“경험 많은 침투자를 찾습니다.”
국제적 랜섬웨어 조직 ‘킬린(Qilin)’이 지난달 30일 한 다크웹 포럼에 올린 채용 공고다. ‘독립국가연합(CIS) 국가 출신은 제외한다’는 조건을 달고 개인 면접을 예고한 대목은 여느 글로벌 기업의 구인 절차를 연상하게 했다. 특히 ‘인력 채용–제품 마케팅–고객 지원’ 체계를 갖췄다고 홍보하는 점에서는 일반적인 소프트웨어 업체와도 다름없었다. 이들은 국내 자산운용사 20여 곳을 해킹해 고객과 임직원의 개인정보를 빼돌린 뒤 불과 보름 만에 새로운 가담자들을 모아 또 다른 공격에 나설 채비를 서두르고 있었다.
채용 공고를 내걸어 실무자를 모집하는가 하면 ‘대여 서비스’까지 등장할 정도로 랜섬웨어 조직들의 국제적 범죄 생태계는 빠르게 산업화 단계로 치닫고 있다. 10일 S2W 위협인텔리전스센터 탈론(TALON)이 다크웹을 모니터링한 결과 올 상반기 랜섬웨어 그룹들이 활동하는 주요 포럼인 ‘RAMP’ 내에서 채용과 관련된 공고와 댓글은 지난해 하반기보다 65.6% 폭증했다. 조직들은 암호화 알고리즘을 포함한 랜섬웨어의 성능을 마치 소프트웨어 스펙처럼 내세우며 숙련자들을 끌어모으고 있다. 보안 업계 관계자는 “내부 정보를 유출·공개해 협상력을 높이는 방식의 수익성이 확인되자 인력 수요가 급증했다”며 “공격자들이 목표국의 언론인, 엔지니어, 내부 인물까지 포섭하려는 경향을 보이고 있다”고 말했다.
사이버 범죄 생태계는 이른바 ‘서비스형 랜섬웨어(RaaS)’의 등장으로 더욱 비대해졌다. 고도화된 기술이 담긴 랜섬웨어는 이제 ‘키트’ 형태로 제작된다. 자체 개발 능력이 없는 조직이라도 기술력을 가진 다른 해킹 그룹으로부터 악성코드를 빌려 공격할 수 있게 된 셈이다. 해킹 수단은 갈수록 보편화되고 대여자는 부족한 기술로도 상당한 수익을 거두는 악순환이 반복된다. 킬린뿐만 아니라 록비트(LockBit), 블랙캣(BlackCat) 같은 유명 랜섬웨어 조직들은 이처럼 고도화된 서비스를 제공하는 경우가 일반적이다.
이들의 사후 관리는 양지에서 판매되는 상업적 소프트웨어 못지않게 체계를 갖추는 추세다. 여기에는 △피해자와의 협상 대행 △월간 구독제 △24시간 고객 지원이 포함된다. 대여자와 제공자 사이에는 브로커들이 끼어 전 과정을 원활히 조율한다. 업무는 전 과정이 단계별로 분업화돼 있다. 일례로 공격 대상의 시스템에 접근조차 하지 못한 구매자를 대신해 초기 침투만 대행해줄 경우는 3000달러(약 420만 원) 선의 시세가 형성돼 있다. 업계에서는 이 같은 ‘제휴’를 통한 해킹이 성공할 경우 수익의 최대 90%를 구매자 측이 가져간다고 본다.
이처럼 공격 과정의 문턱이 낮아지면서 ‘초보 해커’들도 쉽게 참여하는 양상이 뚜렷해졌다. 랜섬웨어 조직의 채용이 통상 현업 전문가들과 화이트해커 출신을 노려 음성적으로 이뤄져왔던 이전과는 완전히 달라진 흐름이다. 최영삼 트렌드마이크로 상무는 “랜섬웨어의 개발은 초창기에 전문 지식을 가진 인력을 필요로 하지만 일단 시스템을 구축하고 나면 현지 국가에서 누구든 뽑아 기초적 트레이닝을 거쳐 활용할 수 있게 된다”고 설명했다. 수사기관의 추적이 ‘잡범’들에게 쏠린 사이 해킹 수법의 개발자들은 안정적인 수익을 올리며 감시망을 유유히 피해나간다.
더 커진 범죄 시장에서 해킹 기법은 공개적 토론을 통해 빠르게 정교화·대중화된다. 대표적 사례가 SK텔레콤을 비롯한 국내 기업 공격에도 활용된 ‘BPF도어’다. 이 방식은 평범한 리눅스 서비스를 손쉽게 공격자의 뒷문으로 전락시킨다. 일상적 통신이 역발상의 수단으로 쓰이기 때문에 탐지가 늦어지기 쉽다. 은밀한 침투에 성공하면 이후 랜섬웨어 삽입은 한결 수월해진다. 문제는 중급자 수준만 되더라도 기법의 모방이 가능하다는 점이다. 최 상무는 “소스코드가 ‘깃허브’ 등에 공개돼 있어 누구나 공격 가이드를 참조해 응용·확장할 수 있는 상황”이라고 했다.
전문가들은 랜섬웨어 생태계가 커지면서 더 많은 한국 기업이 표적으로 전락할 가능성이 높다고 경고한다. 신흥 랜섬웨어 세력들은 이미 한국을 상대로 공격을 성공시킨 조직의 방식을 빠르게 모방하고 있다. 안랩 시큐리티대응센터(ASEC)는 최근 ‘Kawa4096’이라는 랜섬웨어 조직이 킬린의 데이터 유출 수법을 그대로 차용한 정황을 확인했다. 특히 피해자에게 전달된 협박 편지(랜섬노트)의 내용과 형식은 킬린과 거의 동일하다는 평가다. 이 밖에 ‘TCR 팀’의 경우처럼 아예 한국 기업만 노린 공격자 그룹까지 등장했다. S2W 관계자는 “올해 상반기 새 랜섬웨어 조직들이 등장하고 기존 그룹들도 수익 확대를 노리며 중소기업을 집중 겨냥하고 있다”며 “특히 일부가 한국을 선택적으로 표적으로 삼는 등 전략적 위협이 뚜렷해지고 있다”고 우려했다.
![[단독]상반기 11차례 공개 협박당한 韓기업…'한국인 해커' 가담 정황도](https://newsimg.sedaily.com/2025/10/10/2GZ4I5C966_1.jpg)
![두나무 주식 거래량 급증…소액주주 1만명 돌파 [시그널]](https://newsimg.sedaily.com/2025/10/09/2GZ41826EJ_1.jpg)
