Ragnar Loader 악성코드, 단순한 랜섬웨어 도구가 아니라, 지속적으로 진화하는 사이버 범죄 생태계의 일부
사이버 범죄 조직이 활용하는 악성코드 ‘Ragnar Loader’(라그나 로더)가 보안 전문가들에 의해 상세히 분석됐다. 이 악성코드는 Ragnar Locker, FIN7, FIN8, Ruthless Mantis(구 REvil) 등 여러 해킹 그룹이 사용하고 있으며, 네트워크 내에서 장기적인 침투를 가능하게 하는 것이 특징이다. 전문가들은 이 악성코드가 지속적으로 발전하고 있으며, 탐지를 회피하는 능력 또한 강화되고 있다고 경고했다.
진화하는 악성코드, Ragnar Loader는 Sardonic이라는 이름으로도 알려져 있으며, 2021년 8월 비트디펜더(Bitdefender)가 처음 발견했다.
당시 FIN8이 미국의 한 금융기관을 공격하는 과정에서 이 악성코드를 사용했지만, 공격은 실패로 끝났다. 그러나 분석 결과, Ragnar Loader는 최소 2020년부터 활동해 온 것으로 밝혀졌다. 이후 2023년 7월, 브로드컴이 인수한 시만텍(Symantec)은 FIN8이 업데이트된 Ragnar Loader를 활용해 블랙캣(BlackCat) 랜섬웨어를 배포했다고 보고했다. 이는 이 악성코드가 단순한 초기 침투 도구가 아니라, 랜섬웨어 공격의 핵심 수단으로 사용되고 있음을 보여준다.
Ragnar Loader의 가장 큰 특징은 감염된 시스템 내에서 오랜 기간 머물며 공격자가 지속적으로 접근할 수 있도록 돕는다는 점이다. 이를 위해 파워셸(PowerShell) 기반의 페이로드를 실행하며, RC4와 Base64 같은 암호화 기법을 활용해 악성 행위를 숨긴다. 또한, 프로세스 인젝션(Process Injection) 기법을 사용해 시스템 프로세스에 직접 침투함으로써 탐지를 어렵게 만든다.
이 악성코드는 모듈형 아키텍처를 갖추고 있어 다양한 기능을 수행할 수 있다. 공격자들은 이를 통해 원격에서 명령을 실행하거나, 감염된 시스템의 권한을 상승시키고, 원격 데스크톱을 통해 직접 조작할 수도 있다. 이뿐만 아니라, C2(Command-and-Control) 패널과 연결해 감염된 시스템을 실시간으로 제어하는 것도 가능하다.
탐지를 피하기 위한 기술도 상당히 정교하다. Ragnar Loader는 안티 분석(Anti-Analysis) 기법을 적용해 코드 흐름을 난독화하고, 보안 솔루션이 이를 쉽게 분석할 수 없도록 만든다. 또한, DLL 플러그인과 쉘코드(Shellcode)를 실행해 다양한 악성 행위를 수행할 수 있으며, 내부 네트워크로 이동하기 위해 파워셸 기반의 피벗(pivot) 파일을 활용하기도 한다. 이러한 기능 덕분에, 기업이나 조직이 감염을 인지하지 못한 채 장기간 악성코드에 노출될 가능성이 높다.
Ragnar Loader는 윈도우뿐만 아니라 리눅스 환경에서도 실행될 수 있도록 설계됐다. 이 과정에서 중요한 역할을 하는 것이 ‘bc’라는 ELF(Executable and Linkable Format) 형식의 실행 파일이다. 이 모듈은 원격 접속을 가능하게 하며, 공격자가 감염된 시스템에서 직접 명령을 실행할 수 있도록 돕는다.
보안 기업 PRODAFT는 ‘bc’가 기존의 QakBot(콕봇)이나 IcedID(아이스드ID) 같은 악성코드에서 발견되는 ‘BackConnect’ 모듈과 유사하다고 분석했다. 특히, 네트워크가 분리된 기업 환경을 노릴 때 공격자들이 자주 활용하는 기술이라는 점도 강조했다.
Ragnar Loader는 계속해서 진화하고 있으며, 보안 솔루션을 우회하는 능력 또한 점점 정교해지고 있다. 이에 따라 기업과 조직은 보다 철저한 보안 전략을 마련해야 한다.
보안 전문가들은 정기적인 보안 점검을 통해 네트워크 및 시스템 내 취약점을 사전에 분석하고, 보완 조치를 취해야 한다고 조언한다. 또한, 인공지능(AI) 기반의 고급 위협 탐지 솔루션을 도입해 악성코드의 행위를 실시간으로 탐지하고 차단하는 것이 중요하다고 강조했다.
이와 함께, 임직원들의 보안 교육도 필수적이다. 피싱이나 소셜 엔지니어링을 통해 악성코드가 유포되는 경우가 많기 때문에, 직원들이 의심스러운 이메일이나 첨부 파일을 열지 않도록 교육하는 것이 필요하다.
또 “Ragnar Loader와 같은 악성코드는 단순한 랜섬웨어 도구가 아니라, 지속적으로 진화하는 사이버 범죄 생태계의 일부”라며 “기술적인 대응뿐만 아니라 조직 차원의 보안 정책도 강화해야 한다”고 조언했다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수:클릭
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[MWC25 바르셀로나 포럼] 명제훈 KT 본부장 “AI 필터링 기술로 스팸신고 79% 줄여”](https://img.etnews.com/news/article/2025/03/07/news-p.v1.20250307.1bbb6aca46aa45b492fb481971b1d736_P1.jpg)
![[인터뷰] 표절 잡아내던 그 회사, GPT킬러 만들어낸 이유](https://byline.network/wp-content/uploads/2025/03/muhayu-001.jpeg)
![[팩플] 실행·예약·결제 해주는 AI 비서 등장…‘앱리스 시대’가 온다](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202503/10/a0baeb93-f77a-4e5f-8854-14f6b23c740c.jpg)
