[랜섬웨어①] ‘영원한 왕좌’는 없다···랜섬웨어 신흥 그룹 부상
상태바
[랜섬웨어①] ‘영원한 왕좌’는 없다···랜섬웨어 신흥 그룹 부상
  • 김선애 기자
  • 승인 2025.10.01 07:50
  • 댓글 0
이 기사를 공유합니다

악명높은 랜섬웨어 그룹 해체되면 신흥 그룹 부상하며 지하시장 영향력 높여
‘랜섬웨어 카르텔’ 형성 조짐 보여···양자 내성 랜섬웨어 현실화 가능

[데이터넷] 랜섬웨어가 AI 시대를 맞아 새롭게 바뀌었다. 공격자는 AI를 이용해 한층 더 정교한 기법을 사용하고 있는데, 그 방법과 목적이 APT와 크게 다르지 않게 됐다. 금전 목적이나 정치 목적의 공격자들이 모두 랜섬웨어의 공격 방식을 채택하고 있으며, 데이터 유출, 파괴, 반복 공격 등으로 더 큰 피해를 입게 하고 있다. 랜섬웨어 위협 동향을 살펴보고, 대응 방안을 알아본다. <편집자>

랜섬웨어 피해 기업 64%, 운영중단 피해 입어

랜섬웨어 위협에 대한 경각심이 높아지고 있다. IDC조사에서 따르면 국내 사이버 위협 중 피싱, 공급망 공격에 이어 3위가 랜섬웨어였으며, 피해입은 기업의 64%는 운영중단의 피해를 입었다고 답했다. 올해만해도 대규모 랜섬웨어 사고가 잇달아 발생하면서 전 사회에 경종을 울리기도 했다.

랜섬웨어는 데이터나 시스템을 암호화한 후 돈을 요구하는 전통적인 공격수법으로, 수익성이 매우 높기 때문에 점점 더 많은 공격자들이 이 시장에 뛰어들고 있다. 금전 목적의 공격뿐만 아니라 정치적인 목적의 공격, 혹은 국가 배후 공격 그룹의 수익 활동으로 랜섬웨어가 활용되면서 공격 방식이 정교해지고, 피해는 더욱 커지고 있다.

‘양자 내성 랜섬웨어(Quantum-Resistant Ransomware)’의 현실화 가능성도 제기된다. 카스퍼스키는 ‘양자컴퓨팅이 사이버 보안 환경에 가져올 새로운 위협과 도전’에 대해 우려하는 글을 통해 “양자 내성 랜섬웨어는 양자컴퓨터로도 해독이 어려운 구조로 설계돼 피해자가 돈을 지불하지 않고는 복구하기가 매우 어렵다. 현재 데이터 보호와 복구는 전통적인 보안 솔루션, 법 집행 기관, 양자 연구자, 국제 기구 간 협력에 의존하기 때문에 현 기술로는 양자 내성 랜섬웨어 피해를 막기가 쉽지 않다”고 지적했다.

“호랑이 없는 굴에 여우가 왕노릇”

랜섬웨어 범죄 시장은 서비스형 랜섬웨어(RaaS)와 계열사로 구성되는 체계를 갖추고 있다. RaaS는 랜섬웨어 도구와 인프라를 서비스로 제공하는 사이버 범죄 비즈니스 모델(CaaS)로, 락비트(LockBit), 블랙바스타(Black Basta), 하이브(Hive) 등이 악명을 떨쳐왔다. 계열사는 RaaS를 활용해 실제 공격을 진행하는 조직을 말한다. 능력있는 계열사가 많을수록 RaaS의 영향력이 커지기 때문에 RaaS 조직은 계열사 유치 전쟁을 벌여왔다.

신흥 조직 중 가장 성공적으로 계열사를 확장한 랜섬허브(RansomHub)를 들 수 있다. 지난해 초 등장해 하반기부터 맹활약한 랜섬허브는 계열사에게 최대 90%의 수익을 분배하면서 빠르게 시장을 장악했다. 2024년부터 발생한 랜섬웨어의 10% 이상이 랜섬허브에 의한 것이었다.

그런데 올해 상반기 랜섬허브 인프라의 일부가 국제 공조로 압수당하고, 인프라에 장애가 발생하자 새로운 RaaS 드래곤포스(DragonForce)가 랜섬허브 계열사를 빼내면서 영향력을 확장하기 시작했으며, 급기야 “랜섬허브를 인수했다”고 주장하기도 했다.

드래곤포스는 랜섬허브 외에도 여러 RaaS를 인수하면서 세력을 키웠으며, 더 파격적인 조건으로 계열사를 모집하기 위해 계열사 자체 브랜드로 랜섬웨어 공격을 할 수 있도록 ‘화이트라벨 서비스’도 운영한다. 이는 계열사가 드래곤포스의 도구와 인프라를 사용하면서도 계열사 자체 공격으로도 홍보할 수 있도록 하는 방식이며, 거대한 ‘랜섬웨어 카르텔(Ransomware Cartel)’을 형성하기 위한 방법으로도 보인다.

이처럼 랜섬웨어 시장 질서는 매우 빠르게 변하고 있다. 대형 조직이 활동을 중단하면 신흥 조직이 영향력을 키우면서 ‘호랑이 없는 굴에 여우가 왕노릇’ 하듯 활동하는 셈이다.

멀웨어바이트 조사에 따르면 2024년 7월부터 2025년 6월까지 41개의 새로운 그룹이 등장했고, 활성 그룹 수가 처음으로 60개를 넘었다. 지난 3년간 매년 약 50개의 새로운 그룹이 나타났고, 약 30개가 사라졌으며, 랜섬웨어 그룹의 변동성이 50% 증가했다고 설명했다.

가장 활발한 상위 10개 그룹의 공격이 2022년 7월부터 2023년 6월까지는 69%였는데, 2024년 7월부터 2025년 6월까지는 50%에 그쳤다. 지난해 가장 활발하게 활동한 상위 15개 그룹 대부분이 사라졌으며, 신흥 조직이 그 자리를 차지했다.

알려진 랜섬웨어 그룹 별 공격 횟수/ 멀웨어바이트 ‘2025 랜섬웨어 위협 동향’
알려진 랜섬웨어 그룹 별 공격 횟수/ 멀웨어바이트 ‘2025 랜섬웨어 위협 동향’

국제 공조 수사와 유명 그룹의 몰락

초기 랜섬웨어 그룹은 조직 내·외부 갈등으로 와해되거나, 복호화 키가 공개되면서 공격이 무력화돼 영향력을 잃게 되는 경우가 많았다. 예를 들어 콘티(Conti)는 러시아-우크라이나 전쟁 초 콘티 지도자들이 러시아 정부에 대한 지지성명을 발표한 직후, 조직 내부 우크라이나 출신 연구원이 이에 반발해 내부 문서와 소스코드를 유출시키면서 와해됐다.

최근에는 인터폴, FBI 등 수사기관과 민간 보안기업들이 협력해 랜섬웨어 공격 인프라를 압수하고 가담자를 체포하면서 활동을 중단시키는 사례가 늘고 있다.

가장 대표적인 것이 지난해 ‘오퍼레이션 크로노스(Operation Cronos)’를 통해 락비트 활동을 중단시킨 것이다. 영국 국가범죄수사청(NCA)이 주도하고 유로폴과 유로저스트가 참여한 이 작전을 통해 락비트 활동가들이 체포되고, 200개의 암호화폐 계정이 압수됐으며, 28개의 락비트 계열사 서버가 차단됐다. 이후 락비트섭(LockBitSupp)라는 닉네임을 가진 인물이 락비트 운영자를 자처하며 등장, 락비트는 건재하다고 주장하면서 활동을 이어갔다. 그러나 실제로 락비트의 영향력은 크게 약화된 것으로 보이며, 현재는 거의 활동 정황을 찾아보기 어렵다.

이외에도 올해 5월 유로폴과 유로저스트가 ‘엔드게임 2.0’을 진행, 랜섬웨어, 정보유출 등에 사용하는 악성코드를 중단시킨 성과도 있다. 이 작전을 통해 다나봇(DanaBot), 콕봇(Qakbot), 하이잭로더(HijackLoader), 락트로덱투스(Lactrodectus), 웜쿠키(WarmCookie) 등의 악성코드 그룹이 활동하는 300대 이상의 서버를 압수하고 650개 이상의 도메인을 무력화됐다.

인터폴이 5월 진행한 ‘세렝게티 2.0 작전’은 아프리카 전역에서 사이버 범죄 용의자 1209명을 체포하고, 1만1000여 개 악성 인프라를 해체했으며, 9740만 달러를 회수했다. 이번 작전은 온라인 사기, 랜섬웨어, 기업 이메일 계정 탈취(BEC) 등 고위험 범죄를 중점적으로 겨냥했다. 이 작전으로 랜섬허브(RansomHub), 블루디(Bl00dy), 나이트(Knight) 등 리브랜딩되거나 스핀오프된 랜섬웨어 그룹과 연관된 인프라도 검거됐다.

미국 법무부 7월 랜섬웨어 그룹 블랙스위트(BlackSuite)의 다크웹 유출 사이트를 압수하며 피해 확산을 중단시켰으며, 유로폴은 XSS 포럼 운영자를 체포해 포럼의 운영을 중단시켰다. 체포된 인물은 약 20년간 사이버 범죄 생태계에서 활동하며, 광고 및 중개 수수료를 통해 약 700만 유로(약 80억 원)를 벌어들인 사실이 확인됐다.

신흥 랜섬웨어 그룹의 부상

악명높은 랜섬웨어 그룹이 사라지면 신흥 그룹이 등장한다. 이들은 와해된 조직원 흡수, 기존 조직의 리브랜딩 등으로 영향력을 높인다. 콘티가 해체된 후 블랙바스타(Black Basta), 로열(Royal) 등 많은 공격 그룹이 콘티의 코드를 사용해 변종 공격을 펼쳤다.

SGI서울보증을 공격한 건라(Gunra)는 콘티 코드 일부를 재활용했으며, 신속한 협상 프로세스와 사회공학적 압박 수단을 강화하면서 영향력을 높이고 있다. 올해 4월부터 활동한 것으로 알려진 건라는 5일 이내 협상 시작을 강제하는 시간적 압박 전략을 사용한다. 그런데 우리나라 금융보안원이 SGI서울보증 사건에 대응하면서 직접 복호화 키를 개발해 공격을 무력화시켜 큰 영향을 받았을 것으로 보인다.

랜섬허브의 자리를 재빨리 차지한 퀼린(Qilin)이 빠르게 영향력을 높이고 있어 주의해야 한다. 퀼린은 랜섬허브 조직원이 합류하면서 공격 빈도를 높이고 있는데, 랜섬허브 중단 후 퀼린의 월평균 피해 건수는 기존 35건에서 70건으로 2배 늘었다.

오래된 그룹이 모두 활동을 중단한 것은 아니다. 파일전송 소프트웨어를 이용한 공급망 공격으로 전 세계 수만건의 피해를 일으킨 클롭(Clop)의 경우, 짧은 기간 동안 집중적으로 공격하다 몇 달간 잠복하는 수법으로 공격을 이어간다. 2023년 고애니웨어(GoAnywhere), 무브잇(MOVEit)의 취약점을 악용해 학교, 병원 등을 공격하면서 수익을 올렸는데, 지난해 12월부터 클레어(Cleo)를 악용하면서 활동을 재개했다.

2022년 약 1700만달러(약 236억원)의 몸값을 요구하면서 악명을 떨친 ‘올드그렘린(OldGremlin)’의 활동도 다시 포착됐다. 카스퍼스키에 따르면 올드그렘린은 러시아 배경 랜섬웨어 그룹이지만, 구 소련에서 독립한 독립국가연합(CIS)를 타깃으로 활동한 그룹이다. 제조, 기술, 리테일, 헬스케어 분야를 노렸다. 이들은 정교하게 설계된 랜섬웨어 공격을 벌이고 높은 몸값을 요구한다.

이번에 다시 활동을 시작하면서 몸값 요구 메시지와 파일 경로에 ‘OldGremlin’이라고 명시했는데, 예전에는 이러한 경향이 없었다. 카스퍼스키는 ‘그룹의 공개적인 브랜딩 시도’라고 해석했다. 이는 올드그렘린이 단순한 랜섬웨어 그룹을 넘어 고도화된 위협 그룹(APT)의 특징을 보이는 것으로 평가된다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.