2026년 4월 13일, RaaS 운영체 0APT가 신생 그룹 Krybit의 운영자 자격증명과 암호화폐 지갑 5개를 공개하며 협박했다. 가짜 랜섬웨어 의혹을 받는 0APT가 또 다른 범죄자를 표적으로 한 24시간 사건과 그 의미를 분석한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 4월 13일 일요일, 다크웹 한 곳에서 익숙한 형식의 협박 게시글이 올라왔다. 협박의 대상은 평범한 기업이 아니었다. 또 다른 랜섬웨어 그룹의 운영자였다.
랜섬웨어 그룹 0APT가 신생 랜섬웨어 그룹 Krybit의 내부 데이터를 탈취해 자신들의 더블 익스토션 게시판에 올렸다는 사실을 다크웹 모니터링 업체들이 같은 주말에 포착했다. 0APT는 Krybit 측 운영자와 affiliate의 평문 자격증명, 그리고 다섯 개의 암호화폐 지갑 주소를 샘플로 공개하면서 "지불하지 않으면 운영자의 사진과 이름, 위치를 모두 공개하겠다"고 적었다. 같은 게시글의 마지막에는 한 줄이 더 붙어 있었다. "당신이 그들의 피해자라면, 우리에게 연락하라. 잠긴 데이터를 풀어 주겠다."
영국 매체 The Register는 4월 14일에 이 사건을 보도했고, 한국에서는 데일리시큐가 4월 24일에 후속 정리 기사를 냈다. 24시간 사이에 일어난 이 협박이 보안 업계의 관심을 끈 이유는 단순하지 않다. 익스토션의 표적이 다른 범죄자라는 점, 협박의 도구로 평소 자신들의 비즈니스 모델로 삼던 더블 익스토션 형식을 그대로 가져왔다는 점, 그리고 0APT라는 협박의 주체 자체가 보안 업계에서 이미 의심받는 존재라는 점이 함께 얽혀 있다.
0APT는 2026년 1월 말 다크웹에 처음 모습을 드러낸 랜섬웨어 서비스(RaaS) 운영체다. 등장 첫 주에 자신들의 leak 블로그에 약 200건의 피해자 조직을 올리면서 단숨에 주목을 받았다. 그러나 이 빠른 성장에는 곧 의문이 따라붙었다.
위협 인텔리전스 업체 Halcyon은 0APT를 "기술적으로 신뢰할 만한 깊이"를 가진 위협이라고 평가하면서도, 첫 48시간 동안 올라온 피해자 목록에는 부풀려진 주장이 거의 확실히 포함돼 있다고 분석했다. 곧이어 SOCRadar와 GuidePoint Security가 더 강한 표현을 썼다. 0APT가 공개한 데이터 샘플 중 다수가 0바이트로 채워진 빈 파일이라는 것이다. leak 블로그의 피해자들에게서도 무작위로 선정된 흔적이 보였다.
추가 분석들이 의심을 굳혔다. Kela와 ZeroFox는 0APT가 사용한다고 주장하는 랜섬웨어 실행 파일이 2011년에 만들어졌고 최종 업데이트가 3년 전에 멈춘 코드라고 보고했다. 진짜 운영 중인 RaaS라면 거의 매주 빌드를 갱신한다. 더 결정적인 신호는 단 한 건의 ransom note도 발견되지 않았다는 점이다. 정상 RaaS는 모든 피해자에게 협상 채널을 안내하는 ransom note를 남긴다. 데이터 leak 사이트에서 다운로드 가능한 "샘플"은 전송 속도가 너무 throttle되어 끝까지 받으려면 7,000일 정도가 걸린다는 추정도 있었다.
0APT는 2026년 2월 8일 한 차례 leak 사이트를 오프라인으로 내렸다가 다음 날 다시 올렸다. 이때 피해자 명단을 200건에서 15건 이상의 매우 큰 다국적 기업으로 좁혔다. 보안 보도가 "검증 불가"를 지적한 직후의 정리 작업으로 읽힌다. 내부 운영 패널의 코드 주석이 힌디어와 우르두어로 작성됐다는 사실도 함께 알려졌다. 일반적인 러시아어 사용 코어와는 다른 남아시아 출신 운영자가 배후에 있을 가능성을 가리킨다.
Bank Info Security는 0APT의 진짜 비즈니스 모델이 다른 사이버 범죄자를 등쳐먹는 "사기를 위한 사기 서비스"에 가깝다고 평가했다. affiliate 가입을 원하는 지원자에게 평가 수수료 명목으로 1 비트코인을 요구한 점이 결정적 단서였다. 정상 RaaS 모델에서는 운영자가 affiliate에게서 매출의 20~30%를 받는 구조다. 가입 시점에 1 BTC를 선납하라는 형태는 흔치 않다.
Krybit은 정반대 방향에 있다. 메이저 위협 인텔리전스 매체 어느 곳도 이 그룹에 대한 단독 보고서를 내놓지 않았다. 다크웹 추적 플랫폼 Ransomware.live와 Breach.house가 보유한 정보가 거의 전부다. 그 정보에 따르면 Krybit은 2026년 4월 3일에 처음 발견됐고, 4월 12일까지 10건의 피해자를 공개 leak 사이트에 올렸다. 운영 중인 leak 사이트는 네 곳이다.
10건의 피해자는 산업별로 흩어져 있다. Consumer Services 4건, Business Services 4건, Education 2건, Technology 2건, Manufacturing 1건이 잡혔다. 가장 많이 노린 국가는 일본이다. 다크웹 모니터링 계정 Hackmanac의 기록에는 4월 2일 발견된 일본 제조업체 Whiskey & Co., Inc. 침해 주장이 올라 있다. Krybit이 이 회사에서 가져갔다고 주장하는 데이터의 종류가 흥미롭다. ransom note 파일 README-RECOVER.txt 에 따르면 SolidWorks 포맷의 제조 도면, 직원 개인정보, 재무 데이터, 네트워크 자격증명까지 통째로 보유하고 있다는 협박 문구가 적혀 있다. 진짜 RaaS 운영체가 작동할 때의 표준적인 강압 패턴이다.
협박 게시글은 다크웹 사이트 0APT의 평소 leak 페이지에 올라왔다. 형식은 평소 기업 피해자에게 쓰던 것과 거의 같았다. 피해자 명칭란에 "Hacked 0APT"가 아니라 "Hacked Krybit Ransomware"라는 표현이 적혔다는 점만 달랐다. 그 옆에는 Krybit이 "사이버 보안과 데이터 프라이버시에 심각한 위험을 끼친다"는 장식적인 비난 문장이 붙어 있었다.
본문은 통상의 더블 익스토션 협박 문법을 그대로 따라간다. 일정 시간 안에 협상 채널로 연락하지 않으면 전체 데이터를 공개하겠다는 위협, 그리고 그 위협이 빈말이 아니라는 것을 보여주기 위한 샘플. 0APT가 이번에 샘플로 공개한 자료는 두 종류다.
첫째, Krybit 운영자와 affiliate의 평문 자격증명이다. Barricade Cyber Solutions의 Eric Taylor가 공개 파일을 분석해 확인한 내용이다. 둘째, 다섯 개의 암호화폐 지갑 주소다. 정황상 Krybit의 몸값 수령 지갑으로 추정된다. 만약 이 자격증명과 지갑 주소가 실제 데이터라면, Krybit 운영자의 익명성이 사실상 무너진다. 자격증명은 다크웹 인프라 접근에 쓰이고, 지갑 주소는 체인 분석 업체와 수사 기관의 추적 출발점이 된다.
여기까지는 익숙한 더블 익스토션 시나리오다. 그러나 협박글의 마지막 줄이 이 사건을 일반적인 협박과 구분 짓는다.
"당신이 그들의 피해자라면, 우리에게 연락하라. 잠긴 데이터를 풀어 주겠다."
이 한 줄은 두 가지 효과를 동시에 노린다. 하나는 Krybit에 대한 압박을 더 직접적으로 만드는 것이다. 자기 피해자를 빼앗기는 시나리오는 어떤 RaaS 운영자에게도 가장 두려운 종류의 평판 손상이다. 다른 하나는 0APT 자신에게 새로운 수입원을 제공하는 것이다. 만약 Krybit 피해자가 정말로 0APT에 연락한다면, 0APT는 그들에게서 별도의 비용을 받거나 새로운 affiliate 관계를 맺을 수 있다.
The Register는 0APT가 왜 동료 범죄 조직을 협박하는지를 둘러싼 동기는 "현재로서는 불분명하다"고 적었다. 가장 단순한 해석은 돈이다. 그러나 0APT의 모델이 다른 범죄자를 표적으로 한 사기에 가깝다는 기존 분석을 받아들이면, 이번 협박은 그 사기 비즈니스의 자연스러운 다음 단계로 보인다. 처음에는 affiliate가 되고 싶어 하는 지원자에게서 1 BTC씩 거두었고, 이번에는 leak 사이트와 더블 익스토션 위협을 무기로 다른 그룹에서 직접 돈을 뜯어내는 것이다.
협박 이후 며칠이 지난 시점에 Krybit이 0APT의 요구를 들어주었다는 흔적은 보이지 않는다. Eric Taylor 역시 같은 점을 짚었다. 이 침묵은 두 가지로 해석된다.
가능성 하나는 Krybit이 0APT의 협박을 진지하게 받아들이지 않는 것이다. 0APT가 그동안 공개한 leak 자료의 신빙성이 의심받은 만큼, 이번 자격증명과 지갑 주소가 실제 운영 데이터인지 확신할 수 없는 상황에서는 침묵이 합리적 대응일 수 있다. 가능성 둘은 Krybit이 협상에 응할 자원도 채널도 없을 만큼 작은 운영체라는 것이다. 4월 3일 첫 발견에서 4월 12일까지 10건이라는 피해자 규모는 LockBit이나 Akira처럼 수백 건을 동시에 굴리는 RaaS와 비교하면 극단적으로 작다.
이 비대칭이 사건을 더 흥미롭게 만든다. 협박의 주체로 알려진 0APT는 자신이 정말로 어떤 그룹인지에 대한 외부 평가가 갈리는 상태이고, 협박의 대상으로 알려진 Krybit은 그 외부 평가조차 받지 못할 만큼 작다. 이 두 그룹이 더블 익스토션 형식을 매개로 다크웹의 한 페이지에서 마주쳤다는 사실 자체가, 2026년 봄 랜섬웨어 생태계의 분화 양상을 보여주는 한 단면이다.
랜섬웨어 그룹들이 서로를 공격한 사례는 이번이 처음이 아니다. LockBit의 공식 대변인은 2023년부터 2024년 사이 Conti와 ALPHV의 운영자들과 공개 채널에서 자주 다투었다. 2025년 4월에는 RansomHub가 DragonForce에 의해 침해당했다는 의혹이 제기되면서 RansomHub의 운영이 한동안 마비됐다. 2022년 Conti가 내부 분열로 해체된 직후, 일부 멤버는 Black Basta·Hive·Royal로 흩어졌고, LockBit Green은 2023년에 Conti의 소스 코드를 가져다 자기 빌드에 합쳤다.
이번 0APT-Krybit 사건이 이 계보와 다른 점은 형식이다. 과거의 분쟁은 대체로 운영자 간 텔레그램·포럼 다툼, 소스 코드 도용, affiliate 빼앗기 같은 형태였다. 협박의 도구로 자신들의 핵심 비즈니스 모델인 더블 익스토션 leak 사이트를 그대로 사용한 사례는 흔치 않다. 정상 기업을 상대하는 협박과 정확히 같은 시각화·문법·시간 압박이 다른 범죄 조직을 향해 작동한 셈이다.
또 한 가지는 이 사건이 0APT가 무엇인지에 대한 현재진행형 논쟁의 한 데이터 포인트가 된다는 점이다. 0APT가 정말로 운영 능력을 갖춘 RaaS라면 이번 사건은 다크웹 내 권력 다툼의 자연스러운 일부다. 반면 0APT가 다른 범죄자를 표적으로 한 사기 서비스에 가깝다는 기존 분석이 맞다면, Krybit 협박은 그 사기 모델의 다음 단계 실험이다. 어느 쪽이든, 랜섬웨어 그룹 사이의 신뢰 구조가 더 이상 "도둑들 사이의 명예"라는 옛 표현으로는 설명되지 않는다는 사실은 분명해진다.
0APT의 행동 패턴은 가까운 과거에 직접적인 선례를 가지고 있다. 2024년 2월 등장한 Mogilevich 그룹이다. Mogilevich는 등장 직후 닛산 자회사 Infiniti USA, 아일랜드 외교부, Epic Games를 피해자로 주장하면서 다크웹의 주목을 끌었다. 그러나 3월 2일, Mogilevich는 자신들의 leak 게시판에 "데이터 샘플" 대신 자백을 올렸다. 자신들은 RaaS가 아니라 사기단이며, 가짜 인프라와 가짜 데이터를 미끼로 8명의 잠재 affiliate를 속여 약 8만 5천 달러를 챙겼다는 고백이었다. Mogilevich가 사라진 자리에 0APT가 더 큰 규모와 정교함으로 등장한 셈이다. 다른 점이 있다면 Mogilevich는 한 달 만에 자기 정체를 자백했고, 0APT는 자백 대신 더 무거운 협박으로 전환했다는 것이다.
마지막으로, 이번 사건은 위협 인텔리전스의 한계도 드러낸다. Krybit에 대한 단독 보고서가 어디에도 없는 상태에서 0APT의 협박이 먼저 나왔다는 것은, 신생 그룹이 등장한 직후 메이저 인텔리전스 업체의 시야에 잡히기까지 걸리는 공백을 보여준다. 그 공백은 이번처럼 다른 범죄자가 메우기도 하고, 정상 피해자가 먼저 메우기도 한다.
한국 독자에게 이 사건이 직접적인 의미를 갖는 지점은 Krybit의 표적 분포에 있다. 다크웹 추적 플랫폼이 집계한 10건의 Krybit 피해자 가운데 가장 큰 비중은 일본 기업이 차지했다. 동아시아의 제조·물류·중견 기업이 특정 RaaS의 선호 타깃이 되고 있다는 신호다. 한국 기업이 이번 명단에는 보이지 않지만, 같은 표적 모델을 가진 운영체가 다음 사이클에 표적군을 확장한다면 가장 먼저 닿는 후보가 된다. Lazarus 같은 국가 후원 행위자가 압도적으로 많은 한국 위협 지형 위에, 일본을 우선 표적으로 삼는 신생 RaaS의 활동까지 겹치는 풍경이 2026년 봄의 동아시아 위협 인텔리전스 그림이다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0