# 닷온라인(.online) 도메인은 절대 사지 말 것

> Clean Markdown view of GeekNews topic #27010. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=27010](https://news.hada.io/topic?id=27010)
- GeekNews Markdown: [https://news.hada.io/topic/27010.md](https://news.hada.io/topic/27010.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-02-26T09:46:30+09:00
- Updated: 2026-02-26T09:46:30+09:00
- Original source: [0xsid.com](https://www.0xsid.com/blog/online-tld-is-pain)
- Points: 7
- Comments: 1

## Topic Body

- **.com 중심으로 운영해온 개발자**가 무료 프로모션을 통해 .online 도메인을 사용했다가 **사이트 차단과 도메인 정지**를 겪은 사례  
- Namecheap에서 무료로 받은 .online 도메인이 **Google Safe Browsing의 ‘위험 사이트’ 경고**를 받으며 접속 불가 상태로 전환  
- WHOIS 조회 결과 **`serverHold` 상태**로 표시되어, 레지스트리(Radix)가 도메인을 정지시킨 것으로 확인  
- Google 검증 절차와 레지스트리 해제 조건이 서로 맞물려 **도메인 복구가 불가능한 ‘검증의 딜레마’** 에 빠짐  
- **.com 도메인은 여전히 골드 스탠다드**이며, 비표준 TLD 사용은 위험함  
  
---  
### Namecheap의 무료 .online 프로모션  
- Namecheap이 **.online 또는 .site 도메인을 무료 제공하는 프로모션**을 진행  
  - 작성자는 소규모 앱 프로젝트용으로 .online 도메인을 선택  
  - ICANN 수수료 0.20달러만 지불하고 **Cloudflare와 GitHub Pages**에 연결해 사이트를 개설  
- 초기에는 정상 작동했으나, 이후 **Google과 브라우저에서 ‘위험 사이트’ 경고**가 표시되며 접속 차단 발생  
  
### 사이트 차단과 도메인 정지  
- Firefox와 Chrome 모두에서 **전체 화면 경고 페이지**가 표시되어 방문자 접근이 차단  
  - 사이트에는 App Store 링크, 스크린샷, 간단한 설명만 포함되어 있었음  
- WHOIS 조회 결과 도메인 상태가 **`serverHold`** 로 표시되어, **레지스트리(Radix)** 가 직접 정지시킨 것으로 확인  
- `dig NS` 명령 실행 시 네임서버 정보가 비어 있었고, Cloudflare 설정은 정상 상태였음  
  
### 복구 시도와 검증의 딜레마  
- 작성자는 Namecheap과 Radix에 각각 문의했으나, **Google Safe Browsing 블랙리스트** 해제 없이는 복구 불가  
- Google Search Console에서 도메인 소유권을 증명해야 검토 요청 가능하지만,  
  - 도메인이 정지되어 **DNS 레코드 추가가 불가능**, 검증 자체가 실패  
- Google은 “유효한 페이지가 제출되지 않았다”는 응답만 반환  
- 작성자는 Safe Browsing, Safe Search, 피싱 신고 등 **여러 경로로 오탐 신고**를 시도했으나 효과 없음  
  
### 문제의 원인과 교훈  
- 작성자는 **세 가지 실수**를 지적  
  - 비표준 TLD(.online) 사용  
  - Google Search Console 미등록  
  - 가동 상태 모니터링 미설정  
- Radix와 Google 모두 **자동 차단과 복구 절차의 불투명성**으로 비판받음  
- 원인은 명확하지 않으나, **.online TLD의 신뢰도 문제 또는 오탐 가능성**이 언급됨  
  
### 결론 및 후속 조치  
- 이후 Google의 Safe Search 블랙리스트에서 사이트가 제거되고, Radix의 `serverHold`도 해제되어 **사이트가 복구됨**  
- 작성자는 “**.com은 여전히 골드 스탠다드**이며, 다시는 다른 TLD를 구매하지 않겠다”고 언급  
- 사례는 **저가 또는 무료 TLD 사용 시 발생할 수 있는 리스크**를 보여주는 경고로 제시됨

## Comments



### Comment 51917

- Author: neo
- Created: 2026-02-26T09:46:30+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47151233) 
- 대기업들의 **끝없는 계정 인증 루프**는 정말 고통스러운 문제임  
  “계정을 확인해주세요”라는 이메일을 받았을 때 “이건 내가 아님”을 클릭할 수 있는 옵션조차 없는 게 황당함  
  이런 시스템을 설계한 사람들이 일을 몰라서 그런 건지, 아니면 소비자와 **목표가 완전히 어긋나서** 그런 건지 모르겠음
  - 우리 회사에서도 비슷한 일이 있었음. Apple 개발자 계정을 관리하던 사람이 갑자기 퇴사했는데, 그 이후로 **Apple 지원팀과의 이메일 왕복**이 몇 달째 이어지고 있음  
    문서를 요청하더니 보안 링크를 안 보내고, 또 일주일 기다리고, 문서에 문장 하나 빠졌다고 다시 요청하고…  
    명함을 요구하길래 20년 만에 새로 만들어야 했음. 이 정도면 **사기꾼이 더 빨리 통과할** 프로세스임
  - 나도 Google에서 이런 루프를 겪었음. Gmail이 2FA를 요구했는데 전화번호가 없어서 복구 이메일을 사용함 → 그 복구 이메일도 2FA를 요구함 → 그 복구의 복구 이메일은 이미 사라진 `sbcglobal.net` 주소였음  
    결국 Google이 복구 이메일을 **2FA 수단으로 잘못 사용한 것**이 문제였고, 해결하려면 AT&T에 연락해야 했음. 20년 전 고객 정보를 업데이트해달라고 부탁해야 하는 상황이었음
  - “이건 내가 아님” 버튼이 있어도 실제로 바뀌는 건 거의 없음  
    대부분의 경우, 상대방은 이메일 인증을 완료하지 못해서 더 이상 아무것도 못 하고, 사이트도 추가 메일을 보내지 않음  
    문제는 그 상태에서 내가 같은 이메일로 새 계정을 만들 수 없다는 점임. 하지만 “비밀번호 재설정” 절차를 통해 결국 **그 계정을 인수할 수 있음**
  - 누군가 내 Gmail 주소를 자기 계정의 **백업 이메일**로 계속 추가함  
    Gmail에서 알림이 올 때마다 삭제하지만, 혹시라도 이걸 방치하면 **계정 탈취 위험**이 있을까 걱정됨
  - 예전에 누군가 내 이메일을 Santander UK 은행 계정에 연결했음  
    연락하려 했지만 국제전화나 **종이 편지**밖에 방법이 없어서 포기하고, 그냥 그 메일들을 따로 분류해두었음

- 도메인 등록기관이 Google Safe Browsing을 근거로 **도메인 정지**를 하는 건 충격적임  
  이런 식이면 해당 TLD 전체가 신뢰할 수 없는 수준이 됨
  - `.online` 같은 TLD는 등록은 1달러지만 갱신은 30~35달러로 뛰는 구조임  
    이런 가격 정책이 **진지한 TLD와 단기 사기용 TLD**를 구분하는 신호가 됨
  - 문제는 **레지스트리**임. 내가 만든 [tldrisk.com의 도메인 리스크 설명 페이지](https://tldrisk.com/beyond-basics/reclassification/)에서도 다룸  
    ICANN의 감독 부재로 인해 레지스트리들이 마음대로 정책을 바꾸고, 결국 사람들은 `.com`, `.org` 같은 **역사가 긴 TLD**만 신뢰하게 됨  
    개인적으로는 `.com`과 `.ca`만 믿을 수 있다고 생각함
  - 결론은 Radix가 관리하는 도메인은 피해야 함
  - Safe Browsing은 **웹사이트 단위**로 작동하는데, Radix는 그걸 이유로 **계정 전체를 정지**시킴  
    서브도메인만 차단해도 될 일을 전체 계정 동결이라니 말이 안 됨
  - 어쩌면 Radix의 비즈니스 모델 자체가 “진지한 사용”이 아닐 수도 있음

- 이번 사건의 TLD 소유자는 Radix였음  
  `.store`, `.online`, `.tech`, `.site`, `.fun`, `.pw`, `.host`, `.press`, `.space`, `.uno`, `.website` 등을 운영함  
  [radix.website](https://radix.website/)
  - 이런 TLD들은 **사기 사이트와 자주 연관**되어 있음  
    아예 해당 TLD 전체를 차단하는 게 나을 수도 있음
  - 나도 `.tech` 도메인을 개인 이메일로 몇 년째 쓰고 있었는데, 이런 레지스트리 소속인 줄 몰랐음
  - 집 DNS에서 66개 TLD와 모든 IDN ccTLD를 차단했는데, 이건 빠져 있었음  
    이제는 **hagezi rpz 위협 정보 피드**를 써서 대부분의 이상한 도메인을 막고 있음

- “Google Safe Browsing 블랙리스트 때문에 도메인이 정지됐다”는 건 내가 10년 전부터 경고하던 **검열의 미끄러운 경사면**임  
  Google Search Console에 등록하지 않은 게 큰 실수였음. 결국 Google의 **독점적 영향력**이 더 커졌음
  - 이건 Google이 아니라 Radix의 책임임  
    Google과 Microsoft가 악성 사이트 목록을 유지하는 건 괜찮지만, 그걸 **절대적 기준으로 삼아 도메인을 정지**시키는 건 문제임  
    Google이 권력을 쥔 게 아니라 Radix가 **자발적으로 넘겨준 것**임
  - Google이 의견을 가질 수는 있지만, **레지스트라의 정지 조치와는 분리**되어야 함
  - 명백히 Radix의 잘못임
  - BBB 평점 낮다고 회사를 해산시키는 꼴임. 완전히 **비상식적**임
  - 왜 제3자의 블랙리스트를 근거로 도메인을 정지시키는지 이해할 수 없음  
    반대로, 사기 사이트를 신고해도 **삭제가 안 되는 경우**도 많음
- Google Search Console에 등록하지 않았다는 이유로 이런 일이 생긴다면, 이는 **반독점 조사**로 이어져야 함  
  Google이 인터넷 존재 자체의 **게이트키퍼**가 되어버린 셈임
- Radix가 **부정적 피드백 루프**를 만든 것 같음  
  Google 입장에서는 Safe Browsing에 걸린 뒤 DNS가 사라지는 걸 보고 “사기 행위”로 오인할 수 있음
- 문제는 `.online`이 “이상한” 게 아니라 **무료였다는 점**임  
  무료 TLD는 스패머와 사기꾼을 끌어들이고, 결국 **사기 신호**로 인식됨  
  물론 `.com` 외에도 괜찮은 도메인은 많음
  - `.online`, `.top`, `.xyz`, `.info`, `.shop`은 **사기 사이트 상위 TLD**임  
    너무 싸서 단기 피싱용으로 쓰이기 때문임. 새 도메인을 만들 때는 이런 TLD를 피해야 함
  - 아마도 OP의 도메인이 과거에 악용됐거나, **저가 TLD의 낙인** 때문에 자동으로 고위험군으로 분류된 듯함  
    공짜는 좋지만, 때로는 **치명적인 리스크**가 따름

- 내 경험상 **vanity 도메인**은 기업 보안 시스템에서 자주 차단됨  
  친구의 `.homes` 도메인이 6개월 동안 quad9과 회사 보안망에서 막혀 있었음  
  나도 새 TLD를 샀을 때 한 달간 일부 ISP의 “안전 브라우징” 기능 때문에 접속이 차단됐음  
  결국 배운 건, **새 도메인은 기본적으로 신뢰받지 못한다는 것**임
  - 흔치 않은 국가 TLD도 마찬가지임. 내 `.vg` 도메인은 SPF, DKIM, DMARC 다 설정했는데도 **스팸함으로 자주 빠짐**
  - Fortinet은 새 도메인을 기본 차단함. 그래서 요즘 **새 프로젝트 사이트를 확인조차 못함**
  - 이런 정책이 실제로 **보안 효과가 있긴 함**  
    내 할머니가 받은 사기 링크 대부분이 `.top` 도메인이었음. DNS에서 90일 이내 등록된 사이트를 전부 차단하니 사기 클릭이 완전히 사라졌음  
    그래서 나도 도메인을 살 때 **1달러짜리 TLD는 전부 제외**함
  - 결국 웹 보안의 핵심은 여전히 **도메인 이름을 신뢰하는 구조**임  
    TLD가 끝에 있어서 사람들이 놓치기 쉬움

- `.online` 같은 도메인에서 보낸 이메일은 **스팸함으로 갈 확률이 훨씬 높음**  
  [Spamhaus의 TLD별 악성 비율 통계](https://www.spamhaus.org/reputation-statistics/gtlds/malware/)를 보면 명확함

- 예전에 Google이 이유도 설명하지 않고 내 **Android 앱 계정 전체를 정지**시킨 적이 있었음  
  단순한 피트니스 앱이었는데, 이유도 모르고 복구도 불가능했음. 그 이후로 Android 개발을 완전히 접었음
  - 친척의 사업체도 Google 리뷰가 몇 년째 **동결 상태**임. 항소를 넣어도 아무 응답이 없음  
    결국 **소규모 사업은 실리콘밸리의 기분에 달린** 셈임
  - Google은 앞으로 Android 앱 배포도 **자기 플랫폼만 허용**하려는 듯함
  - 나도 비슷한 일을 겪었음. 어느 날 갑자기 Google 계정이 차단되어 **디지털 생활 전체가 잠김**  
    그 이후로 완전히 **탈구글(UnGoogled)** 함