 됐다.
새 도메인으로 런칭한다면, 상태를 미리 적극적으로 모니터링하라. 런칭 전에 VirusTotal을 확인해라. Google Search Console도 즉시 설정하라. 한 번의 잘못된 플래그가 벤더 데이터베이스 전반으로 바이러스처럼 퍼질 수 있다.
자동화된 시스템은 실제 피해를 만든다. “검토 요청” 과정이 연락처 폼, 포럼 가입, 이메일 주소를 찾기 위한 탐정놀이가 되어서는 안 된다. 오탐 하나를 해결하는 데 15일이 걸리는 건 웹 트래픽에 의존하는 비즈니스에겐 받아들일 수 없다.
만약 이런 일이 당신에게도 생긴다면: 당황하지 말고 빠르게 움직여라. 가능한 모든 채널(폼, 이메일, 소셜 링크)을 두드려라. 그들에게 알리라.
P.S. 이 기간 내내 트위터는 engramma.dev 도메인이 포함된 모든 게시물을 차단했다. 다행히 공유할 채널은 얼마든지 더 많다.
프리랜스, 컨설팅, 정규직 기회를 모두 검토 중입니다. 빠르고 접근성 좋은 사용자 인터페이스와 확장 가능한 프론트엔드 아키텍처를 팀과 함께 구축합니다.
