78개 랜섬웨어 그룹이 마지막에 쓰는 카드가 데이터 암호화다. 하이브리드 암호화 구조와 한국 교원그룹·Qilin 피해 사례.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2024년 2월, 미국 의료 청구 시스템의 3분의 1이 멈췄다.
Change Healthcare가 BlackCat 랜섬웨어에 감염된 것이다. 회사는 2,200만 달러의 몸값을 지불했지만, 데이터는 돌아오지 않았다. 최종 피해 규모는 1억 명의 개인정보 노출, 직접 비용만 13~16억 달러였다.
이 모든 것이 T1486 — 데이터 암호화 한 번으로 시작됐다.
T1486(Data Encrypted for Impact)은 피해 시스템의 파일을 암호화해 가용성을 파괴하는 기법이다. 복호화 키 대가로 금전을 요구하는 랜섬웨어의 핵심 메커니즘이다.
MITRE ATT&CK에 등록된 T1486 사용 위협 그룹은 78개. 가장 광범위하게 사용되는 공격 기법 중 하나다.
공격자가 암호화를 선택하는 이유는 명확하다. 운영을 즉시 마비시킨다. 서버가 꺼진 것도 아니고, 데이터가 삭제된 것도 아니다. 데이터는 눈앞에 있는데 열 수 없다. 이 심리적 압박이 몸값 지불을 유도한다.
랜섬웨어의 암호화 방식은 빠르게 진화해왔다.
랜섬웨어 암호화 전략 진화
| 방식 | 특징 |
|---|---|
| 전체 암호화 (초기 LockBit) | 느리지만 복구 불가, 탐지 쉬움 |
| 간헐적 암호화 (BlackCat) | 매우 빠르고 탐지 어려움 |
| 탈취만 (Cl0p) | 즉시 완료, 탐지 매우 어려움 |
간헐적 암호화(Intermittent Encryption)는 BlackCat이 대규모로 도입한 기법이다. 파일 전체가 아닌 일정 간격의 블록만 암호화한다. 속도는 수 배 빨라지고, 파일당 엔트로피 변화가 완만해서 엔트로피 기반 탐지를 우회한다.
현대 랜섬웨어는 대칭키와 비대칭키 암호화를 조합한다.
| 단계 | 동작 |
|---|---|
| 1 | 파일마다 랜덤 대칭키(AES-256 또는 ChaCha20) 생성 |
| 2 | 대칭키로 파일 내용 암호화 (빠름) |
| 3 | 대칭키를 공격자 공개키(RSA-4096)로 암호화 |
| 4 | 암호화된 대칭키를 파일 끝에 첨부 |
| 5 | 공격자 서버에 마스터 개인키 보관 |
왜 이 구조가 복호화를 불가능하게 만드는가.
금고에 비유하면 이렇다. 각 파일은 서로 다른 열쇠(대칭키)로 잠긴 금고다. 이 열쇠들은 다시 공격자만 가진 마스터 금고(개인키) 안에 들어간다. 피해자는 개별 금고의 열쇠도, 마스터 금고의 열쇠도 갖고 있지 않다.
수학적으로 RSA-4096 개인키를 추측하려면 현존하는 모든 컴퓨터를 동원해도 우주의 나이보다 오래 걸린다. 이것이 몸값을 지불하지 않으면 사실상 복구가 불가능한 이유다. 2025년 3월 Akira 랜섬웨어의 Linux 변종이 GPU 클러스터로 복호화에 성공한 사례가 있지만, 이는 난수 생성기의 구현 결함을 이용한 극히 드문 예외다.
2026년 1월 10일, 교원그룹 내부 시스템에서 비정상 활동이 감지됐다. 800개 서버 중 약 600개가 영향을 받았고, 잠재적으로 960만 명의 고객 데이터가 위험에 노출됐다. 교원, 교원구몬, 빨간펜, 교원라이프 등 전 계열사가 피해를 입었다.
2025년 9월, 한국은 갑자기 전 세계에서 랜섬웨어 표적 2위 국가로 급부상했다. Qilin 랜섬웨어가 한 달에 28개 기관을 공격했고, 2TB의 데이터를 탈취했다.
침입 경로가 주목할 만하다. 개별 기업을 직접 공격한 것이 아니라, 한국 IT 서비스 제공업체(MSP) 하나를 해킹해 20개 이상의 자산운용사에 연쇄 침투했다.
MSP는 고객사 시스템에 원격 접근 권한을 갖고 있다. 이 하나의 진입점이 20개 금융사의 문을 동시에 열어준 것이다. Qilin은 "주식시장 조작 증거"와 "정치인 명단" 공개를 위협하는 등 지정학적 메시지까지 활용했다. Bitdefender 분석에 따르면 북한 Moonstone Sleet과의 연계 의혹도 있다.
랜섬웨어의 갈취 방식도 단계적으로 진화했다.
| 세대 | 전략 | 시기 |
|---|---|---|
| 1중 | 암호화 + 복호화 키 판매 | 2010년대 |
| 2중 | 암호화 + 탈취 데이터 공개 위협 | 2019년~ |
| 3중 | 암호화 + 데이터 유출 + DDoS | 2021년~ |
| 4중 | 위 모든 것 + 고객/언론 직접 연락 | 2025년~ |
2025년 상반기 공개 랜섬웨어 피해 건수는 전년 동기 대비 70% 증가했다.
Sophos 2025년 보고서 기준:
| 지표 | 수치 |
|---|---|
| 몸값 중간값 요구액 | $1.32M |
| 실제 지불 중간값 | $1M |
| 몸값 지불 거부율 (Sophos 기준) | 63% |
| 지불 후 데이터 미복구율 | 84% |
| 평균 총 피해 비용 (IBM) | $5.13M |
| 1주일 내 복구 비율 | 54% |
Sophos 조사 기준 지불 후 데이터 미복구율 84% — 몸값을 내더라도 데이터를 돌려받을 확률은 6분의 1에 불과하다.
랜섬웨어 암호화를 탐지하려면 파일 시스템의 비정상 행위를 모니터링해야 한다.
| 탐지 방법 | 원리 |
|---|---|
| 엔트로피 모니터링 | 암호화된 파일은 Shannon 엔트로피 ~8.0 (최대값) |
| 허니팟 파일 | 절대 수정되면 안 되는 더미 파일 배치 → 수정 시 즉시 경보 |
| 대량 파일 변경 | 단시간 100+ 파일 확장자 변경 탐지 |
| VSS 삭제 감지 | vssadmin delete shadows 명령 모니터링 |
| 암호화 API 호출 | CryptEncrypt, BCryptEncrypt 대량 호출 탐지 |
Sophos 보고서에 따르면 랜섬웨어의 96%가 백업을 표적으로 한다. 기존 3-2-1 룰만으로는 부족하다.
| 숫자 | 의미 |
|---|---|
| 3 | 데이터 사본 3개 |
| 2 | 서로 다른 미디어에 저장 |
| 1 | 오프사이트 1개 |
| 1 | 불변(Immutable) 또는 에어갭 1개 |
| 0 | 백업 오류 제로 (자동 검증) |
T1486은 단독으로 실행되지 않는다. 반드시 T1490(시스템 복구 차단)과 함께 사용된다. 공격자는 암호화 전에 Volume Shadow Copy를 삭제하고, 클라우드 백업 버전 관리를 비활성화하며, 복구 경로를 체계적으로 차단한다.
Interlock이 Cisco FMC를 뚫고 네트워크를 장악한 뒤 6단계 마지막에 실행한 것이 T1486이었다. 초기 접근(T1190)부터 데이터 유출(T1567)까지 모든 준비를 마친 뒤, 마지막 카드로 암호화를 실행한다.
방어의 핵심은 T1486이 실행되기 전에 공격 체인을 끊는 것이다. 암호화가 시작된 후에는 이미 늦다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.