랜섬웨어 그룹의 다크웹 활동 패턴: 공격 예고부터 협상까지

1. 서론

1.1. 연구 배경 및 필요성: 증가하는 랜섬웨어 위협과 다크웹의 역할

최근 몇 년간 랜섬웨어 공격은 단순히 데이터를 암호화하는 것을 넘어 기업의 핵심 자산을 탈취하고 이를 공개하겠다고 협박하는 이중 갈취(Double Extortion) 및 삼중 갈취(Triple Extortion) 형태로 진화하며 전 세계 기업 및 기관에 막대한 피해를 입히고 있습니다. 이러한 공격의 배후에는 고도로 조직화된 랜섬웨어 그룹들이 있으며, 이들은 Ransomware-as-a-Service (RaaS) 모델을 통해 공격의 효율성과 확산 속도를 극대화하고 있습니다.

랜섬웨어 그룹의 활동에서 다크웹(Darkweb)은 필수적인 기반 시설 역할을 수행합니다. 익명성이 보장되는 다크웹은 공격자들이 은밀하게 소통하고, 공격을 모의하며, 탈취한 데이터를 유출 및 판매하고, 피해 기업과 직접 협상을 진행하는 주요 채널로 활용됩니다. 다크웹의 존재는 랜섬웨어 공격의 계획, 실행, 수익화 전 과정에 깊숙이 관여하며, 위협의 추적 및 대응을 더욱 어렵게 만듭니다. 따라서 랜섬웨어 공격의 전 과정에 걸친 다크웹 활용 패턴을 심층적으로 분석하는 것은 증가하는 랜섬웨어 위협에 효과적으로 대응하기 위한 필수적인 작업입니다.

1.2. 연구 목적: 랜섬웨어 그룹의 다크웹 활용 패턴 분석 및 대응 방안 모색

본 보고서는 랜섬웨어 그룹의 공격 생명주기 전반, 특히 공격 예고부터 협상 단계에 이르기까지 다크웹이 어떻게 활용되는지를 분석하는 것을 목적으로 합니다. 주요 랜섬웨어 그룹의 활동 사례와 다크웹 플랫폼 운영 방식을 조사하고, 공격 단계별 특징적인 활동 패턴과 협상 전술을 파악하여, 기업 및 기관이 랜섬웨어 공격에 대한 이해도를 높이고 효과적인 예방 및 대응 전략을 수립하는 데 기여하고자 합니다.

1.3. 연구 범위 및 방법론: 주요 그룹 활동, 공격 생명주기, 다크웹 플랫폼, 실제 사례 분석 기반

본 보고서는 2023년부터 2025년 현재까지 활동이 두드러진 주요 랜섬웨어 그룹(LockBit, PLAY, RansomHub, Akira 등)의 다크웹 활동 및 공격 패턴을 분석 대상으로 합니다. 랜섬웨어 공격의 일반적인 생명주기(초기 침투, 내부 정찰, 권한 상승, 데이터 탈취, 암호화, 공격 공개, 협상)에 따라 각 단계에서 다크웹이 어떻게 활용되는지를 설명합니다. 다크웹 유출 사이트(Dedicated Leak Site, DLS), 포럼, 텔레그램 등 공격자들이 활용하는 구체적인 플랫폼 특징과 피해자와의 협상 방법론에 대해 상세히 다룹니다. 보고서는 공개된 보안 연구 보고서, 사고 분석 자료, 관련 뉴스 기사 등을 종합적으로 검토하고 분석하여 작성되었습니다.

1.4. 보고서 구조 소개

본 보고서는 다음과 같은 구조로 구성됩니다. 서론에 이어 랜섬웨어 및 다크웹에 대한 기본적인 개요를 설명합니다. 다음으로 주요 랜섬웨어 그룹들의 프로필과 특징을 소개합니다. 핵심 내용인 랜섬웨어 공격 생명주기와 각 단계별 다크웹 활용 패턴을 상세히 분석하며, 특히 공격 예고 및 협상 단계에 초점을 맞춥니다. 실제 주요 공격 사례 분석을 통해 이론적인 분석을 뒷받침하고 실질적인 시사점을 도출합니다. 마지막으로 랜섬웨어 위협에 대한 효과적인 대응 및 예방 전략을 제시하며 결론을 맺습니다.

2. 랜섬웨어 및 다크웹 개요

2.1. 랜섬웨어의 정의 및 진화 과정

랜섬웨어(Ransomware)는 사용자나 조직의 데이터 또는 시스템 접근을 암호화하거나 제한한 후, 이를 복구하거나 해제하는 대가로 금전을 요구하는 악성 소프트웨어입니다. 초기 랜섬웨어는 단순히 시스템 접근을 막거나 파일을 암호화하는 형태였습니다.

그러나 2019년 이후, 랜섬웨어는 이중 갈취(Double Extortion) 전략을 도입하며 급격히 진화했습니다. 이는 데이터를 암호화하는 동시에 기업의 민감 정보를 탈취하여, 몸값 지불 거부 시 데이터를 공개하겠다고 협박하는 방식입니다. 나아가 최근에는 삼중 갈취(Triple Extortion) 형태로 발전하여, 데이터 유출/공개 위협 외에 피해 기업의 웹사이트에 대한 DDoS 공격, 고객사 등 제3자에 대한 직접적인 협박 등을 추가적인 압박 수단으로 사용합니다. 이러한 진화는 피해 기업에게 시스템 복구뿐만 아니라 평판 손상, 법적 문제 등 더 큰 피해를 초래하며 몸값 지불 압력을 크게 높이고 있습니다.

2.2. 랜섬웨어 유형 분류

랜섬웨어는 공격 방식 및 목표에 따라 다양하게 분류될 수 있습니다. 현대 랜섬웨어 공격의 대부분은 여러 유형의 특징을 복합적으로 보입니다.

  • 암호화형 랜섬웨어 (Encryptors): 파일을 암호화하여 접근을 불가능하게 만듭니다. LockBit, PLAY, Akira 등 대부분의 현대적 랜섬웨어 그룹이 이 방식을 사용합니다.
  • 데이터 유출형 랜섬웨어 (Exfiltrators): 암호화와 더불어 데이터를 탈취하여 공개를 협박합니다. 이는 이중 갈취의 핵심 요소이며, 오늘날 대부분의 주요 그룹이 사용합니다. BianLian 그룹은 암호화 없이 데이터 유출만으로 협박하는 전략을 사용하기도 했습니다.
  • 로커형 랜섬웨어 (Lockers): 파일 암호화 대신 시스템 접근 자체를 잠가버립니다. (최근에는 흔하지 않음)
  • 디스크 마스터 부트 레코드(MBR) 변조형: 컴퓨터 부팅을 방해하여 시스템 사용을 불가능하게 만듭니다. (최근에는 드물게 사용)
  • 스크린락커 (Screen Lockers): 사용자 인터페이스를 잠가 시스템 사용을 방해합니다. (주로 모바일 기기에서 발견)

2.3. Ransomware-as-a-Service (RaaS) 모델의 이해

Ransomware-as-a-Service (RaaS)는 랜섬웨어 공격 도구와 인프라를 구독형 서비스 형태로 제공하는 비즈니스 모델입니다. RaaS 운영자는 랜섬웨어 악성코드 개발, 다크웹 인프라(DLS, 협상 채널, 제휴사 관리 패널) 구축 및 유지, 기술 지원 등을 담당합니다. 공격 실행에 참여하는 제휴사(Affiliate)는 RaaS 운영자로부터 제공받은 툴을 이용하여 공격 대상을 물색, 침투, 데이터 탈취 및 암호화를 수행합니다. 공격 성공 시 획득한 몸값은 RaaS 운영자와 제휴사가 일정 비율로 분배합니다 (예: 제휴사 90%, 운영자 10% – RansomHub 사례).

이 모델은 기술적 전문성이 낮은 공격자들도 랜섬웨어 공격에 쉽게 참여할 수 있도록 하여 랜섬웨어 위협의 확산 및 대중화에 크게 기여했습니다. LockBit, RansomHub, Akira, Conti, BlackBasta 등 대부분의 주요 랜섬웨어 그룹이 RaaS 형태로 운영됩니다. 신규 RaaS인 VanHelsing은 비트코인 보증금만 내면 공격 도구와 관리 패널을 제공하는 등 진입 장벽을 더욱 낮추고 있습니다.

2.4. 다크웹(Darkweb)의 특징 및 접근 방식

다크웹(Darkweb)은 일반적인 검색 엔진으로는 접근할 수 없으며, 특정 소프트웨어(주로 Tor 브라우저), 설정, 또는 승인이 있어야만 접근 가능한 인터넷의 일부입니다. 다크웹의 가장 큰 특징은 익명성입니다. 주로 Tor(The Onion Router) 네트워크를 통해 접근하며, 통신이 여러 릴레이 서버를 거치면서 암호화되어 발신자와 수신자의 신원 및 위치 추적이 매우 어렵습니다. 다크웹 주소는 흔히 .onion 확장자를 사용합니다.

(주의: 다크웹 접근 방법에 대한 설명은 랜섬웨어 그룹의 활동을 이해하기 위한 정보이며, 실제 다크웹 사이트 접근을 권장하는 것이 아님을 명확히 합니다.)

2.5. 랜섬웨어 활동에서 다크웹의 핵심적인 역할

다크웹은 랜섬웨어 그룹의 운영 및 공격 생명주기 전반에 걸쳐 다음과 같은 핵심적인 역할을 수행합니다.

  • 익명성 기반 커뮤니케이션 및 협업: RaaS 운영자, 개발자, 제휴사 간의 은밀한 소통 및 정보 교환 채널을 제공합니다.
  • 공격 도구 및 정보 거래: 랜섬웨어 빌더, 익스플로잇 코드, 탈취된 계정 정보, 침해된 네트워크 접근 권한(Initial Access) 등이 거래되는 마켓플레이스 역할을 합니다 (예: RAMP 포럼).
  • 탈취 데이터 유출 및 공개: 몸값 지불을 압박하기 위해 탈취한 데이터를 게시하는 다크웹 유출 사이트(Dedicated Leak Site, DLS) 운영의 핵심 기반이 됩니다.
  • 피해자와의 협상 채널: 피해 기업과의 비공개 협상을 위한 전용 포털 또는 채팅 시스템을 호스팅합니다.
  • 그룹 홍보 및 파트너 모집: 다크웹 포럼이나 텔레그램 채널 등을 통해 자신들의 공격 성공 사례를 홍보하고 새로운 제휴사를 모집합니다.

이처럼 다크웹은 랜섬웨어 그룹에게 활동의 자유와 익명성을 제공하며, 공격 수익화를 위한 필수적인 인프라 역할을 수행합니다.

3. 주요 랜섬웨어 그룹 프로필

다양한 랜섬웨어 그룹들이 활동하고 있지만, 본 보고서는 2023-2025년 기간 동안 활동이 두드러진 주요 그룹들의 프로필을 간략히 소개합니다.

3.1. LockBit: 활동 동향, 주요 특징, 공격 방식

LockBit은 2023년 가장 활발했던 RaaS 그룹 중 하나이며, 2024년 국제 공조 수사(‘크로노스 작전’)로 타격을 입었으나 LockBit 4.0 출시와 함께 재건 움직임을 보입니다.

  • 활동 동향: 다양한 산업군을 공격하며, 미국 내 1,700건 이상 공격, 9,100만 달러 이상 몸값 수취 기록이 보고되었습니다. Cronos 작전 이후 활동량이 줄었으나 여전히 위협적입니다.
  • 주요 특징: 정교한 RaaS 모델과 자체적인 다크웹 인프라(DLS, 제휴사/관리자 패널, 협상 UI)를 갖추고 있습니다. 모네로(Monero) 지불 시 할인 제공 등 다양한 협상 전술을 사용합니다.
  • 공격 방식: 피싱, RDP 탈취, 소프트웨어/시스템 취약점(Veeam, Citrix, VMware 등) 악용, SocGholish 악성코드 등을 통해 침투합니다. PowerShell Empire, Cobalt Strike 등 상용 툴과 자체 스크립트로 내부망을 장악하고 EDR, 백업, 로그를 무력화합니다. 데이터 암호화 및 유출 후 다크웹 DLS 게시 및 협상 압박을 진행합니다.

3.2. PLAY: 활동 동향, 주요 특징, 공격 방식

PLAY는 2022년 중반 등장하여 주로 라틴 아메리카, 북미, 유럽의 공공 기관, 금융, 의료 등 중요 부문을 공격했습니다.

  • 활동 동향: 연간 수백 개 조직을 공격하며, 최근에는 활동이 줄었지만 ESXi 타겟 변종을 출시하는 등 공격 범위를 넓히고 있습니다.
  • 주요 특징: 랜섬노트가 비교적 간단하며, 토르 블로그 형태의 DLS에 데이터 유출 정보를 게시합니다. 협상 과정에 대한 상세 정보는 제한적입니다.
  • 공격 방식: VPN, 유효 계정 탈취, ProxyNotShell 등 Microsoft Exchange 취약점 악용을 주요 초기 침투 기법으로 사용합니다. GRIXBA와 같은 맞춤 제작 정찰 도구와 SYSTEMBC 백도어를 사용합니다. Mimikatz, PsExec 등을 이용한 권한 상승 및 측면 이동, 백신/보안 툴 무력화(GMER, IOBit 등)도 확인됩니다. 데이터를 .RAR로 압축, 분할 유출합니다. 파일 암호화 후 .play 확장자를 붙입니다.

3.3. RansomHub: 활동 동향, 주요 특징, 공격 방식

RansomHub는 2024년 초 등장하여 빠르게 부상한 RaaS 그룹입니다.

  • 활동 동향: 의료, 제조 등 중요 인프라 부문을 공격하며, 2024년 3분기에 가장 활발한 활동을 보였습니다. 러시아 해킹 포럼 RAMP를 통해 제휴사를 모집합니다.
  • 주요 특징: 이중/삼중 갈취 전략을 사용하며, 몸값 지불 후 복호화 도구를 제공하지 않는 제휴사를 제재한다고 주장하며 ‘신뢰성’을 강조하는 비즈니스 모델을 내세웁니다. 협상 불발 시 협상 대화 내용을 공개하는 강경 전술을 사용하기도 합니다.
  • 공격 방식: 피싱, 패스워드 스프레이, 초기 접근 브로커 구매, 취약점 악용 등을 통해 침투합니다. EDRKillShifter, Safe Mode Encryption 등 방어 회피 기술을 사용합니다. Mimikatz, PsExec, NetScan, AngryIPScanner 등을 이용한 네트워크 장악 및 정찰, Rclone, WinSCP, SSH 등을 이용한 데이터 유출이 확인됩니다. Curve25519, AES, ChaCha20 등 알고리즘으로 암호화하고 섀도 복사본을 삭제합니다.

3.4. Akira: 활동 동향, 주요 특징, 공격 방식

Akira는 2023년 3월부터 활동을 본격화한 RaaS 그룹입니다.

  • 활동 동향: 북미, 유럽, 호주 등 다수 국가 및 의료, 제조, 교육, 정부기관 등 광범위한 산업을 공격했습니다. 1년간 250개 이상 조직 공격, 4,200만 달러 이상 몸값 수취 기록이 보고되었습니다.
  • 주요 특징: 전용 다크웹 협상 포털과 고유 코드를 사용하여 협상합니다. 데이터 유출을 통한 이중 협박과 평판 훼손을 주요 압박 수단으로 삼습니다.
  • 공격 방식: 취약한 VPN, RDP, Cisco ASA 취약점(CVE-2020-3259, CVE-2023-20269 등), 피싱, 브루트포스 등을 통해 초기 접근을 획득합니다. Get-ADUser, net group 등으로 정보 수집, Mimikatz, LaZagne 등으로 계정 탈취 후 RDP, PsExec 등으로 측면 이동합니다. BYOVD, PowerShell 스크립트로 보안 장비를 무력화하고 섀도 복사본을 삭제합니다. WinSCP, FileZilla, rclone, ngrok 등 합법 도구를 이용해 데이터를 압축, 분할 유출합니다. ChaCha20+RSA 조합으로 암호화하고 .akira 확장자를 붙입니다.

3.5. 기타 주목할 만한 그룹 활동 요약

  • Medusa: 다크웹 DLS, 클리어넷 사이트, 텔레그램, TOX Chat 등 다양한 채널을 혼합 활용합니다. 언론 제보/사회관계망 홍보를 병행합니다.
  • Clop: MOVEit, GoAnywhere 등 파일 전송 솔루션의 제로데이/알려진 취약점을 집중 악용하여 대규모 데이터 탈취를 시도하며, 협상 실패 시 전체 데이터 공개를 예고합니다.
  • Hunters International: Hive 그룹과 연관성이 보고되었으며, 정밀 타겟팅을 통해 가치 높은 데이터를 보유한 조직을 선별 공격합니다.
  • BianLian: 암호화 없이 데이터 유출만으로 협박하는 전략을 사용합니다.
  • Underground: 다크웹 DLS 및 텔레그램 채널을 운영하며 피해 데이터를 공개/판매합니다. 랜섬노트에 상세 안내를 포함하여 직접 접촉을 유도합니다. 3DES+RSA 기반 암호화를 사용합니다.
  • LeakedData: 다크웹 외에 일반 인터넷(클리어넷) 상에서도 피해자 명단을 공개하는 새로운 방식을 사용합니다. 협상 기간에는 기업명을 숨겼다가 결렬 후 공개하는 수법을 씁니다.
  • VanHelsing: 2025년 3월 출시된 신규 RaaS로, 저렴한 보증금으로 공격 도구와 관리 패널을 제공하며 CIS 국가는 공격 대상에서 제외합니다.

4. 랜섬웨어 공격 생명주기 및 다크웹 활용 패턴

랜섬웨어 공격은 여러 단계를 거치며, 다크웹은 이 과정 전반에 걸쳐 다양한 방식으로 활용됩니다.

4.1. 공격 예고 및 초기 감염 단계

공격 예고는 보통 암호화 및 데이터 탈취 이후에 본격화되지만, 공격자는 초기 단계부터 다크웹을 활용하여 정보를 수집하고 침투 경로를 확보합니다.

4.1.1. 피해자 물색 및 선정 과정

공격자는 수익 극대화를 위해 체계적인 피해자 물색 및 선정 과정을 거칩니다. 이 과정에서 다크웹 및 오픈 소스 정보(OSINT)가 활용됩니다.

  • 광범위한 스캐닝 및 취약점 탐색: 인터넷에 노출된 서비스(RDP, VPN, 웹 서버 등)를 대상으로 광범위한 스캐닝을 수행하여 알려진 취약점(Microsoft Exchange ProxyNotShell, Citrix ADC, VMware, Veeam, Cisco ASA 취약점 등)을 가진 시스템을 탐색합니다. CL0P 그룹은 특히 파일 전송 솔루션의 취약점을 집중 악용했습니다.
  • 오픈 소스 정보 및 다크웹 활용: 기업 규모, 산업, 재정 상태 등 공개 정보와 다크웹 포럼(RAMP 등)을 통해 공격 대상 정보를 수집합니다. RansomHub는 RAMP에서 활동을 홍보하고 제휴사를 모집했으며, Anubis 그룹은 기업 네트워크 접근 권한을 가진 파트너를 모집했습니다.
  • 산업 및 지역 타겟팅: 특정 산업군(제조업, 의료, 교육, 정부 기관 등)이나 지역을 집중 공격합니다. LockBit, RansomHub, PLAY, Akira는 다양한 산업군을 공격했고, Akira는 북미, 유럽, 호주를 주로 공격했습니다. VanHelsing은 특정 국가(CIS 국가)를 공격 대상에서 제외합니다. Hunters International과 Akira는 가치 높은 데이터를 보유한 조직을 정밀 타겟팅합니다.
  • 접근 권한 매수: 다크웹에서 Initial Access Broker(IAB)를 통해 이미 침해된 네트워크 접근 권한을 구매하여 초기 침입 단계를 단축하기도 합니다. RansomHub의 일부 제휴사가 이 방식을 사용합니다.

4.1.2. 초기 침투 기법

피해자 선정 후 공격자는 다양한 초기 침투 기법을 사용합니다.

  • 소프트웨어/시스템 취약점 악용: RDP 약한 패스워드/취약점(LockBit), VPN 및 네트워크 장비 취약점(Akira), 메일 서버/그룹웨어 취약점(PLAY의 ProxyNotShell), 제로데이 취약점(CL0P의 MOVEit, GoAnywhere) 등이 있습니다.
  • 피싱 (Phishing): 악성 이메일 첨부 파일이나 링크를 통해 악성코드를 유포하거나 사용자 인증 정보를 탈취합니다. LockBit, PLAY 등이 사용합니다.
  • 탈취된 계정 정보 활용: 이전에 유출된 계정 정보, 브루트포스 공격, Password Spraying(RansomHub) 등으로 획득한 유효 계정 정보를 사용합니다. LockBit은 오래된 인증 정보를 활용하기도 했습니다.
  • Supply Chain 공격: 소프트웨어 공급망 공격을 통해 다수의 타겟에게 동시에 악성코드를 배포합니다.
  • SocGholish 악성코드: LockBit은 SocGholish를 통해 시스템을 감염시키고 추가 악성코드를 배포했습니다.

4.1.3. 내부 정찰 및 권한 상승

초기 침투 성공 후, 공격자는 은밀하게 네트워크 내부 활동을 수행합니다.

  • 내부 정찰 (Internal Reconnaissance): 네트워크 구조 파악, 중요 데이터 서버, 백업 시스템, 도메인 컨트롤러 등 가치 높은 자산 식별이 목표입니다. net group, Get-ADUser 등 정상 명령어 또는 맞춤 도구(PLAY의 GRIXBA), NetScan, AngryIPScanner(RansomHub) 등을 사용합니다.
  • 권한 상승 (Privilege Escalation) 및 측면 이동 (Lateral Movement): Mimikatz, LaZagne 등으로 자격 증명을 탈취하거나 OS 취약점을 악용하여 관리자 권한을 획득합니다. RDP, PsExec, SMB/Windows Admin Share, ConnectWise, AnyDesk 등을 통해 다른 시스템으로 이동합니다. LockBit은 PowerShell Empire, Cobalt Strike를 사용했습니다.

4.1.4. 방어 체계 무력화

탐지 회피 및 복구 방해를 위해 보안 및 복구 시스템을 무력화합니다.

  • 백신, EDR 에이전트 삭제/비활성화 (LockBit, PLAY), 백업 서비스, 로그 시스템 무력화/삭제 (LockBit), 섀도 복사본 삭제(RansomHub, Akira), 보안 툴 무력화(PLAY의 GMER, IOBit 등). RansomHub는 EDRKillShifter, Safe Mode Encryption을 사용합니다.

4.1.5. 데이터 수집 및 유출

금전적 가치가 높은 민감 데이터를 수집하고 외부로 유출합니다.

  • 재무, 개인 식별 정보(PII), 소스코드, 계약서 등 선별 수집.
  • 데이터 압축 및 유출 (Data Exfiltration): 수집 데이터를 .RAR 등으로 압축(PLAY, Akira)하고 분할한 뒤 외부로 유출합니다. WinSCP, FileZilla, Rclone, MegaSync, PuTTY, ngrok, SSH 등 정상적인 파일 전송 도구나 클라우드 동기화 도구를 악용하여 탐지를 회피합니다 (ALPHV, Akira, RansomHub). BianLian 그룹은 암호화 없이 데이터 유출만으로 협박합니다.

4.1.6. 공격 공개 및 초기 협박 메시지 전달 방식

데이터 탈취와 시스템 장악 후 공격을 공개하고 몸값 지불을 강요합니다. 이때 다크웹이 주요 채널로 활용됩니다.

  • 랜섬노트 배포: 시스템 암호화 완료 시 피해 시스템에 랜섬노트를 남겨 감염 사실, 몸값 요구(또는 협상 방법), 다크웹 협상 채널 URL 및 접속 정보를 즉시 알립니다 (Underground, VanHelsing 등 다수 그룹).
  • 다크웹 리크 사이트(Leak Site) 게시: 거의 모든 주요 그룹(LockBit, ALPHV, CL0P, Akira, RansomHub, Medusa 등)은 자체 DLS에 피해 기업 이름을 게시하고 몸값 미지불 시 데이터 공개를 예고합니다.
    • 데이터 샘플 공개: 협상 초기 압박 수단으로 탈취 데이터 일부 샘플을 DLS에 공개합니다 (LockBit, ALPHV, Underground, Akira).
    • 카운트다운: DLS에 타이머를 설정하여 데이터 공개까지 남은 시간을 표시하며 심리적 압박을 가합니다 (CL0P, Akira).
  • 포럼/텔레그램 채널/SNS 활용: 다크웹 포럼, 텔레그램 채널(Medusa, Underground), X(구 트위터 – Medusa) 등을 통해 공격 성공 홍보, 피해자 명단/데이터 게시, 데이터 판매 정보 공유 등 다각적으로 활용합니다. FunkSec은 다크웹과 텔레그램에서 대량 데이터 게시 활동을 합니다.
  • 클리어넷 공개: LeakedData는 클리어넷 상에서도 피해자 명단을 공개합니다.
  • 제3자 대상 협박: 피해 기업의 고객사, 파트너 등에 직접 연락하여 피해 사실을 알리거나 데이터를 유출하겠다고 협박하기도 합니다 (삼중 갈취). Medusa는 언론/사회관계망 홍보를 병행합니다.

4.2. 협상 단계

공격자와 피해자(주로 외부 전문가 대행) 간의 비공개 소통을 통해 몸값 지불을 강요하는 단계입니다. 다크웹 기반 채널이 주로 사용됩니다.

4.2.1. 협상 채널 접근 방식

랜섬웨어 그룹이 피해자에게 협상을 위해 접근하도록 안내하는 채널은 다양하며, 대부분 다크웹 기반의 익명 채널입니다.

  • 랜섬노트 내 안내: 가장 기본적인 초기 접점으로, 다크웹 기반 협상 채널 URL 및 접속 정보(ID/PW)를 포함합니다 (Underground, VanHelsing 등 다수 그룹).
  • 다크웹 협상 포털 / 채팅 시스템: LockBit, Akira, Underground, INC Ransom 등 주요 그룹은 피해자 전용의 다크웹 기반 협상 포털을 운영합니다. 피해자는 랜섬노트 정보로 접속하여 익명 소통합니다. LockBit은 자체 개발한 메시징 UI를 제공하며, LockBit 패널 유출로 구체적인 대화 내용이 확인되었습니다. Gunra 그룹 포털은 WhatsApp 유사 디자인으로 접근성을 높였습니다. Akira 역시 고유 코드를 통해 접속하는 전용 협상 포털과 채팅 기능을 사용합니다.
  • 익명 이메일 주소: 일부 그룹(PLAY)은 랜섬노트에 간단한 익명 이메일 주소만 남겨 초기 연락을 유도합니다.
  • 암호화된 메시징 서비스: Medusa 그룹은 TOX Chat 사용을 유도하며, BlackBasta 그룹이 Matrix 채팅을 사용했다는 언급도 있습니다.
  • 텔레그램 채널: 일부 그룹(Medusa, Underground, Doubleface)은 공격 홍보, 피해자 명단 게시 외에 협상 관련 문의 유도 채널로 활용합니다.
  • 클리어넷 공개: LeakedData는 클리어넷 상에서도 피해자 명단을 공개하며 협상을 압박합니다.

다음은 주요 랜섬웨어 그룹별 협상 채널 특징 비교입니다.

특징LockBitPLAYRansomHubAkiraMedusaUndergroundVanHelsingLeakedDataClop
주요 협상 채널자체 DLS 포털 (고유 UI), 익명 채팅토르 블로그 (데이터 게시), 익명 이메일DLS (데이터 게시), 익명 채팅 (추정)전용 DLS 포털 (고유 코드/채팅 기능)DLS, 텔레그램, 클리어넷, TOX ChatDLS, 텔레그램 (상세 안내)다크웹 채팅 (추정)DLS, 클리어넷 (피해자 명단)DLS

4.2.2. 초기 요구 조건 제시

협상 진입 시 공격자는 초기 요구 조건을 제시합니다.

  • 몸값 규모: 처음에는 피해 기업 규모와 탈취 데이터 가치를 고려한 높은 초기 요구액을 제시합니다. 수천 달러에서 수백만 달러까지 다양하며, LockBit 패널 유출 사례에서 최소 4천 달러, 대형 피해 시 15만 달러 이상이 확인되었습니다. Akira는 연간 4천만 달러 이상 수익을 올리는 것으로 보아 개별 요구액이 상당할 것으로 추정됩니다. RansomHub는 구체적 금액 대신 피해자의 초기 연락을 기다리기도 합니다.
  • 지불 기한: 몸값 지불에 대한 명확한 지불 기한(마감 시간)을 설정하고 DLS에 카운트다운 타이머를 게시합니다. Gunra 그룹은 협상 시작을 위한 5일 기한을 부여했습니다.
  • 지불 거부 시 불이익: 가장 강력한 불이익은 탈취한 데이터의 공개 또는 판매 위협입니다. 마감 시간 내 몸값 미지불 시 데이터 전부 공개를 명시적으로 협박합니다. 일부 그룹은 시스템 파괴나 추가 사이버 공격을 예고하기도 합니다 (VanHelsing).

4.2.3. 주요 협상 전략 및 전술

공격자는 협상 주도권 확보 및 몸값 극대화를 위해 다양한 전략을 사용합니다.

  • 심리 압박:
    • 카운트다운: DLS에 남은 시간 표시.
    • 데이터 샘플 공개: 협상 초기/중간에 탈취 데이터 일부 샘플을 DLS에 공개하여 압박 수위를 높입니다.
    • 민감 정보 유출 위협: 치명적 정보(고객 정보, 재무 보고서 등) 언급하며 위협.
    • 관계자/고객 직접 연락 위협: 임직원/고객사에게 직접 연락하여 피해 사실 폭로 위협 (삼중 갈취).
  • 몸값 조정 및 할인:
    • 단계적 감액 제안: 협상 과정에서 피해자의 재정 상황, 협상가의 역량, 시간 경과에 따라 몸값 감액을 제안합니다.
    • 빠른 지불 할인: 마감 시간 전 신속 지불 시 일부 할인 (LockBit의 Monero 지불 시 최대 20% 할인).
    • 지불 조건 유연성: 피해자 지불 능력 부족 시 분할 지불 제안 (일부).
  • 거래 조건 제시:
    • 데이터 완전 삭제 약속: 몸값 지불 시 탈취 데이터 완전 삭제 약속 (실제 지켜지지 않는 경우 많음).
    • 유출 사실 비공개 약속: 공격 사실/몸값 지불 사실 외부에 비공개 약속.
    • 복호화 도구 전달 및 기술 지원: 몸값 수령 후 복호화 도구 사용법 안내 및 기술 지원 제공 (LockBit 패널 유출에서 기술 지원 안내 메시지 확인). FileZilla/WinSCP 같은 정상 IT 운영 도구를 활용해 복호화기 전달 사례도 있습니다 (LockBit).
  • 신뢰성 강조: 자신들과의 협상만이 유일한 해결책이며, 타사 복호화기는 작동하지 않거나 데이터 영구 손상 가능성 경고 (VanHelsing). RansomHub는 몸값 지불 후 복호화 도구 미제공 제휴사를 제재하여 ‘신뢰성’을 강조하기도 합니다.

4.2.4. 압박 수단 다양화

데이터 유출/공개 협박 외 추가 압박 수단을 동원합니다.

  • DDoS 공격: 피해 기업 웹사이트/핵심 서비스에 DDoS 공격 감행 (삼중 갈취의 주요 수단).
  • 언론 제보 / 사회관계망 홍보: 피해 사실을 언론에 제보하거나 DLS, 텔레그램, X(구 트위터) 등을 통해 공개 홍보하여 평판 타격 (Medusa, Doubleface, FunkSec).
  • 고객사 등 제3자 연락: 탈취한 고객사/파트너 정보로 직접 연락하여 피해 사실 알림/데이터 유출 협박 (삼중 갈취).
  • 협상 대화 내용 공개: 협상 결렬 시 피해자와의 대화 내용 공개하여 추가 압박 및 경고 (RansomHub, LockBit 일부 사례).

4.2.5. 지불 방식 및 과정

몸값 지불은 주로 추적 어려운 암호화폐를 통해 이루어집니다.

  • 암호화폐 종류: 가장 흔하게 요구되는 것은 비트코인(Bitcoin, BTC) (VanHelsing). LockBit 그룹은 모네로(Monero, XMR) 지불을 선호하며, 익명성이 높아 추적 사실상 불가능하여 Monero 지불 시 할인을 제공합니다.
  • 지갑 주소 전달: 협상 과정에서 공격자는 피해자에게 몸값을 전송할 암호화폐 지갑 주소를 전달합니다.
  • 거래 확인 절차: 피해자가 암호화폐 전송 시 공격자는 블록체인 상에서 거래를 확인합니다. 확인 완료 시 복호화 도구/방법 제공 또는 데이터 삭제(약속일 뿐)합니다. LockBit은 몸값 지불 확인 후 관리자가 제휴사에게 수익 분배합니다 (패널 유출 확인).

4.2.6. 협상 결렬 시 추가 조치

피해자가 몸값 지불을 거부하거나 협상이 결렬될 경우 공격자는 추가 조치를 취합니다.

  • 탈취 데이터 전체 공개: DLS에 탈취 데이터 전부 공개하여 피해 극대화. Clop 그룹은 2025년 피해자 전체 데이터 전면 공개를 예고했습니다.
  • 탈취 데이터 판매: 다크웹 포럼/마켓에서 탈취 데이터 제3자에게 판매 (Underground 그룹 활동). 국내 자동차 부품 기업 핵심 자료가 다크웹에서 거래된 사례도 있습니다.
  • 협상 대화 내용 공개: 복수 차원에서 피해자 협상 기록 공개하여 추가 압박/경고 (RansomHub, LockBit 일부 사례).
  • 시스템 파괴: 복구 불가능하게 만들거나 추가 파괴 행위 (VanHelsing은 랜섬노트에 데이터 삭제 위협 포함).

5. 실제 공격 사례 분석

주요 랜섬웨어 그룹의 실제 공격 사례 분석을 통해 다크웹 활동 패턴과 협상 과정을 살펴봅니다.

5.1. LockBit 주요 공격 사례 분석

LockBit은 가장 활발하고 정교한 공격을 수행하는 그룹 중 하나입니다.

  • Royal Mail (2023): 영국 우정 공사 감염, 국제 우편 서비스 중단 초래. 암호화 및 데이터 유출 위협, 다크웹 포털 통한 협상 시도 진행되었습니다.
  • Hospital for Sick Children (2022): 어린이 병원 감염. 비판 여론 거세지자 이례적으로 사과문 발표, 해독키 무료 제공한 특이 사례입니다.
  • Bank of America (2023): 5만 7천여 건 개인정보(PII) 유출 사실 2024년 공개.
  • 공격 예고부터 협상까지의 타임라인:
    1. 초기 침투: 피싱, RDP 탈취, 취약점 악용 등을 통해 내부망 접근.
    2. 내부 정찰 및 장악: Cobalt Strike 등 도구 활용하여 네트워크 구조 파악, 권한 상승, 측면 이동.
    3. 방어 체계 무력화: EDR 삭제, 백업 무력화, 로그 삭제 등 복구 및 탐지 방해.
    4. 데이터 암호화 및 유출: 시스템 파일 암호화 및 민감 데이터 수집 후 외부 유출.
    5. 공격 공개 및 초기 협박:
      • 피해 시스템에 랜섬노트 배포 (다크웹 협상 채널 정보 포함).
      • 자체 다크웹 DLS에 피해 기업명 게시.
      • DLS에 카운트다운 설정.
      • 초기 압박 수단으로 탈취 데이터 샘플 일부 공개.
    6. 협상:
      • 다크웹 협상 포털(자체 UI) 통한 피해자/대리인과 소통.
      • 높은 초기 몸값 요구, 마감 시간 제시.
      • 데이터 전체 공개, DDoS 등 위협 통한 심리 압박.
      • 피해자 대응에 따라 단계적 몸값 감액 제안.
      • Monero 지불 시 할인 등 조건 제시.
      • 몸값 지불 시 데이터 삭제 및 복호화 도구 제공 약속 (FileZilla/WinSCP 이용 전달 사례).
    7. 결과:
      • 몸값 지불 시 복호화 및 데이터 삭제 약속 (완전 삭제 여부는 불확실).
      • 협상 결렬 시 DLS에 탈취 데이터 전체 공개 또는 판매.
      • 협상 대화 내용 일부 공개하여 추가 압박 및 경고.
  • 사용된 특정 전술 및 다크웹 활용 방식: LockBit은 자체 개발한 정교한 DLS 및 제휴사/관리자 패널을 운영하며, 협상 전용 UI를 제공합니다. LockBit 패널 유출을 통해 구체적인 제휴사 관리, 수익 분배, 협상 대화 가이드라인 등이 드러났습니다. Monero 지불 시 할인, 정상 파일 전송 도구를 이용한 복호화기 전달 등이 특징입니다.

5.2. PLAY 주요 공격 사례 분석

PLAY는 ProxyNotShell 취약점 악용 등 특정 기술 활용 및 간결한 다크웹 활동이 두드러집니다.

  • 아르헨티나 코르도바 사법부: 주요 피해 사례 중 하나로, 공공 기관 시스템 마비를 초래했습니다.
  • 독일 H-호텔 체인: 호텔 시스템 마비 및 데이터 유출 피해를 입혔습니다.
  • 댈러스 카운티, 스위스 정부: 수십만/수백만 건의 개인/기밀 정보 유출 사례가 보고되었습니다.
  • 공격 예고부터 협상까지의 타임라인:
    1. 초기 침투: ProxyNotShell 등 메일 서버 취약점, VPN, 유효 계정 탈취.
    2. 내부 정찰: GRIXBA 등 맞춤 도구 및 정상 도구 사용.
    3. 권한 상승 및 이동: SYSTEMBC, PsExec, Mimikatz 등 활용.
    4. 방어 툴 무력화: GMER, IOBit 등 보안 툴 비활성화.
    5. 데이터 탈취: 민감 데이터 수집 후 .RAR로 압축 및 분할 유출.
    6. 암호화 및 초기 협박:
      • 파일 암호화 후 .play 확장자 추가.
      • 간단한 내용의 랜섬노트 배포 (주로 익명 이메일 주소 포함).
      • 토르 블로그 형태의 DLS에 피해 기업명 및 데이터 유출 정보 게시 (공격 예고).
    7. 협상:
      • 랜섬노트 내 이메일 또는 DLS를 통한 초기 연락 유도 (구체적인 전용 협상 포털 정보 제한적).
      • 토르 블로그 데이터 공개를 통한 압박.
    8. 결과:
      • 몸값 미지불 시 데이터를 온라인에 공개하고 공격 세부 정보 게시 (CSA 보고).
      • 협상 관련 공개된 상세 기록은 적음.
  • 사용된 특정 전술 및 다크웹 활용 방식: 토르 블로그 형태의 DLS 운영, 데이터 압축 및 분할 유출(주로 WinRAR 사용), 정상 도구 사용 등이 특징적입니다. LockBit에 비해 다크웹 운영 방식이 비교적 단순합니다.

5.3. RansomHub/Akira 등 기타 그룹 대표 사례 분석

제공된 자료 기반으로 RansomHub와 Akira 등 기타 그룹의 공격 및 다크웹 활동 특징을 요약합니다.

  • RansomHub:
    • 다크웹 활용: RAMP 포럼을 통한 제휴사 모집 및 활동 홍보가 특징적입니다. 다크웹 유출 사이트에 피해자 명단을 게시하며, 협상 대화 내용까지 공개하는 강경 전술을 사용합니다. 이중/삼중 갈취를 적극 활용합니다.
    • 협상 특징: 초기 몸값 제시 대신 피해자 연락을 기다리는 전략도 사용합니다. 몸값 지불 후 복호화 도구를 제공하지 않는 제휴사를 제재한다고 주장하며 ‘신뢰성’을 강조하는 비즈니스 모델을 내세웁니다.
  • Akira:
    • 다크웹 활용: 전용 다크웹 협상 포털과 고유 코드를 사용하는 것이 특징입니다. 데이터 유출(샘플/전체 공개)을 통한 이중 협박과 평판 훼손을 주요 압박 수단으로 삼습니다.
    • 공격 방식: RDP, VPN, Cisco ASA 등 취약점 악용이 빈번합니다. WinSCP, rclone 등 정상 도구를 이용한 데이터 유출이 확인됩니다.
  • Medusa:
    • 다크웹 활용: 다크웹 DLS, 클리어넷 사이트, 텔레그램, TOX Chat 등 다양한 온라인 채널을 혼합 활용하는 것이 특징입니다. 언론 제보/사회관계망 홍보를 병행하여 평판 공격에 적극적입니다.
  • Clop:
    • 공격 방식: MOVEit, GoAnywhere 등 파일 전송 솔루션의 제로데이/알려진 취약점을 집중 악용하여 대규모 데이터 탈취를 시도합니다.
    • 협상 특징: 대규모 데이터 탈취 후 협상 불발 시 전체 공개를 예고하며 압박합니다.
  • Underground:
    • 다크웹 활용: 다크웹 DLS 및 텔레그램 채널을 운영하며 피해 데이터 공개/판매합니다.
    • 협상 특징: 랜섬노트에 상세 안내를 포함하여 피해자가 직접 접촉하도록 유도하며, DLS와 텔레그램을 협상 채널로 활용합니다.
  • LeakedData:
    • 다크웹 활용: 다크웹 외 클리어넷 상에서도 피해자 명단을 공개하는 새로운 트렌드를 보입니다.
    • 협상 특징: 협상 기간 중 피해 기업명 숨김 -> 결렬 후 공개 수법을 사용하여 압박 수위를 조절합니다.

5.4. 사례 분석을 통해 도출된 공통점 및 차이점

주요 랜섬웨어 그룹의 다크웹 활동 및 공격 패턴에서 나타나는 공통점과 차이점은 다음과 같습니다.

공통점:

  • 거의 모든 주요 그룹이 다크웹 유출 사이트(DLS)를 운영하며, 데이터 유출 및 공개를 통한 이중 갈취를 기본적인 협상 압박 수단으로 사용합니다.
  • 공격 타임라인은 대체로 ‘침투 -> 내부 정찰/권한 상승 -> 데이터 탈취 -> 암호화 -> 랜섬노트 배포 -> 다크웹 게시/협상’의 단계를 따릅니다.
  • 데이터 탈취 시 Rclone, WinSCP, FileZilla 등 정상적인 IT 관리 도구를 악용하는 패턴이 보편적으로 나타납니다.
  • 협상 채널은 주로 다크웹 기반의 비공개 채팅 또는 포털을 활용하며, 익명성 확보에 주력합니다.
  • 협상 과정에서 심리적 압박(카운트다운, 샘플 공개) 및 몸값 조정/할인 전술이 흔하게 사용됩니다.
  • 협상 결렬 시 탈취 데이터 전체 공개 또는 판매가 핵심적인 추가 조치입니다.
  • 대부분 RaaS 모델 기반 운영을 통해 공격 효율성과 확산성을 높입니다.

차이점:

  • 초기 침투 기법: 그룹별로 선호하는 취약점/기법(LockBit의 RDP/취약점, PLAY의 ProxyNotShell, Akira의 VPN/Cisco, Clop의 MFT 취약점)에 차이가 있습니다.
  • 내부 활동 도구: 사용하는 정찰, 권한 상승, 측면 이동 도구에 차이가 있습니다 (LockBit의 Cobalt Strike/PowerShell Empire, PLAY의 GRIXBA/SYSTEMBC, RansomHub의 EDRKillShifter 등).
  • 다크웹 플랫폼 운영 방식: LockBit은 자체 개발한 정교한 협상 UI를 갖춘 패널을 운영하는 반면, PLAY는 비교적 간단한 토르 블로그를 사용하고, RansomHub는 RAMP 포럼을 통한 제휴사 모집이 두드러집니다. Medusa는 다양한 채널(다크웹, 클리어넷, 텔레그램, TOX Chat)을 혼합 활용합니다.
  • 압박 수단: 삼중 갈취(DDoS, 제3자 협박)를 적극 활용하는 그룹(RansomHub)이 있는 반면, 데이터 유출 자체에 집중하는 그룹도 있습니다. 일부 그룹은 협상 대화 내용 공개(RansomHub, LockBit), 언론 제보(Medusa), 클리어넷 공개(LeakedData) 등 독자적인 압박 수단을 사용합니다.
  • 협상 전략 세부 사항: LockBit의 Monero 할인, RansomHub의 ‘신뢰성’ 강조 등 그룹별 고유한 협상 전술이 존재합니다.

6. 대응 및 예방 전략

랜섬웨어 그룹의 고도화된 다크웹 활용 공격에 대응하기 위해서는 기술적, 조직/관리적, 그리고 사고 발생 시의 포괄적인 전략이 요구됩니다.

6.1. 기술적 예방 전략

  • 취약점 관리 및 패치: 운영체제, 애플리케이션, 네트워크 장비의 최신 보안 업데이트를 신속하게 적용합니다. 특히 RDP, VPN, 메일 서버, 파일 전송 솔루션 등 외부에 노출된 서비스의 취약점 관리가 중요합니다.
  • 강력한 인증 및 MFA 도입: 모든 시스템 및 서비스에 강력한 패스워드 정책을 적용하고, 중요 시스템 및 원격 접근(VPN, RDP)에 다중 인증(MFA)을 의무화하여 탈취된 계정 정보 활용 공격을 차단합니다.
  • 네트워크 분리 (Network Segmentation): 네트워크를 기능별, 중요도별로 분리하여 공격자가 초기 침투 후 내부망 전체로 확산(Lateral Movement)하는 것을 어렵게 만듭니다.
  • 엔드포인트 보안 강화: EDR(Endpoint Detection & Response), 차세대 백신(NGAV) 솔루션을 도입하여 악성코드 탐지 및 차단, 비정상 행위(보안 툴 무력화, 섀도 복사본 삭제 시도 등) 탐지 및 대응 능력을 강화합니다. EDR 에이전트 무력화 시도에 대응할 수 있는 보호 조치를 마련합니다.
  • 데이터 백업 및 복구 시스템 구축: 중요 데이터를 정기적으로 백업하고, 백업 데이터를 네트워크에서 분리된 안전한 공간(오프라인 또는 클라우드)에 보관하여 공격자가 백업까지 무력화하는 것에 대비합니다. 백업 데이터의 무결성을 정기적으로 확인하고, 실제 복구 훈련을 통해 비상 상황에 대비하는 것이 몸값 지불 회피를 위한 가장 중요한 전략입니다.
  • 로그 관리 및 모니터링: 시스템, 네트워크, 보안 솔루션 로그를 중앙 집중화하여 수집 및 분석하고, 비정상 행위(정상 도구의 비정상적 사용, 대량 파일 압축/유출 시도, 백업 서비스 중지 등)를 실시간으로 모니터링하여 공격 징후를 조기에 탐지합니다.

6.2. 조직/관리적 대응 전략

  • 보안 인식 교육: 임직원을 대상으로 최신 피싱 공격 기법, 사회 공학적 공격, 안전한 인터넷 사용 습관 등에 대한 정기적인 교육을 실시하여 인적 요소의 취약점을 줄입니다.
  • 접근 권한 최소화: 사용자 및 시스템의 접근 권한을 업무 수행에 필요한 최소한으로 제한하여 공격자가 권한 상승을 통해 중요 시스템에 접근하는 것을 어렵게 만듭니다. 관리자 계정 사용을 엄격히 관리합니다.
  • 비상 대응 계획 수립: 랜섬웨어 공격 발생 시 신속하고 체계적인 대응을 위한 비상 대응 계획(IR Plan)을 수립하고, 역할과 책임을 명확히 합니다. 정기적인 모의 훈련을 통해 계획의 실효성을 점검합니다.
  • 위협 인텔리전스 활용: 최신 랜섬웨어 공격 동향, 주요 그룹의 TTPs(전술, 기법, 절차), 사용 도구, 다크웹 활동 정보 등에 대한 위협 인텔리전스를 지속적으로 수집 및 분석하여 선제적인 방어 전략을 수립합니다.

6.3. 사고 발생 시 대응 방안

  • 초기 격리: 랜섬웨어 감염 시스템을 즉시 네트워크에서 격리하여 추가 확산을 차단합니다.
  • 피해 범위 파악: 감염 시스템, 암호화/탈취 데이터 범위, 비즈니스 영향 등을 신속하게 파악합니다.
  • 법 집행기관 신고: 관계 법 집행기관 및 규제 기관에 즉시 신고하고 협력합니다.
  • 외부 전문가 협력: 디지털 포렌식 전문가를 고용하여 침해 원인 및 범위 분석, 증거 수집을 의뢰합니다. 랜섬웨어 협상 전문가(협상 대행 업체), 법률 자문 전문가와 협력하여 대응 전략을 수립합니다.

6.4. 협상 시 고려사항 및 의사결정 프로세스

몸값 지불 여부는 매우 신중하게 결정해야 할 문제입니다. 많은 국가의 법 집행 기관 및 전문가들은 몸값 지불을 권장하지 않습니다.

  • 몸값 지불의 장단점:
    • 잠재적 장점: 암호화된 데이터 복구 가능성, 데이터 유출 방지 가능성, 비즈니스 운영 조기 정상화. (보장되지 않음)
    • 단점: 막대한 비용 발생, 범죄 조직에 자금 지원, 몸값 지불 후 약속 불이행 가능성(데이터 미복구, 데이터 공개), 제재 대상 단체에 지불 시 법적 처벌 위험, 미래 공격의 표적이 될 가능성 증가, 사이버 범죄 생태계 강화.
  • 법적/규제적 제약: 공격자가 제재 대상 단체(예: 북한 연계 그룹)인 경우, 몸값 지불 자체가 불법이 될 수 있으므로 법률 자문이 필수적입니다. GDPR 등 데이터 보호 규정 준수 문제, 유출 데이터 신고 의무 등도 고려해야 합니다.
  • 평판 고려: 데이터 유출 및 공개 시 기업의 평판에 심각한 타격이 발생하므로, 이를 방지하기 위한 노력이 필요합니다.
  • 의사결정 프로세스: 최고 경영진, 법무팀, 보안팀, 커뮤니케이션팀, 외부 전문가(법률, 협상, 포렌식)가 참여하는 의사결정 위원회를 구성하여 모든 요소를 종합적으로 고려한 후 몸값 지불 여부를 결정해야 합니다. 백업을 통한 복구 가능성이 없으며 데이터 유출 위험이 매우 높고 법적 제약이 없을 경우에 한해 최후의 수단으로 제한적으로 고려될 수 있습니다. 협상 자체는 경험이 풍부한 외부 전문가에게 일임하는 것이 유리합니다.

6.5. 지속적인 보안 강화 및 복원력 확보 방안

랜섬웨어 위협은 지속적으로 진화하므로, 일회성 대응이 아닌 지속적인 보안 강화 및 복원력 확보 노력이 중요합니다.

  • 위협 헌팅 (Threat Hunting): EDR/XDR 솔루션 및 위협 인텔리전스를 활용하여 네트워크 내 잠재적 위협 징후를 선제적으로 탐색하고 대응합니다.
  • 보안 아키텍처 검토 및 개선: 변화하는 위협 환경에 맞춰 보안 기술 및 통제 체계를 지속적으로 평가하고 개선합니다.
  • 사고 후 분석 (Post-Incident Analysis): 공격 발생 시 원인, 과정, 대응의 효과성 등을 철저히 분석하여 향후 유사 공격 예방 및 대응 역량 강화에 활용합니다.
  • 사이버 보험 검토: 랜섬웨어 공격으로 인한 재정적 손실(복구 비용, 협상 비용, 법률 비용 등)을 완화하기 위한 사이버 보험 가입을 검토합니다. (단, 보험 가입 자체가 공격자에게 알려지지 않도록 유의)

7. 결론

7.1. 연구 결과 요약: 랜섬웨어 그룹 다크웹 활동 패턴의 주요 특징

본 보고서를 통해 랜섬웨어 그룹의 다크웹 활동이 공격 생명주기 전반에 걸쳐 핵심적인 역할을 수행하고 있음을 확인했습니다. 주요 특징은 다음과 같습니다.

  • RaaS 모델의 중심 축: 다크웹은 RaaS 모델의 운영(제휴사 모집, 관리, 수익 분배) 및 공격 인프라 제공(DLS, 협상 채널)에 필수적인 역할을 합니다.
  • 이중/삼중 갈취의 주요 기반: 다크웹 유출 사이트(DLS)는 데이터 유출 및 공개 협박을 통한 이중 갈취의 핵심 도구이며, 삼중 갈취를 위한 정보 공유 채널(텔레그램 등)로도 활용됩니다.
  • 익명성 보장된 협상 채널: 다크웹 기반의 비공개 채팅 또는 전용 포털은 피해자와의 익명 협상을 위한 주요 창구입니다.
  • 공격 단계별 다크웹 활용: 공격 준비(정보 수집, 초기 접근 권한 구매), 공격 실행 후(데이터 유출/공개, 랜섬노트 배포), 협상 전 과정에서 다크웹이 다양하게 활용됩니다.
  • 정상 도구 악용: 데이터 유출 단계에서 Rclone, WinSCP 등 정상적인 IT 관리 도구를 악용하는 패턴이 보편화되었습니다.
  • 다양한 협상 전술 구사: 다크웹 채널을 통해 심리 압박(카운트다운, 샘플 공개), 몸값 조정/할인, 거래 조건 제시 등 몸값 극대화를 위한 다양한 전술이 사용됩니다. 협상 대화 내용 공개는 추가적인 압박 수단으로 나타났습니다.
  • 그룹별 고유 전략: 주요 그룹들은 공통적인 패턴 외에도 선호하는 침투 기법, 내부 활동 도구, 다크웹 운영 방식, 협상 전술 등에서 차별점을 보입니다.

7.2. 랜섬웨어 공격 동향 전망

랜섬웨어 위협은 앞으로도 지속적으로 진화할 것으로 예상됩니다.

  • RaaS 모델의 확장 및 분화: VanHelsing과 같이 진입 장벽을 낮추거나, FunkSec과 같이 공격 도구를 무료 배포하는 등 RaaS 모델은 더욱 다양한 형태로 분화 및 확산되며 공격자의 저변을 확대할 것입니다.
  • AI 기술 접목 가능성 증가: FunkSec 그룹이 AI를 공격 아이디어에 접목한다고 밝힌 것처럼, AI 기술이 공격 자동화, 정교화(피싱 문구 생성 등), 탐지 회피 등에 활용될 가능성이 높습니다.
  • 다양한 채널의 혼합 활용: 텔레그램의 활발한 사용, 클리어넷 병행 공개(LeakedData), 새로운 익명 메신저 활용 등 공격자들은 탐지를 회피하고 가시성과 압박 수위를 높이기 위해 다양한 온라인 채널을 혼합적으로 활용할 것입니다.
  • 리브랜딩 및 조직 변화 지속: 법 집행 기관의 단속을 회피하기 위해 기존 그룹의 해체 후 리브랜딩되거나 운영진이 이동하여 신규 그룹을 형성하는 패턴은 지속될 것입니다.
  • 공격 자동화 및 속도 증가: 초기 침투부터 내부 활동, 데이터 유출, 암호화까지 자동화된 스크립트와 도구 사용이 늘어나면서 공격 속도가 더욱 빨라지고 광범위한 타겟에 대한 공격이 가능해질 것입니다.

7.3. 향후 연구 제언

랜섬웨어 위협에 대한 효과적인 대응을 위해 다음과 같은 분야에 대한 추가 연구가 필요합니다.

  • 신규 및 부상 랜섬웨어 그룹의 다크웹 활동 패턴 및 TTPs에 대한 지속적인 모니터링 및 심층 분석.
  • AI 기술이 랜섬웨어 공격의 각 단계(정찰, 침투, 내부 활동, 탐지 회피, 협상)에 어떻게 활용될 수 있는지에 대한 심층 연구 및 예측.
  • 다크웹 외 딥웹 및 클리어넷 상에서의 랜섬웨어 관련 활동(초기 접근 브로커 활동, 데이터 판매 채널 등)에 대한 추가적인 조사.
  • 랜섬웨어 그룹의 조직 구조, 수익 분배 모델, 제휴사 모집/관리 방식 등 RaaS 비즈니스 모델에 대한 상세 분석.
  • 다양한 산업군 및 국가별 랜섬웨어 공격 특징 및 협상 성공/실패 사례에 대한 비교 분석.
  • 효과적인 랜섬웨어 협상 전략 및 몸값 지불 대안에 대한 연구 (법적, 윤리적 측면 포함).
  • 법 집행 기관의 랜섬웨어 단속 효과 및 그룹 활동에 미치는 영향 분석.

7.4. 랜섬웨어 위협 대응을 위한 최종 제언

랜섬웨어 그룹의 다크웹 활동은 공격의 필수적인 요소이자 수익 모델의 핵심입니다. 기업 및 기관은 이러한 위협 환경을 정확히 인지하고, 다음과 같은 포괄적인 대응 전략을 통해 피해를 최소화해야 합니다.

  1. 가장 기본적인 보안 수칙 철저 준수 및 강화: 취약점 관리, 강력한 인증/MFA 적용 확대, 네트워크 분리를 통한 공격 확산 방지, 정기적이고 검증된 백업 및 복구 역량 확보는 여전히 가장 중요하고 효과적인 예방책입니다. 특히 백업은 몸값 지불 회피를 위한 핵심 전략입니다.
  2. 엔드포인트 및 네트워크 가시성 확보 및 위협 탐지 능력 강화: EDR/XDR, 로그 관리 시스템을 통해 공격 초기 징후(정상 도구 악용, 비정상적 내부 활동)를 탐지하고 확산을 차단하는 역량을 강화해야 합니다. 위협 헌팅을 통해 숨겨진 위협을 선제적으로 찾아냅니다.
  3. 위협 인텔리전스 기반 선제적 대응: 최신 랜섬웨어 동향, 그룹별 TTPs, 다크웹 활동 정보를 지속적으로 파악하고 방어 체계에 반영합니다. 특히 공격자들이 악용하는 특정 취약점 정보에 빠르게 대응해야 합니다.
  4. 사고 대응 계획 수립 및 정기 훈련: 비상 상황 발생 시 혼란 없이 체계적으로 대응할 수 있도록 명확한 계획을 세우고 정기적으로 실제와 같은 모의 훈련을 반복합니다.
  5. 외부 전문가와의 협력 체계 구축: 랜섬웨어 공격은 기술적, 법률적, 협상 등 다양한 전문 분야의 대응을 요구하므로, 평판 좋은 보안 업체(사고 대응, 포렌식), 법률 자문가, 협상 전문가와 사전에 협력 체계를 구축하는 것이 필수적입니다.
  6. 몸값 지불은 최후의 수단이자 신중한 결정: 몸값 지불은 데이터 복구를 위한 마지막 선택지일 뿐이며, 법적/윤리적 문제, 재발 가능성, 데이터 완전 삭제 보장 없음 등 위험 요소가 크므로 모든 상황을 종합적으로 고려하여 신중하게 결정해야 합니다. 법 집행 기관의 권고를 따르고, 제재 대상 단체에 대한 지불은 절대 피해야 합니다.

랜섬웨어 그룹의 다크웹 활동 패턴과 진화하는 전술을 이해하는 것은 위협 대응의 시작입니다. 지속적인 경각심과 보안 투자, 그리고 포괄적이고 유기적인 대응 역량 구축만이 랜섬웨어 위협으로부터 기업과 데이터를 효과적으로 보호할 수 있습니다.

조회 수: 17

이어서 이런 콘텐츠는 어때요?

콘텐츠를 공유할 수 있어요.

최신 콘텐츠

인기 콘텐츠

다크웹 보안에 대한
더 많은 이야기를 살펴보세요.

제로다크웹 데모 신청

"

샘플 리포트로 발견한 유출 정보
0

"

"

다크웹에 정보가 유출된 기업의 비율
0 %

"

도입상담센터

1670-6390

한국 총판: ㈜지란지교소프트 | 대표이사 : 박승애
사업자등록번호 : 220-85-06740 | 통신판매 사업자번호 : 2015-대전유성-0318
경기도 성남시 수정구 금토로80번길 37, W동 11층(인피니티타워) 
대전광역시 유성구 테크노중앙로 74, 2층 (신영빌딩)

회사소개개인정보처리방침
 | 이용약관

© 2025, ZERO-SECURITY. All rights reserved. Powered by StealthMole

콘텐츠

뉴스룸

블로그

소셜 미디어

페이스북

인스타그램

유튜브

서비스

오피스키퍼

나모에디터

오피스넥스트

기타

채용

블로그

문의

개인정보 수집 및 이용 동의서

(주)지란지교소프트에서 제공하는 제로다크웹에서는 개인정보 수집, 이용 처리에 있어 아래의 사항을 정보주체에게 안내합니다.

수집목적

샘플 리포트 발송

수집항목

이름, 회사명, 연락처, 이메일

보유 이용기간

3년

✅ 귀하는 위와 같이 개인정보를 수집·이용하는데 동의를 거부할 권리가 있습니다.
✅ 필수 수집 항목에 대한 동의를 거절하는 경우 서비스 이용이 제한 될 수 있습니다.

프로모션 및 마케팅 정보 수신 동의에 대한 안내

(주)지란지교소프트에서 제공하는 제로다크웹에서는 개인정보 수집, 이용 처리에 있어 아래의 사항을 정보주체에게 안내합니다.

수집목적

업데이트 정보,  이벤트 소식안내

수집항목

이름, 회사명, 연락처, 이메일

보유 이용기간

2년

✅ 귀하는 위와 같이 개인정보를 수집·이용하는데 동의를 거부할 권리가 있습니다.
✅ 거부시 이벤트 및 프로모션 안내, 유용한 광고를 받아보실 수 없습니다.

ZERO DARKWEB의
다크웹 유출 정보 모니터링 리포트 신청이
성공적으로 완료되었습니다.

담당자가 빠른 시일 내에 연락드리겠습니다.

확인