사이버 범죄 사이버 보안 SIM 스와핑 OSINT DDoS 공격 김울프 봇넷 도르트 해커 마인크래프트 해킹 LAPSUS$ 크레스온시큐리티

2026년 초, 세계 최대 봇넷 '김울프'의 실체가 드러나다

2026년 1월 초, 사이버 보안 매체 크레스온시큐리티(KrebsOnSecurity)는 세계 최대かつ가장 파괴적인 봇넷으로 알려진 '김울프(Kimwolf)'를 구축하는 데 사용된 취약점을 한 연구자가 공개했다고 보도했다. 이후 김울프를 통제하는 해커 '도르트(Dort)'는 해당 연구자와 이 기고자, 그리고 최근에는 연구자의 집에 SWAT 팀을 출동시키는 등 대규모 사이버 공격을 지휘해 왔다.

도르트(Dort)의 정체: 공개된 정보로 추적한 프로필

공개된 정보에 따르면 도르트는 2003년 8월생 캐나다 출신으로 추정된다. 2020년 작성된 공개 '신상털기(dox)' 문서에 따르면 도르트는 'CPacket'과 'M1ce'라는 별칭을 사용했으며, 2017년 [email protected] 이메일을 통해 깃허브 계정을 생성한 것으로 확인됐다.

사이버 범죄 포럼 활동과 연결된 이메일

사이버 인텔리전스 기업 인텔 471(Intel 471)에 따르면, [email protected]은 2015년부터 2019년까지 Nulled(아이디 'Uubuntuu')와 Cracked(아이디 'Dorted') 등 여러 사이버 범죄 포럼에 가입하는 데 사용됐다. 이메일은 캐나다 통신사 Rogers Canada(IP: 99.241.112.24)에서 동일한 인터넷 주소로 생성됐다.

마인크래프트 해킹에서 시작된 범죄의 확장

도르트는 마인크래프트(Minecraft) 게임에서 '도르트웨어(Dortware)'라는 치트 소프트웨어로 유명세를 얻었다. 그러나 점차 마인크래프트 해킹에서 더 심각한 범죄로 활동 범위를 넓히기 시작했다. 2022년 3월에는 유명한 사이버 범죄 그룹 LAPSUS$의 채팅 서버에서 'DortDev'라는 닉네임으로 활동한 기록이 있다.

도르트는 임시 이메일 주소 등록 서비스와 '도르트솔버(Dortsolver)'라는 CAPTCHA 우회 코드를 판매했다. 이 서비스들은 2022년 SIM 스와핑 및 계정 탈취 활동에 특화된 텔레그램 채널 SIM Land에서 광고됐다. 플래시포인트(Flashpoint)에 따르면 도르트와 'Qoft'라는 해커가 협력해 이 서비스를 개발했으며, 두 사람은 2022년 SIM Land에서 $25만 상당의 마이크로소프트 Xbox Game Pass 계정들을 대량으로 탈취했다고 주장했다.

도르트의 동업자 '제이콥'의 정체

도르트와 제휴한 'Qoft'는 2022년 SIM Land에서 "난 제이콥과 일해"라고 언급했다. 제이콥은 도르트와 동일인물로 추정된다. 보안 기업 콘스텔라 인텔리전스(Constella Intelligence)에 따르면, [email protected]에서 사용된 비밀번호가 [email protected]에서도 재사용됐다. 도메인툴스(DomainTools)에 따르면, 이 이메일은 2015년 제이콥 버틀러(Jacob Butler)라는 이름으로 오타와에 거주하는 인물이 마인크래프트 테마 도메인을 등록하는 데 사용됐다. 또한 2016년에는 해커 포럼 Nulled에 가입하는 데도 활용됐다.

이 정보들은 도르트가 2003년생 캐나다인이며, 마인크래프트 해킹에서 시작해 사이버 범죄로 전향한 해커라는 사실을 뒷받침한다. 현재까지 공개된 정보에 따르면 도르트는 전 세계적으로 큰 피해를 입힌 김울프 봇넷을 통제하는 핵심 인물로 추정된다.

"도르트는 단순히 게임 해킹에서 벗어나 전 세계에 대규모 사이버 공격을 지휘하는 사이버 범죄자로 성장했다."

크레스온시큐리티(KrebsOnSecurity)
출처: Krebs on Security
신종 피싱 서비스 ‘스타킬러’: 실시간 로그인 페이지 위장·MFA 탈취까지 가능
← 이전

신종 피싱 서비스 ‘스타킬러’: 실시간 로그인 페이지 위장·MFA 탈취까지 가...

 AI 에이전트 시대: 보안 경계가 흔들리는 새로운 위협
다음 →

AI 에이전트 시대: 보안 경계가 흔들리는 새로운 위협