해외직구 사기 사이트, 5초 만에 구별하는 체크리스트

인스타그램에서 스투시 80% 할인 광고를 봤다. 평소 눈여겨보던 후드라 클릭했다. 사이트도 그럴듯하고 가격도 말이 안 되게 싸고 — 결제했다.

2주가 지나도 배송이 안 온다. 문의 메일은 답이 없다. 사이트에 다시 들어가보니 이미 사라져 있다.

이런 일이 지금 매주 수백 건씩 벌어지고 있다.

인스타 광고 눌렀는데, 왜 이렇게 싼 거지?

한국소비자원 2025년 조사에 따르면, 해외직구 사기성 쇼핑몰 피해 상담 중 82.3%가 SNS 광고를 통해 유입됐다. 인스타그램(41.8%), 유튜브(25.3%) 순.

피해 건수도 가파르다. 2021년 251건 → 2022년 441건 → 2023년 1,372건. 해마다 2~3배씩 늘어나는 추세다.

이유는 단순하다. SNS 광고는 플랫폼이 내용을 검증하지 않는다. 돈만 내면 사기 사이트도 광고를 집행할 수 있다. 인스타그램에서 보이는 “스투시 80% 할인”, “노스페이스 클리어런스 90% OFF” 같은 광고 — 해당 브랜드와 아무 관련이 없는 사기 사이트일 확률이 높다.

가짜 쇼핑몰은 어떻게 만들어지나?

AI 덕분에 쇼핑몰 하나 만드는 데 반나절이면 충분하다. 브랜드 로고 복사, 상품 이미지 크롤링, 결제 페이지 세팅 — 전부 자동화된다. 보안뉴스 보도에 따르면 사기 키트(scam kit)를 사서 도메인만 바꿔 찍어내는 방식이 주류다.

이런 사이트의 수명은 보통 2~4주다. 결제를 받을 만큼 받고, 신고가 쌓이기 전에 사이트를 내리고, 새 도메인으로 똑같은 사이트를 다시 올린다.

패턴이 있다.

도메인이 stussy-official-sale.top이나 northface-clearance.shop처럼 브랜드명 + 할인 키워드 + 비주류 확장자(.top, .shop, .store, .vip) 조합이다. 정식 브랜드는 이런 도메인을 쓰지 않는다. 스투시 공식은 stussy.com이고, 노스페이스 공식은 thenorthface.co.kr이다.

5초 체크리스트 — 이것만 보면 된다

사이트가 아무리 그럴듯해도, 이 세 가지 중 하나라도 걸리면 결제하면 안 된다.

1단계 — 도메인 확인 (2초)

주소창을 본다. .top, .shop, .store, .vip, .xyz 같은 확장자면 의심. 브랜드 이름이 들어 있어도 공식 도메인이 아니면 사기다. “이 브랜드의 공식 도메인이 뭐지?”가 확실하지 않으면, 네이버나 구글에서 브랜드명을 직접 검색해서 공식 사이트 주소를 확인하라.

2단계 — 결제수단 확인 (2초)

결제 옵션이 계좌이체, 암호화폐, 기프트카드만 가능하면 사기다. 정상적인 쇼핑몰은 신용카드(Visa, Mastercard)나 PayPal을 지원한다. 신용카드는 차지백(분쟁 제기)이 가능하지만, 계좌이체는 보낸 순간 돈이 사라진다.

3단계 — 연락처 확인 (1초)

페이지 맨 아래를 본다. 전화번호가 없고 이메일 하나만 달랑 있으면 — 사기 확률이 극도로 높다. 정상적인 쇼핑몰은 물리적 주소, 전화번호, 사업자 정보가 있다.

도메인 → 결제수단 → 연락처. 5초다.

결제 전 30초만 더 쓰면 확실해진다

5초 체크리스트를 통과했는데도 찝찝하면, 30초짜리 추가 검증이 있다.

ScamAdviser 검색 — scamadviser.com에 해당 URL을 입력하면 신뢰도 점수가 나온다. 40개 이상의 데이터 소스를 조합해서 도메인 나이, 서버 위치, 리뷰 등을 분석한다. 점수가 낮으면(특히 50 이하) 거르면 된다.

소비자24 사기의심 사이트 조회 — consumer.go.kr에서 해외직구 사기의심 사이트 목록을 제공한다. 구매하려는 사이트가 이미 등록되어 있을 수 있다.

WHOIS 도메인 나이 확인 — whois.domaintools.com에서 도메인 등록일을 확인한다. 등록된 지 6개월도 안 된 쇼핑몰이 “10년 전통”을 내세운다면 거짓말이다.

이미 결제했다면

돈을 보낸 뒤에 사기임을 알았다면 — 빠를수록 좋다.

신용카드로 결제한 경우: 카드사에 전화해서 차지백(chargeback, 이의제기)을 요청한다. “해외 온라인 결제 건인데 상품 미배송이다”라고 말하면 된다. 대부분의 카드사가 결제일로부터 120일 이내 분쟁 접수를 받는다. 결제 확인 메일, 사이트 캡처, 배송 안 온 증거를 미리 준비해두라.

계좌이체로 보낸 경우: 은행에 지급정지를 요청한다. 상대 계좌에 돈이 아직 남아 있으면 동결이 가능하다. 하지만 해외 계좌로 이미 빠져나갔다면 회수가 현실적으로 어렵다.

공통 — 신고: 경찰청 사이버안전국(ecrm.police.go.kr)에 온라인 사기로 신고한다. 한국소비자원 국제거래소비자포털(crossborder.kca.go.kr)에도 접수하면, 해당 사이트가 사기의심 목록에 등록되어 다른 피해자를 줄이는 데 도움이 된다.

누가 얼마나 조심해야 하는가

🟢 일반 사용자 — 위의 5초 체크리스트만 습관화하면 대부분의 가짜 쇼핑몰을 걸러낸다. 추가로, 해외직구는 무조건 신용카드로 결제하라. 계좌이체는 사기 피해 시 구제가 안 된다. 이것만 지켜도 피해를 입더라도 차지백으로 돈을 돌려받을 수 있다.

🟡 민감한 상황 (고가 브랜드 직구, 첫 거래 사이트) — 5초 체크리스트 + ScamAdviser 검색 + WHOIS 도메인 나이 확인. 100달러 이상 결제 전에는 30초 추가 검증을 습관으로 만들라. 해당 브랜드 공식 사이트에서 실제로 할인 행사를 하고 있는지 직접 확인하는 것도 방법이다.

🔴 OPSEC 필요 (대량 구매, 리셀 목적, 기업 구매) — 위의 전부 + 해당 사이트의 결제 게이트웨이가 PCI DSS(Payment Card Industry Data Security Standard, 카드 결제 보안 인증) 인증을 받았는지 확인. 대량 결제는 한 번의 사기로 피해 규모가 크기 때문에, 소액 테스트 주문 후 배송 확인을 거쳐 본 주문을 넣는 게 안전하다.

정리

가짜 쇼핑몰은 점점 정교해지고 있다. AI로 사이트를 찍어내고, SNS 광고비만 태우면 수백 명이 클릭한다. 디자인만 보고 진짜인지 가짜인지 구분하는 건 이미 불가능하다.

하지만 사기 사이트가 바꾸지 못하는 게 있다. 도메인은 여전히 .top이나 .shop이고, 결제수단은 여전히 계좌이체를 밀고, 연락처는 여전히 이메일 하나뿐이다.

도메인 → 결제수단 → 연락처. 5초면 된다. 그리고 해외직구는 반드시 신용카드로.