Chainalysis 보고서에 따르면 2025년 랜섬웨어 공격은 전년 대비 50% 증가했다. 하지만 몸값 지불률은 역대 최저 20%로 떨어졌다. 공격은 급증하는데 수익은 줄어드는 역설. 이유는 단순하다. 랜섬웨어가 더 이상 천재 해커의 영역이 아니기 때문이다. 코드를 한 줄도 못 짜는 범죄자가 월 구독료만 내면 랜섬웨어를 배포할 수 있는 시대 — RaaS(Ransomware-as-a-Service)가 만든 현실이다.
2017년 이전, 랜섬웨어 공격은 개인 또는 소규모 팀의 작업이었다. 악성코드 개발, 배포, 협상, 자금 세탁까지 한 팀이 전부 담당했다. 이 모델의 한계는 확장성이었다. 아무리 실력이 좋아도 동시에 공격할 수 있는 타깃은 제한적이었다.
SaaS가 소프트웨어 산업을 바꾼 것처럼, RaaS는 랜섬웨어 산업의 확장 문제를 해결했다. 개발자는 코드와 인프라만 제공하고, 실제 침투와 배포는 외부 계약자(어필리에이트)가 수행한다. 한 명이 하던 일을 5개 역할로 분업화한 것이다.
Ransomware-as-a-Service (RaaS) is a business model between ransomware operators and affiliates in which affiliates pay to launch ransomware attacks developed by operators. — Microsoft Security
한 문장으로: 랜섬웨어의 프랜차이즈 모델이다.
핵심 구성 요소는 5개다:
| 구성 요소 | 역할 |
|---|---|
| 개발자(Operator) | 랜섬웨어 코드, C2 서버, 협상 포털, 유출 사이트 운영 |
| 어필리에이트(Affiliate) | 실제 침투, 횡적 이동, 랜섬웨어 배포 실행 |
| IAB(Initial Access Broker) | 기업 접근 권한 확보 후 다크웹에서 판매 |
| 협상가(Negotiator) | 피해자와 몸값 협상, 지불 압박 관리 |
| 자금세탁(Launderer) | 암호화폐 믹서, 크로스체인 브릿지로 추적 차단 |
모든 랜섬웨어 공격의 시작은 기업 네트워크에 들어가는 것이다. IAB가 이 역할을 전담한다.
IAB는 VPN 취약점, 노출된 RDP, 피싱으로 확보한 자격증명을 다크웹 포럼에서 판매한다. 2024년 기준 IAB 리스팅의 58%가 1,000달러 미만이다. 도메인 관리자 권한은 1만 달러 이상이지만, 일반 VPN 접근 권한은 수백 달러면 살 수 있다.
다이어그램
2025년부터 IAB는 단순 접근 권한뿐 아니라 횡적 이동 스크립트까지 번들로 판매하기 시작했다. 침투 경험이 없는 어필리에이트도 매뉴얼만 따르면 도메인 컨트롤러까지 도달할 수 있는 구조다.
RaaS의 수익 배분은 개발자와 어필리에이트 간 사전 합의로 결정된다.
| RaaS 그룹 | 개발자 : 어필리에이트 |
|---|---|
| LockBit | 20 : 80 |
| BlackCat | 10 : 90 |
BlackCat이 높은 비율까지 양보한 이유가 있다. 2024년 법 집행 압박으로 어필리에이트 이탈이 가속됐고, 경쟁 플랫폼에 빼앗기지 않으려면 수익률을 높여야 했다. 어필리에이트는 충성도가 없다. 더 높은 수익률을 제시하는 플랫폼으로 즉시 이동한다.
다이어그램
랜섬웨어의 갈취 방식은 단순 암호화에서 4단계로 진화했다.
1단계: 파일을 암호화하고 복호화 키 대가로 몸값을 요구한다. 가장 기본적인 형태다.
2단계: 암호화 전에 데이터를 먼저 빼돌린다. 몸값을 안 내면 유출 사이트(DLS)에 공개하겠다고 협박한다. 백업이 있어도 데이터 유출은 막을 수 없으므로 압박이 강해진다.
3단계: DDoS 공격으로 피해 기업의 웹사이트와 서비스를 마비시킨다. 복구 작업 중인 기업에 추가 부담을 준다.
4단계: 피해 기업의 고객, 파트너, 심지어 규제 기관에 직접 연락한다. 2023년 BlackCat은 피해 기업 MeridianLink를 미국 SEC에 직접 신고했다. "사이버 침해 4일 내 공시 의무를 위반했다"는 명분이었다. 규제를 무기로 전환한 것이다.
몸값은 대부분 비트코인으로 수신된다. 문제는 블록체인이 공개 장부라는 점이다. 법 집행 기관이 자금 흐름을 추적할 수 있으므로, 즉시 세탁 단계에 들어간다.
세탁 경로: 믹서로 출처 교란 → 크로스체인 브릿지로 다른 블록체인에 이동 → P2P OTC 브로커를 통해 법정화폐로 환전
2023년 ChipMixer 차단(세탁액 $44.2M 압수), 2022년 Tornado Cash 제재(세탁액 $7B 이상) 등 법 집행이 믹서를 지속적으로 압박하고 있다. 하지만 새 믹서는 차단 후 수주 내에 등장한다.
2024년 2월, 영국 NCA와 FBI를 포함한 12개국 합동 작전 Operation Cronos가 LockBit을 타격했다. 관리 서버 압수, 194개 제휴 조직 데이터 확보, 소스코드 탈취. LockBit의 2024년 하반기 몸값 수신액은 전반기 대비 79% 감소했다.
하지만 LockBit은 소멸하지 않았다. 2025년 9월 LockBit 5.0으로 복귀를 시도했다. 더 큰 문제는 어필리에이트들의 이동이다. LockBit과 BlackCat에서 이탈한 어필리에이트들은 Qilin, Akira, RansomHub로 재배치됐다.
2025년 Q3 기준 활성 랜섬웨어 그룹은 85개 — 역대 최고 수준이다. 법 집행이 하나를 잡으면 셋이 생기는 구조. 이것이 RaaS 생태계의 복원력이다.
2025년 상반기 국내 랜섬웨어 피해는 82건이다. 주목할 사건 3개:
Gunra 그룹은 2024년부터 삼화콘덴서, 화천기계, 인하대 등 국내 기관 4곳을 공격한 이력이 있다. 특정 그룹이 한국을 캠페인 단위로 공략하고 있다는 의미다.
RaaS 생태계가 성장하는 이유는 진입장벽 제거와 위험 분산 두 가지다.
개발자는 코드만 만들고 직접 침투하지 않으므로 체포 위험이 낮다. 어필리에이트는 코드 개발 능력 없이도 공격을 실행할 수 있다. IAB는 랜섬웨어 배포와 무관하게 접근 권한만 거래하므로, 각 단계의 참여자가 전체 작전의 일부만 담당한다.
법 집행 입장에서는 5개 역할이 서로 다른 국가에 분산되어 있어 한 번에 소탕하기 어렵다.
RaaS는 랜섬웨어를 SaaS처럼 분업화한 범죄 생태계다. 개발자-어필리에이트-IAB-협상가-자금세탁의 5단계 공급망으로 운영되며, 법 집행이 하나를 잡아도 어필리에이트가 다른 플랫폼으로 이동하는 복원력을 가진다. 방어의 핵심은 몸값을 낼 필요 없는 환경 (격리된 백업과 신속한 복구 체계) 을 만드는 것이다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.