미국·캐나다, 김울프 봇넷 관리자 용의자 체포·기소
미국과 캐나다 당국은 전 세계에서 거의 200만 대의 기기를 감염시킨 KimWolf 분산 서비스 거부(DDoS) 봇넷을 운영한 혐의로 캐나다 남성을 체포하고 기소했습니다.
23세인 제이콥 버틀러(온라인 별명 “Dort”)는 캐나다 당국에 의해 오타와에서 수배 영장에 따라 수요일에 체포되었습니다.
알래스카 지구에서 목요일에 공개된 형사 고소장에 따르면, 버틀러는 IP 주소와 온라인 계정 정보, 거래 기록, 온라인 메신저 기록을 통해 KimWolf 봇넷과의 연관성이 드러나 구금되었습니다.
버틀러는 현재 미국으로 송환을 기다리고 있으며, 컴퓨터 침입을 돕고 방조한 혐의(최대 10년 징역형)로 기소되었습니다.
법원 문서에 자세히 나와 있듯이, KimWolf는 DDoS-대여 서비스로 운영되었으며 사이버 범죄자들이 당시 공개된 가장 큰 DDoS 공격인 거의 30테라비트/초에 달하는 공격을 실행하는 데 사용되었습니다.
버틀러는 사이버 범죄-서비스 모델을 활용해 디지털 사진 프레임, 웹 카메라부터 안드로이드 기반 TV 박스와 스트리밍 디바이스에 이르는 방대한 감염 시스템 네트워크에 대한 접근 권한을 판매했습니다.
이 봇넷은 전 세계 컴퓨터와 서버(국방부 정보망 IP 주소 포함)를 대상으로 25,000건이 넘는 공격에 사용되었으며, 일부 피해자에게는 100만 달러가 넘는 금전적 손실을 초래했습니다.
보안 기업 Synthient의 연구원들은 KimWolf의 급속한 확장을 추적하면서, 1월에 안드로이드 기기를 가정용 프록시 네트워크의 취약점을 이용해 공격함으로써 거의 200만 대로 성장했으며, 매주 약 1,200만 개의 고유 IP 주소를 생성했다고 밝혔습니다.
KimWolf 감염 열지도 (Synthient)
한편, 캘리포니아 중앙 지구는 45개의 DDoS-대여 플랫폼을 대상으로 압수 영장을 공개했으며, 이로 인해 여러 DDoS 플랫폼이 차단됐고, 그 중 최소 하나는 KimWolf 봇넷과 협력한 것으로 확인되었습니다.
“이러한 압수는 버틀러의 KimWolf 봇넷과 협력한 최소 하나의 플랫폼을 포함해 DDoS 플랫폼 전반에 큰 차단 효과를 가져왔습니다.”라고 법무부는 어제 밝혔습니다.
“미국 당국은 또한 이러한 서비스와 연관된 도메인 기록을 압수해 권한이 부여된 ‘스플래시 페이지’로 리디렉션했으며, 이 페이지는 DDoS 서비스가 불법임을 방문자에게 경고합니다.”
버틀러 체포는 2026년 3월에 진행된 국제 작전 이후 일어난 일로, 미국, 독일, 캐나다 당국이 KimWolf와 관련된 Aisuru, JackSkid, Mossad 등 세 개의 봇넷을 포함한 명령·제어 인프라를 압수했습니다. 이들 네 개의 봇넷은 총 300만 대 이상의 IoT 기기를 감염시켰습니다.
당시 미국 법무부는 네 개의 봇넷이 웹 카메라, 디지털 비디오 레코더, Wi‑Fi 라우터 등 300만 대 이상의 IoT 기기를 감염시켰으며, 그 중 다수가 미국 내에 있다고 밝혔습니다.
[검증 격차: 자동화된 펜테스팅이 한