“다크웹서 사라지고 다시 등장”…랜섬웨어 조직, 흔적 감추기 전략 고도화

다크웹을 무대로 활동하는 랜섬웨어 조직의 공격 방식이 새로운 국면으로 접어들고 있다. 기존에는 하나의 그룹이 장기간에 걸쳐 대규모 사이버 공격을 이어가며 수익을 추구했으나, 최근엔 단기간 집중 공격 후 조직 명칭과 운영방식을 바꾸는 방식이 확산되고 있다. 업계는 이 같은 변화가 증거 인멸과 수사당국의 추적 회피 전략이 연계된 ‘리브랜딩 경쟁’의 분수령이 되고 있다고 분석한다.

실제 올해 들어 헌터스를 비롯한 대형 랜섬웨어 조직의 공식 해체·활동 중단 사례가 이어지고 있다. 동시에 새로운 그룹들이 빠른 속도로 등장하고 해체되는 ‘떴다방식’ 움직임이 포착된다. IT 보안 기업 EQST에 따르면 글로벌 랜섬웨어 피해 사례는 5월 기준 505건을 기록했으며, 한두 달 만에 이름을 바꿔 다시 나타나는 조직의 비중이 증가했다. 지난 4월에 등장한 라로드는 한 달 만에 노바로 간판을 바꿔 달았고, 다크웹 포럼에서 새로운 파트너까지 모집하며 활동 반경을 넓히는 양상이다.

이 같은 조직의 전략적 리브랜딩은 최근 수사망이 좁혀지자 더욱 빈번해졌다. 기존에는 공격 대상을 폭넓게 설정하고 장기적으로 운영했으나, 최근엔 수익성 위축과 강력한 법 집행, 피해 기업의 잇따른 몸값 지불 거부로 단기간 집중 후 조직을 해산하는 경향이 강해졌다. 심지어 한 조직이 여러 프로젝트를 동시 운영하거나, 랜섬웨어 서비스화로 외부 공격자와 유연하게 공조하면서 보안 담당부서의 혼란을 야기하고 있다.

사이버 공격 수법 역시 정교해지고 있다. 다이어울프처럼 피해자별 맞춤 협상 채널을 구축하거나, 피해 데이터의 샘플을 클라우드에 올려 피해자에게만 공유하는 수법 등 적극적인 기술 고도화가 확인된다. 예전의 랜섬노트가 일률적 안내에 그쳤던 데 반해, 최근에는 피해자별로 비공개 다크웹 주소, 채팅방, 전용 계정 정보를 제공하면서 협상 압박과 추적 회피 효과를 동시에 노리고 있다. 또한 유출 데이터 샘플을 다크웹이 아닌 클라우드에 저장하고 링크만 전달하는 방식은 실제 탈취 증거를 수사 당국에 노출하지 않으면서 피해자 설득 가능성을 높이는 전략으로 풀이된다.

한편 2023년부터 대형 공격을 계속해온 헌터스가 지난달 다크웹 공지를 통해 랜섬웨어 사업 종료를 선언했다. 제조, 금융, 의료, 공공 등 약 200여 기관을 대상으로 공격을 반복했던 이 조직은 수익성 한계 및 추적 위험 부담으로 5월 이후 데이터 탈취 시장으로 방향을 선회했으나, 지난달 공식적으로 프로젝트를 종료했다.

글로벌 랜섬웨어 시장에선 수사당국과 해킹조직 간 ‘리브랜딩 추격전’이 확산되는 가운데, IT 보안업계는 조직 명칭이 아닌 공격 수법의 정밀 분석이 필수 대응 조건으로 떠오르고 있다. 국내외 수사기관은 기술 정교화·조직 변화에 맞는 정보 공유 강화와 근본적 보안 정책 수립을 촉구하고 있다. 산업계는 랜섬웨어 조직의 신속한 전략 변화가 실제 보안 시장에 어떤 영향을 미칠지 예의주시하고 있다.