도박사이트 운영자
추적 종합 지침서

한 페이지 요약

팀장 보고용 핵심 정리

핵심 결론. URL 단독으로 운영자 신원을 직접 특정하는 것은 불가능하다. 그러나 URL을 시드로 ① 수동 OSINT(Cloudflare 우회·조직 클러스터링) → ② 능동 OSINT(카나리 토큰·핑거프린팅·미끼사이트) → ③ 영장 기반 적극수사를 단계적으로 진행하면 운영자 신원·실제 운영장소까지 식별이 가능하다. 단, "화이트해킹"이라 불리는 침투형 기법은 한국 정보통신망법상 수사기관도 사용할 수 없으며, 본 지침서는 이를 우회하는 합법적 능동 OSINT의 모든 가능성을 망라한다.

법적 프레임워크

"화이트해킹"의 두 얼굴과 한국법의 칸막이

분석관이 가장 먼저 이해해야 할 것은 "화이트해킹"이라는 단어가 한국 법체계에서 통하지 않는다는 사실이다. 영미권의 ethical hacking은 인가받은 침투테스트를 뜻하지만, 한국에서는 수사기관조차도 침투형 기법을 사용할 권한이 없다. 본 지침서의 모든 기법은 아래 4단계 법적 상태로 분류된다.

한국 관련 법령

• 정보통신망법 제48조 — 정당한 접근권한 없는 침입 금지. 수사목적이라도 영장으로 면책되지 않음
• 형사소송법 제215조 — 압수수색영장
• 통신비밀보호법 제5조·제13조 — 통신제한조치(감청) 및 통신사실확인자료 제공
• 전기통신사업법 제83조 — 통신자료 협조요청 (가입자 기본정보)
• 국민체육진흥법·사행행위규제법 — 도박사이트 운영의 처벌 근거

전체 워크플로우 (8단계)

수동 OSINT → 능동 OSINT → 영장 기반 적극수사 → 종결

도메인 기본정보 수집 LEGAL

WHOIS · 현재 DNS · Cloudflare 적용여부 판정

WHOIS 조회

도박사이트는 거의 100% WHOIS 프라이버시 보호가 적용되어 있다. 그래도 4가지 정보는 반드시 확보한다 — Registrar, 등록일, NS, Updated Date. 시리얼 도메인군 간 NS 변경 시점이 일치하면 동일 조직 입증 보조증거가 된다.

현재 DNS 레코드 종합

판독 포인트

CF-Hero 멀티소스 스캔 LEGAL

Cloudflare 우회 4대 피벗 통합도구

CF-Hero(github.com/musana/CF-Hero)는 Historical DNS / SSL Certificate / Subdomain / MX-TXT 4개 피벗을 통합한 도구다. 단순 도메인 입력만으로 모든 피벗을 자동 수행하고, 발견 IP에 직접 HTTPS 연결 후 HTML <title>을 원본과 비교해 오리진 여부를 검증한다.

Historical DNS — 시간을 거슬러 가는 추적 LEGAL

원리. 사이트가 처음 인터넷에 노출될 때는 보통 CF를 쓰지 않는다. 그 시점의 진짜 IP가 SecurityTrails 같은 DNS 히스토리 DB에 보존되어 있고, 운영자는 CF 적용 후에도 서버를 옮기지 않는 경우가 다수다. 옛 IP가 여전히 현재 오리진이다.

SSL Certificate — 인증서 지문 역추적 LEGAL

원리. 오리진은 CF 적용 후에도 자체 SSL 인증서를 보유한다(Let's Encrypt 자동갱신). Censys/Shodan이 전 인터넷 443 포트를 스캔해 인증서를 DB화하므로, 지문·CN으로 역검색 시 그 인증서를 들고있는 진짜 IP가 노출된다. 추가 무기는 favicon mmh3 해시다.

favicon mmh3 해시 계산

Subdomain Leak — 가장 흔한 운영자 실수 LEGAL

원리. 메인 도메인은 CF에 등록하지만 mail., admin., direct. 등 서브도메인을 실수로 CF 밖에 노출시키는 경우가 매우 흔하다. 이런 서브의 A 레코드 = 진짜 오리진 IP. Host 헤더 트릭으로 비-CF IP에 직접 연결하면서 Host를 메인 도메인으로 위장하면 같은 서버가 도박사이트 응답을 반환한다.

MX / Mail Header — CF로도 못 막는 누수 LEGAL

원리. 메일 송신은 Cloudflare를 우회한다. 따라서 ① SPF의 ip4: 값 = 운영자가 신고한 메일서버 IP, ② MX A 레코드 = 자체 메일서버 IP, ③ 회원가입 인증메일의 Received 헤더 = 송출 IP. 메일서버와 웹서버가 같은 머신/네트워크인 경우가 다수다.

DMARC 리포트 활용 (보조)

DMARC에 rua=mailto:dmarc@otherdomain.com 같은 보고용 메일주소가 있으면 그 도메인 또한 운영자 소유일 가능성이 매우 높다.

교차검증 LEGAL

CF-Hero 단독 신뢰 금지 — 3개 이상 독립소스에서 같은 IP 확인

동일 조직 사이트군 클러스터링 LEGAL

cms-001 ~ cms-099 일괄 매핑 → 영장 한 번에 일괄대응

운영 생태계 추적 LEGAL

URL/IP 너머 — 텔레그램·가입코드·광고게시글·자금흐름

텔레그램 채널 추출

광고 게시글 구글 도킹

가입코드 / 입금계좌 / 가상자산

• 가입코드: 도박사이트는 가입 시 추천코드(예: kk7, bb12) 요구. 이는 총판 식별자. 광고게시글에서 코드 수집 → 광고작성자 IP → 총판 → 운영자 라인 추적
• 입금계좌(대포통장): 사이트별 입금계좌 수집 → 동일 계좌·동일 명의자 반복 시 자금세탁·운영자 신원 직결. FIU 협조요청 단계
• 가상자산 지갑: 비트코인/테더 지갑 주소 노출 시 체이널리시스, 크리스털, 웁살라시큐리티로 자금흐름 추적 (Section 20 심화)

Canary Token & Web Beacon LEGAL

상대방이 자발적으로 클릭하게 만드는 합법적 추적

원리. 능동 OSINT의 가장 강력한 비기. 침투가 아니라 운영자의 자발적 행위로 IP가 노출되는 구조. 고객센터에 정상적인 문의로 위장한 메시지에 추적 URL을 임베드하면, 운영자가 클릭/열람하는 순간 그쪽 IP·UA·시간이 분석관 측에 회신된다.

canarytokens.org 활용

오픈소스 무료 서비스. 추적 URL, 추적 이미지, 추적 PDF/DOCX, 추적 QR코드 등 13종 카나리 토큰 발급 가능.

PDF/DOCX 비콘

가입증빙·환불요청서 형태의 문서에 외부리소스 참조를 심어 발송. 운영자가 문서를 여는 순간 외부서버에서 이미지를 가져오면서 IP가 노출된다.

위장가입 행동분석 GRAY AREA

가입 후 입금 없이 추출 가능한 운영자 지문

원리. 차명 ID로 가입한 후 입금하지 않고도 운영자에 대한 다층 정보를 수집할 수 있다. 한국 판례상 기존 운영중인 도박사이트에 가입하는 것은 기회제공형 함정수사로 적법하다(범의유발형 아님).

노출 메타데이터 수확 LEGAL

그들이 실수로 인터넷에 던져둔 것 줍기

침투가 아니라 운영자가 부주의로 공개해버린 자원을 수집하는 행위. 합법성 명확. 단 디렉토리 브루트포스·파라미터 변조로 넘어가는 순간 회색지대로 진입한다.

발견된 자원에서 추출할 것

• .git에서: 커밋 작성자 이메일·이름 (개발자 신원), 백엔드 IP 하드코딩, API 키, DB 접속정보
• source map에서: 관리자 패널 URL, 내부 API 엔드포인트, 디버그 메시지의 한국어 표현
• S3 버킷에서: 운영자 백업 파일, 사용자 데이터, KYC 문서 (만약 있다면)

TLS 핑거프린팅 — JARM / JA3 / JA4 LEGAL

서버측 TLS 스택의 고유 지문으로 동일 인프라 식별

JARM(Salesforce 개발)은 서버에 TLS Client Hello 10가지 변형을 보내 응답을 해시화한다. 같은 운영체제·같은 TLS 라이브러리·같은 구성을 쓰는 서버는 완전히 동일한 JARM 지문을 갖는다. 즉 CF 뒤의 100개 도박사이트가 모두 같은 백엔드 스택을 쓴다면, 어느 한 사이트의 오리진 IP를 찾았을 때 같은 JARM을 가진 IP들을 Censys에서 검색하면 동일 운영자의 다른 모든 서버가 노출된다.

메일 송신 유도 (Reverse Phishing) GRAY AREA

운영자가 분석관에게 메일 보내게 만들기

회원가입 외에도 운영자가 메일을 보내도록 유도할 수 있는 시나리오가 다수 있다. 송신 메일의 헤더는 매번 다른 송신경로를 노출할 수 있어 여러 번 받을수록 인프라 전체가 드러난다.

3rd Party 서비스 누수 LEGAL

운영자가 의존하는 외부 서비스에서 새는 정보

운영자는 자체 시스템만 쓰지 않는다. 채팅위젯·분석툴·푸시·CDN 등 SaaS를 끼워 쓰는데, 이 SaaS들이 의외로 많은 정보를 노출시킨다.

Wayback Machine 심층 채굴 LEGAL

과거 스냅샷에서 현재 사라진 정보 발굴

Wayback Machine은 도메인 단위가 아니라 URL 단위로 모든 페이지를 아카이브한다. 운영자가 나중에 삭제·변경한 페이지·파일까지 보존되어 있어, 현재 사이트에 없는 정보(과거 관리자 이메일, 옛 텔레그램 채널, 사이트 초기 본사 주소 등)를 회수할 수 있다.

실전 발굴 우선순위

1. 초기 footer의 회사명·주소·연락처 (나중에 삭제되기 전)
2. 옛 텔레그램 채널 (운영자 ID는 동일한 경우 多)
3. 과거 관리자 이메일 (개발 단계에 노출됐던 것)
4. 이전 도메인으로의 redirect (도메인 변경 이력 추적)
5. 이전 결제 페이지의 입금계좌 (대포통장 명의 추적)

코드 검색 피벗 — GitHub · Pastebin · Telegram LEGAL

소스코드·유출문서·텔레그램 공개 채널 횡단검색

운영자나 그의 개발자가 실수로 GitHub에 코드를 푸시해버린 케이스가 의외로 자주 발견된다. 또한 텔레그램 공개 채널·페이스트빈에 사이트 정보가 유출된 경우도 많다.

모바일 앱 리버스 정찰 LEGAL

APK/IPA 정적분석으로 백엔드 인프라 노출

대부분 도박사이트는 모바일 앱을 별도 배포한다(공식 스토어 우회를 위한 APK 사이드로딩). APK는 사실상 압축파일이라 다운로드 후 정적분석으로 모든 하드코딩된 정보가 노출된다. 침투가 아니라 단순 파일 분석이라 합법.

특수 검색엔진 카탈로그 LEGAL

Shodan·Censys가 못 잡는 영역을 보완하는 8개 엔진

Shodan과 Censys는 영미권 중심이라 동남아·중화권 자산에 약하다. 도박사이트 운영자가 가장 많이 쓰는 호스팅이 바로 그 지역이므로 중화권 검색엔진 동시활용이 필수다.

FOFA 실전 쿼리

네트워크 삼각측량 LEGAL

전세계 측정 노드로 서버 물리위치 좁히기

오리진 IP의 ASN 정보는 호스팅사 위치이지 실제 서버 위치가 아니다. 전세계 분산 측정 노드에서 동시에 핑/HTTP 측정한 응답시간을 분석하면 서버의 진짜 물리위치를 수십~수백 km 단위로 좁힐 수 있다.

Anycast vs Unicast 판별

같은 IP를 전세계에서 측정했을 때 응답시간이 모두 비슷하면 anycast(CDN), 한 지역만 빠르면 unicast(실제 서버 위치 추정 가능).

BGP 경로 변경 모니터링

BGPmon, BGP.Tools에서 운영자 ASN의 BGP 광고 변경을 모니터링하면, 서버 이전 시점을 실시간 포착 가능. 도박사이트가 새 IDC로 이사하는 순간을 잡아 새로운 인프라를 노출시킬 수 있다.

HoneyCRM / 미끼 사이트 운영 GRAY AREA

분석관이 운영자를 자기 그물로 끌어들이는 비기

가장 고급 비기. 분석관이 가짜 도박사이트 또는 가짜 광고대행사 사이트를 직접 운영하여 운영자가 제휴·광고·교류 목적으로 접근하게 만든다. 이 과정에서 운영자의 IP·이메일·텔레그램·전화번호가 자연스럽게 수집된다.

시나리오 A — 가짜 광고대행사

• "도박사이트 전문 광고대행사" 모양의 그럴듯한 사이트 운영
• 네이버 카페·텔레그램에 광고 게시
• 도박사이트 운영자가 광고 의뢰차 연락 → 그 시점에서 운영자 측 통신·IP·계좌 정보 수집

시나리오 B — 가짜 총판 모집

• "신규 도박사이트 총판 모집중" 게시글
• 운영자가 분석관에게 가입 요청 → 도박사이트 ID 발급
• 발급 과정에서 운영자 측 인프라·정산방식 노출

시나리오 C — 가짜 환전상

• "가상자산 ↔ 원화 환전 도와드립니다" 위장
• 운영자가 자금세탁 목적으로 접근 → 지갑주소·계좌 동시 노출

가상자산 자금흐름 심층 추적 LEGAL

실명 KYC 거래소까지의 경로 추적

도박사이트의 자금흐름은 최종적으로 어딘가에서 실명 KYC를 거친다. 그 지점을 찾으면 운영자 또는 운영자 측 환전상이 노출된다. 한국 도박사이트는 USDT(테더)를 가장 많이 쓰며, 환전소는 한국 거래소(업비트, 빗썸) 또는 OTC 데스크로 연결된다.

추적 기법 카탈로그

• 공통입력 휴리스틱(Common Input Ownership): 한 트랜잭션에 여러 주소가 입력되면 같은 주인. 비트코인 추적의 기본 휴리스틱
• Peel chain 분석: 큰 금액을 작은 금액으로 쪼개며 이동하는 자금세탁 패턴. 마지막 종착지가 KYC 거래소
• Mixer/Tumbler 패턴 탐지: Tornado Cash, Wasabi 등 사용 흔적
• 시간 상관관계: 도박사이트 입금시간 vs 블록체인 트랜잭션 시간 매칭
• 스마트컨트랙트 호출 분석: 도박사이트 자체 컨트랙트가 있다면 호출 주소들이 모두 운영자/사용자
• OTC 데스크 식별: 거래소 외부에서 대량 USDT/원화 환전하는 텔레그램 OTC. 운영자 자금세탁 채널

운영자 신원 상관관계 분석 GRAY AREA

유출 DB · 사용자명 재사용 · 개발자 시그니처

운영자도 사람이라 다른 곳에서 같은 패턴을 반복한다. 실명 노출된 다른 활동과 도박사이트 운영자를 연결하는 것이 가장 어렵지만 가장 결정적이다.

유출 DB 매칭

• 운영자가 회원가입한 다른 사이트의 유출 DB와 도박사이트 운영자 이메일/패스워드 매칭
• HaveIBeenPwned — 이메일이 유출됐는지 확인 (수사기관 협력 기능 별도)
• Intelligence X — 다크웹·유출 DB 검색 (유료)
• DeHashed / LeakCheck / Snusbase — 유출 자격증명 DB 검색 (가입자 정보 노출)

사용자명 재사용 추적

운영자의 텔레그램 ID·이메일 prefix·도메인 등록자명 등을 모든 플랫폼에서 횡단검색한다.

개발자 시그니처 분석

• GitHub 커밋의 작성자 이메일·이름
• APK 서명 인증서의 CN/OU 필드
• SSL 인증서 발급 시 사용된 이메일
• WordPress·CMS의 author meta 태그
• JavaScript의 주석에 남은 개발자 이름
• 이미지 파일의 EXIF 메타데이터 (Adobe Photoshop의 author 필드 등)

Slack/Discord 클러스터 분석 (최고 난이도 비기)

도박사이트 운영조직은 내부 커뮤니케이션을 Slack 또는 Discord로 한다. 같은 운영자가 다른 합법 비즈니스에 참여중인 Slack/Discord 서버에 들어가 있을 가능성이 있고, 이 경우 같은 시간대에 같은 패턴으로 발화하는 사용자 ID를 매칭하면 실명이 확인된다. 매우 정교한 OSINT 분석이 필요하지만 실제 검거사례 존재.

영장 유형별 가이드 WARRANT REQ.

OSINT 너머의 강제수사

실무 우선순위

1. 호스팅사 보존명령(즉시 발송) — 운영자 인지 전 증거 인멸 차단
2. Cloudflare 압수수색 — 미국 캘리포니아 관할, SCA(저장통신법) 기반. MLAT 또는 직접 Abuse 신고 후 자료요청
3. 총판 압수수색 — 한국 내 거주 다수. PC·휴대폰 압수 시 운영자 텔레그램 ID·정산표 즉시 확보
4. 입금계좌 자료요청 — 은행에 영장 → 명의자 신원, 인출패턴, ATM CCTV
5. 가상자산 거래소 자료요청 — 업비트·빗썸 등 KYC 정보
6. 플랫폼사 자료요청 — 카카오톡·텔레그램(가능범위), 네이버 카페

국제공조 MLAT WARRANT REQ.

해외 호스팅사·플랫폼사 대상 자료요청 경로

도박사이트 90% 이상이 해외 호스팅. 결국 국제공조가 종결의 핵심이다.

함정수사 법리 WARRANT REQ.

위장가입·미끼사이트의 합법성 경계선

한국 대법원 판례(2007도1903, 2008도7362 등)는 함정수사를 다음 두 유형으로 나눈다.

도박사이트 수사에서는 이미 운영중인 사이트에 가입·문의하는 행위는 기회제공형이라 적법. 미끼사이트 운영도 "이미 도박을 운영중인 자가 자발적으로 접근해 오는 것을 받는 구조"라면 적법.

분석 결과 보고서 양식

cms-002.com 적용 예시

분석 의사결정 트리

도구 치트시트

전체 도구 카탈로그 및 사용목적