사이버 범죄 조직 내부의 갈등으로 인해 또 하나의 랜섬웨어 소스코드가 다크웹에 공개되면서, 새로운 위협 확산 가능성에 대한 우려가 커지고 있다. 이번 사건의 주인공은 지난 3월 등장한 신생 랜섬웨어 서비스형(RaaS) 조직 ’반헬싱(VanHelsing)’이다.
◆신흥 다중 플랫폼 랜섬웨어 ‘반헬싱’
반헬싱(VanHelsing)은 윈도우(Windows), 리눅스(Linux), BSD, ARM, ESXi 등 다양한 시스템을 타깃으로 하는 RaaS(랜섬웨어 서비스형)로, 운영 초기부터 공격자들에게 범용성과 확장성을 강조하며 다크웹에서 존재감을 드러내왔다. 이 조직은 피해자의 데이터를 암호화한 후, 데이터 유출 협박을 병행하는 이중 갈취 전략(Double Extortion)을 구사해왔다.
랜섬웨어 정보 추적 사이트 랜섬웨어닷라이브(Ransomware.live)에 따르면, 현재까지 최소 8개 이상의 피해 사례가 확인됐다. 가입을 원하는 공격자들은 $5,000의 입장료를 내야 하며, 기존 활동 이력이 있는 공격자에겐 무료로 접근 권한이 부여되는 것으로 알려졌다.
◆내부 고발자 등장…소스코드 유출 사태로 번져
2025년 5월 20일, ‘th30c0der’라는 사용자가 다크웹 사이버 범죄 포럼 ‘램프(RAMP)’에 반헬싱의 핵심 소스코드를 1만 달러에 판매하겠다는 게시글을 올렸다. 그는 해당 글에서 TOR 기반의 데이터 유출 블로그, 관리자용 웹 패널, 채팅 시스템, 파일 서버, 그리고 윈도우·리눅스용 암호화기 빌더까지 모두 포함돼 있다고 주장했다.
이에 반헬싱 운영진은 직접 대응에 나섰다. th30c0der가 조직의 전직 개발자이며, 소스코드를 빌미로 사기를 치려 한다고 주장하면서, 자신들이 보유한 구버전 소스코드를 포럼에 공개해버린 것이다. 그들은 “곧 새로운 버전의 암호화기 ‘반헬싱 2.0’으로 돌아올 것”이라고 예고했다.
이번에 공개된 자료에는 윈도우 암호화기 빌더, 어필리에이트(affiliate) 패널, 데이터 유출 블로그의 소스코드가 포함되어 있다. 다만, th30c0der가 주장한 리눅스 빌더나 데이터베이스는 포함돼 있지 않아, 유출된 자료는 불완전한 것으로 파악된다.
전문 분석 결과, 유출된 윈도우 빌더는 완전한 형태지만 정돈되지 않은 상태였다. 마이크로소프트 비주얼 스튜디오(Microsoft Visual Studio) 프로젝트 파일이 통상 실행 파일을 저장하는 ‘Release’ 폴더에 들어있는 등 구조가 어수선하다. 빌더는 빌드 과정에서 31.222.238[.]208 주소로 연결돼 데이터를 받아오는 방식으로 작동한다.
그러나 빌더와 함께 제공된 어필리에이트 패널의 소스코드에 ‘api.php’ 엔드포인트가 포함되어 있어, 공격자들이 해당 코드를 수정하거나 자체 패널을 구성해 빌더를 정상 작동시킬 수 있는 가능성도 있다. 또한, 윈도우 암호화기뿐 아니라 복호화기, 로더, 그리고 마스터 부트 레코드(MBR)를 교체해 잠금 메시지를 표시하는 MBR 락커(MBRLocker)의 시제품 코드도 함께 포함돼 있는 것으로 확인됐다.
◆과거 사례와 유사한 패턴
이번 유출은 과거의 주요 랜섬웨어 유출 사례들과 유사한 양상을 보인다. 2021년 6월에는 바북(Babuk) 랜섬웨어 빌더가 유출돼 누구나 윈도우와 VM웨어 ESXi 환경에서 공격 도구를 제작할 수 있게 되었고, 이는 이후 수많은 공격자들에게 활용됐다.
2022년 3월에는 콘티(Conti) 랜섬웨어 조직의 내부 자료가 해킹당해 소스코드가 유출됐고, 같은 해 9월에는 락빗(LockBit) 랜섬웨어 조직에서 내부 불만을 품은 개발자가 빌더를 외부에 공개했다. 이들 모두가 현재까지도 사이버 공격에 악용되고 있다는 점에서, 반헬싱 소스코드 유출 역시 새로운 위협 확산으로 이어질 가능성이 높다.
보안 전문가들은 이번 유출로 인해 새로운 랜섬웨어 파생 조직들이 출현할 가능성이 크다고 지적하고 있다. 특히 기존에 개발 실력이 부족했던 공격자들이 소스코드를 활용해 변종을 만들거나, 기존 빌더를 개조해 새롭게 배포할 수 있기 때문이다.
이와 함께, 수사기관이 이 소스코드를 분석해 반헬싱 조직의 서버 구조나 통신 방식 등을 역추적하는 데 활용할 수 있을 것이란 기대도 나온다. 그러나 데이터베이스와 리눅스 빌더가 누락된 만큼, 실제 수사나 방어에 미치는 영향은 제한적일 수 있다는 분석도 있다.
한 보안 전문가는 “이러한 유출은 사이버 범죄 생태계에서 갈등과 분열이 존재한다는 증거지만, 동시에 새로운 공격의 씨앗이 될 수 있다는 점에서 매우 위험하다”고 경고했다.
