2019년 Maze가 시작한 데이터 유출 협박은 2025년 한국 자산운용사 28곳 2TB 유출까지 진화했다. 1중에서 4중으로 늘어난 갈취 단계가 보여주는 공격자의 의사결정 구조를 정리한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
랜섬웨어가 변했다. 6년 전 이 단어는 "내 파일을 암호화하는 도구"였다. 지금은 다르다. 2024년 4분기 공격의 87%가 데이터 유출 흔적을 남겼고, 암호화 비율은 70%에서 50%로 6년 사상 최저로 떨어졌다. 협상 단계가 1중에서 4중까지 늘어났고, 갈취 그룹은 27개에서 138개로 5배가 됐다.
예스24를 보자. 2025년 6월 9일 새벽, 랜섬웨어로 5일간 마비됐다. 백업망까지 동시 감염됐다고 정부가 공식 확인했다. 회사는 추정 48억 원을 잡손실로 처리했다.
두 달 후인 8월 11일 새벽 4시 30분, 다시 7시간 마비됐다. 지불해도 끝이 아니었다.
이 글은 한 가지 통념을 뒤집는다. 랜섬웨어는 "암호화 도구"가 아니라 압박 시스템이다. 갈취 단계가 1중에서 4중으로 늘어난 6년 궤적이 그 증거다. 각 단계는 이전 단계의 약점을 우회하기 위해 발명됐다. 공격자는 협상 결과를 학습 데이터처럼 다뤘고, 매번 더 효과적인 카드를 손에 쥐었다.
암호화만으로 협상하던 시절은 백업이 일반화되면서 끝났다. 백업이 있으면 그냥 복구하면 그만이었다. 공격자에게는 새 카드가 필요했다.
Maze가 2019년 11월 15일을 골랐다. 표적은 Allied Universal — 직원 20만 명, 매출 70억 달러의 미국 보안 인력 회사였다. 초기 몸값은 300 비트코인, 약 230만 달러였다.
회사가 응하지 않자 Maze는 11월 21일 데이터 700MB를 공개했다. 전체 탈취량의 약 10%였다. 해고 합의서, 계약서, 의료 기록, 사용자 디렉터리 목록이 그 안에 있었다. Maze는 미지급 시 나머지 90%를 위키리크스에 배포하겠다고 선언했고, 몸값을 380만 달러로 올렸다.
이 사건이 유출 사이트 운영을 시스템화한 첫 사례였다. 거의 동시에 REvil이 'Happy Blog'를 열었고, DoppelPaymer와 Cl0p, Nemty가 자체 유출 사이트를 운영하기 시작했다. 백업이 있어도 데이터 공개는 막을 수 없다는 새 협상 카드가 등장한 시점이다.
데이터 공개 위협에는 한계가 있었다. 시간 압박이 약했다. 피해 기업은 "데이터가 풀리더라도 천천히 대응하면 된다"고 판단할 수 있었다.
SunCrypt가 2020년 10월 1일 처음으로 협상 결렬 후 피해자 웹사이트에 디도스 공격을 시작했다. 협박 메시지는 짧고 직접적이었다. "현재 우리 기술팀의 노력으로 귀사의 웹사이트가 다운됐다. 즉시 메시지를 보내라. 그렇지 않으면 추가 조치가 이어진다."
같은 시점에 RagnarLocker가 동일한 패턴을 채택했다. 2021년 1월에는 Avaddon이 합류했고, 자체 유출 사이트에 "이 회사는 현재 디도스 공격을 받고 있다"고 직접 표시했다.
디도스는 즉각적이고 가시적인 피해를 만들었다. 웹사이트가 다운되면 고객 문의가 몰리고, 영업이 중단된다. Emsisoft 분석가 Brett Callow는 BleepingComputer에 이렇게 정리했다. "디도스는 싸고 쉽다. 일부 기업은 신속한 지불이 가장 덜 고통스러운 선택이라고 판단하게 된다."
3중 갈취도 우회할 수 있었다. 본사 IT 부서나 CISO가 "협상하지 말자"고 결정하면 데이터 유출도 디도스도 막을 수 없었다. 결정권자가 본사 안에 있었기 때문이다.
Cl0p가 2020년 12월 Accellion 파일 전송 솔루션 침해 캠페인에서 결정권을 분산시키는 방법을 발견했다. 피해 기업의 고객, 파트너, 직원에게 직접 협박 이메일을 보냈다. 협박을 받은 외부 관계자는 다음 조직 사람들이었다.
메시지는 정확했다. "안녕하세요. 이 메일을 받으셨다면 귀하는 [피해 기업]의 고객, 구매자, 파트너, 직원입니다. 미지급 시 귀하의 전화번호, 이메일, 주소, 신용카드, 사회보장번호를 공개합니다."
Emsisoft 최고기술책임자 Fabian Wosar는 KrebsOnSecurity에 이렇게 평가했다. "Cl0p가 이 방식을 선호한다. REvil도 시작한 것 같다." REvil은 2021년 4월 음성을 변조한 인터넷 전화로 고객·파트너·언론에 직접 연락하는 방식을 추가했다.
이 패턴이 산업 규모로 폭발한 사건이 Cl0p의 MOVEit 캠페인이다. 2023년 5월 27일, Cl0p는 SQL 인젝션 제로데이 취약점()으로 LEMURLOOT 웹쉘을 배포했다. CISA는 6월 2일 이 취약점을 알려진 악용 취약점 목록(KEV)에 등재했다.
Emsisoft 집계로 2023년 11월 시점 2618개 조직, 7700만 명이 영향을 받았다. 81%가 외부 협력사 공급망을 거쳐 영향을 받았다. 단일 취약점이 만든 4중 갈취 사상 최대 규모였다.
각 단계는 이전 단계의 구체적 약점을 겨냥한다. 진화는 우연이 아니다. 공격자는 협상이 결렬된 사건을 다음 캠페인의 자료로 사용했고, 더 효과적인 압박 수단을 발명했다. 단계가 늘어날 때마다 결정권이 분산되고, 압박 면이 넓어졌다.
모든 그룹이 4중까지 가지는 않는다. 서비스형 랜섬웨어(RaaS) 모델 안에서 역할 분담이 갈취 단계를 결정하는 구조가 있다.
마이크로소프트는 RaaS 구조를 이렇게 정리한다. 운영자는 빌더, 결제 포털, 유출 사이트 호스팅, 협상 서비스를 제공한다. 어필리에이트는 침투, 전개, 협상을 담당한다. 즉 유출 사이트(2중)는 운영자가 인프라로 제공하지만, 디도스와 협박 전화(3중·4중)는 어필리에이트가 추가 비용을 들여 선택한다.
디도스 채택이 빨랐던 이유는 비용이다. 어필리에이트가 디도스 외주 서비스를 사용하면 부담이 낮다. 그래서 SunCrypt, RagnarLocker, Avaddon 같은 중소 그룹도 채택할 수 있었다. 반면 4중 갈취는 콜센터 인력과 고객 데이터베이스 추출이 필요하다. 진입 장벽이 다르다.
한 가지 흥미로운 사실이 있다. Conti, Ryuk, Sekhmet 피해자에게 걸려온 협박 전화가 동일한 스크립트와 억양을 썼다. 보안 분석가들은 여러 그룹이 같은 외주 콜센터를 사용한다고 평가한다. 4중 갈취도 단일 그룹이 내재화한 능력이 아니라, 범죄 생태계가 공유하는 자원이었다.
Cl0p MOVEit은 이 모델을 깬 사례다. 어필리에이트 모델 없이 제로데이 취약점을 단독으로 운영했다. 2618개 조직 동시 압박을 자체 흡수할 수 있는 그룹이었다. 이런 형태는 자원 집중이 가능한 소수 그룹만 가능하다.
흥미롭게도 2024년 이후 갈취 단계는 더 늘어나지 않았다. 대신 두 가지 흐름이 등장했다.
첫째, 암호화 성공 보장으로 회귀했다. 보안 솔루션을 끄거나 우회하는 도구가 등장했다.
단계를 더 추가하기보다 1중을 확실히 만드는 방향으로 회귀했다.
둘째, 그룹 정체성을 위장하기 시작했다. 2024년 2월, LockBit이 'Operation Cronos' 일제 단속으로 무너졌다. 인프라가 압수됐고, 복호화 키 1000개가 확보됐으며, 1억 1200만 달러가 동결됐다.
그러나 ALPHV 어필리에이트 다수가 RansomHub로 이동했다. RansomHub는 2024년 한 해 736명을 피해자로 만들며 1위로 올라섰다. 같은 시기 Change Healthcare 사건에서는 ALPHV가 1차 갈취 후 RansomHub가 동일 데이터로 다시 갈취하는 교차 협박이 등장했다. 한 데이터셋으로 두 번 압박하는 새 모델이다.
여기서 한 가지 흐름이 보인다. 단계 추가는 멈췄지만, 갈취의 효율을 높이는 방향으로 압박 시스템이 계속 진화한다. 공격자는 협상 결과를 보면서 어떤 카드가 가장 잘 먹히는지 학습한다.
한국은 2024년 16건에서 2025년 10월까지 56건으로 유출 사이트 등재가 3.5배 늘었다. 안랩 ASEC 집계다. 같은 기간 신규 그룹이 53개 등장했다.
가장 큰 사건은 'Korean Leaks' 캠페인이다. 2025년 9월 14일부터 Qilin이 한국 관리형 IT 서비스 업체 GJTec을 단일 침해해 자산운용사 30곳 이상의 100만 파일, 2TB 데이터를 유출했다. 3개 시기로 나눠 단계적으로 공개했다.
9월 한 달간 한국이 세계 2위 피해국으로 올라섰다. 사전 메시지에 "Comrade Kim Jong-un"이 직접 등장했고, 북한 연계 APT로 알려진 Moonstone Sleet가 어필리에이트로 가담한 정황이 보고됐다. 국가 행위자와 범죄 조직의 융합 사례다.
예스24는 다른 의미로 중요하다. 2025년 6월 9일 새벽, 랜섬웨어로 5일간 마비됐다. 과기정통부 공식 조사에서 "업무망, 서비스망, 백업망까지 접근해 감염"이 확인됐다.
회사는 2분기 잡손실 48억 원을 처리했다. 전년 동기 230만 원에서 급증했고, 회계사는 대부분이 해킹 비용이라고 분석했다. 두 달 후인 8월 11일 새벽, 7시간 다시 마비됐다. 지불해도 협상 후 침투 채널이 제거되지 않으면 재공격이 가능하다는 사실을 보여준 사례다.
랜섬웨어가 압박 시스템이라는 사실은 방어 사고방식에 영향을 준다.
백업은 1중을 막는다. 2024년 Sophos 조사에서 백업 복구가 1주 안에 가능한 비율은 45%였다. 지불 복구 39%보다 높았다. 그러나 4중 갈취 환경에서 백업은 첫 단계 방어일 뿐이다. 데이터가 이미 외부에 있다. 고객·파트너에게 협박 메시지가 갈 수 있다.
지불도 끝이 아니다. 예스24 사례가 그 증거다. Sophos 2021년 조사에서 지불해도 4%만 100% 데이터를 회수했다. 92%가 일부 데이터 손실을 겪었고, 50% 이상이 데이터의 1/3 이상을 잃었다.
Coveware 2024년 4분기 집계로 지불 피해자의 84%가 완전 회수에 실패했다. 데이터 유출 단독 피해자의 41%가 지불했다. 평균 지불률 25%보다 높은 이 수치는 데이터 협박이 암호화보다 효과적이라는 가장 강한 증거다.
여기서 마지막 메시지를 정리한다. 공격자는 협상 결과를 학습 데이터처럼 다뤘다. 백업이 흔해지자 데이터 공개를 추가했고, 공개에 시간 압박이 부족하자 디도스를 더했고, 본사가 거부할 수 있게 되자 외부 관계자에게 직접 연락했다. 단계 추가는 멈췄지만, 같은 데이터로 두 번 갈취하는 교차 협박과 보안 솔루션 우회 도구가 그 자리를 메우고 있다.
5중이 새로 등장하지 않더라도 압박 시스템의 진화는 멈추지 않는다. 방어 측이 효과적인 카드 한 장을 무력화하면, 공격자는 다음 캠페인에서 새 카드를 꺼낸다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0