[아이티데일리] 이달 들어 랜섬웨어 그룹 2곳이 잇달아 활동을 중단한다고 발표하며 보안 업계의 주목을 받고 있다. 근래 긴밀한 국제 공조를 통한 랜섬웨어 조직의 검거 및 와해 소식이 간헐적으로 전해지는 가운데, 수사 당국의 압박과 수익성 감소가 활동 중단 결정에 영향을 미쳤을 거라는 해석이 나오고 있다. 하지만 다수 전문가들은 더욱 치밀한 활동 준비를 위한 일보 후퇴라는 반박을 제기하고 있다.

복호화 키 무료 공개하며 “병 주고 약 주기”

지난 3일 글로벌 랜섬웨어 그룹 헌터스 인터내셔널(Hunters International)는 지난해 말부터 간접적으로 의사를 내비치던 조직 해체를 공식 발표했다. 이 그룹은 다크웹 내 유출 사이트(Leak Site)를 통해 “최근 상황의 변화와 신중한 고려 끝에 헌터스 인터내셔널 프로젝트를 종료하기로 결정했다”고 밝혔다.

특히 헌터스 인터내셔널은 해체와 함께 피해 기업들에게 무료 복호화 키를 제공하겠다고 발표해 주목받았다. 그룹 측은 “선의의 표현이자 과거 우리 행위로 영향받은 이들을 돕는다는 뜻에서 랜섬웨어 피해를 입은 모든 기업에 복호화 소프트웨어를 무료 제공하겠다”고 밝혀 다소간의 의문을 남겼다.

2023년 말 등장한 헌터스 인터내셔널은 약 2년여 간 300여 건의 랜섬웨어 공격을 수행한 것으로 알려졌다. 이 중 확인된 공격만 55건에 달하며, 최소 325만 건의 개인정보를 침해한 것으로 집계된다. 특히 의료 기관을 집중 타깃으로 삼아 약 290만 건의 피해가 발생한 것으로 파악된다.

헌터스 인터내셔널에 이어 지난 7일에는 신생 랜섬웨어 그룹 새턴록(SatanLock)도 활동 중단을 선언했다. 올해 4월 등장한 이 그룹은 텔레그램 채널과 다크웹 유출 사이트를 통해 “새턴록 프로젝트가 종료될 예정이며, 모든 파일이 오늘 유출될 것”이라고 발표했다.

짧은 활동 기간에도 불구하고 새턴록은 67개 조직을 피해 대상으로 공개했다. 하지만 체크포인트(Check Point)의 분석에 따르면 이 중 65% 이상이 이미 다른 랜섬웨어 그룹의 피해 조직으로 등록된 중복 사례였던 것으로 밝혀졌다.

이런 사실에 대해 보안 전문가들은 “새턴록이 독립적으로 활동하기보다는 다른 그룹과 공유 인프라를 사용했거나 기존 침해 네트워크를 재활용했을 가능성을 의미한다”면서 “새턴록은 바북-비요르카(Babuk-Bjorka), GD 로커섹(GD Lockersec) 등 다른 랜섬웨어 그룹과 연관성이 있는 것으로 보인다. 즉, 좀 더 큰 규모의 범죄 네크워크에 연관되거나 소속돼 있다는 의미”라고 분석하고 있다.

“해체 아닌 전략적 리브랜딩”

헌터스 인터내셔널과 새턴록 뿐만 아니라 그 이전인 4월 초에는 랜섬허브(RansomHub)의 활동 중단도 있었다. 이처럼 랜섬웨어 그룹이 잇달아 주춤하는 것은 해킹 범죄 소탕을 위한 국제 공조가 효과를 발휘하고 있다는 방증일까. 유감스럽게도 완전히 동의하기는 어렵다는 게 많은 보안 전문가들의 의견이다.

현재 상당수 전문가들은 헌터스 인터내셔널의 해체가 진정한 활동 중단이 아니라 전략적 리브랜딩이라고 분석한다. 실제로 이 그룹의 핵심 인력들은 ‘월드 릭스(World Leaks)’라는 새로운 조직에서 활동을 이어가고 있는 것으로 알려졌다.

월드 릭스는 2025년 1월 등장한 새로운 형태의 위협 조직으로, 파일을 암호화한 뒤 복호화 키 제공 대가로 금전을 요구하는 기존 랜섬웨어 방식에서 벗어나 데이터를 탈취한 후 유출 협박만을 하는 방식을 채택했다. 일명 ‘갈취 전용(Extortion-Only)’ 모델이다.

실제 월드 릭스 플랫폼은 헌터스 인터내셔널과 매우 유사한 디자인과 기능을 보여주고 있다. 프랑스 보안업체 렉스포(Lexfo)도 “월드 릭스는 헌터스 인터내셔널의 운영진이 개발한 새로운 프로젝트”라고 분석한 바 있다. 월드 릭스는 이미 20여 곳의 피해 조직을 만든 것으로 알려졌으며, 이 중 17개 조직의 데이터가 공개됐다.

대형 랜섬웨어 그룹 빈자리, 소형 그룹들이 채워

영국의 보안 연구 업체 컴패리테크(Comparitech)의 조사에 따르면, 2025년 상반기 전 세계 랜섬웨어 공격 피해 사례는 전년 대비 47% 증가한 3,627건을 기록했다. 이러한 수치는 지난 몇 년간 주요 그룹들의 해체에도 불구하고 공격이 오히려 증가하고 있다는 점에서 시사하는 바가 있다.

특히 주목할 점은 대형 그룹이 해체되는 한편으로 소규모 그룹이 증가하는 추세라는 것이다. 미국과 영국을 포함하는 국제 공조 사법 당국의 성공적인 작전으로 록비트(LockBit), 블랙캣(BlackCat) 등 대형 그룹들이 타격을 받으면서, 이들의 빈자리를 더 작은 그룹들이 채우고 있다.

사이퍼마(CYFIRMA)가 지난달 발표한 ‘2025년 5월 랜섬웨어 동향 보고서’에 따르면, 올해 5월 기준 랜섬웨어 조직 세이프페이(SafePay)가 72건의 공격으로 가장 활발한 활동을 보였으며, 사일런트랜섬그룹(SilentRansomGroup)이 67건으로 뒤를 이었다. 새로운 그룹들인 데이터캐리(DATACARRY), 다이어울프(Dire Wolf), J그룹(J Group) 등도 등장해 활동을 시작했다.

또한 월드 릭스와 같이 랜섬웨어 그룹들은 데이터 암호화에서 데이터 유출 협박 위주로 전술을 변경하는 추세를 보이고 있다. 이는 피해 기업들의 백업 시스템이 강화되면서 암호화만으로는 효과적인 협박이 어려워졌기 때문으로 분석된다.

끝나지 않는 랜섬웨어 위협…“보안 투자 확대해야”

보안 전문가들은 최근 이어지는 랜섬웨어 그룹 활동 중단 소식들에 대해 위협의 종료가 아니라 진화의 과정이라고 경고하고 있다. 사이버 복원력 플랫폼 공급업체 딥워치(Deepwatch)의 채드 크래글(Chad Cragle) CISO는 “랜섬웨어 그룹이 ‘문을 닫는다’고 말할 때, 그것은 잘못을 반성하고 제정신을 차려서라기 보다는 단순히 다른 소속팀으로 유니폼을 갈아입은 것일 뿐”이라고 말했다.

국내도 랜섬웨어 위협에 대해 여전히 안심할 수 없다. 최근 있었던 예스24 사례가 대표적이다. SK쉴더스 조사에 따르면, 2025년 1분기 랜섬웨어 피해 사례는 2,575건으로 전년 동기 대비 122% 증가했다.

국내 한 보안 기업 대표는 “랜섬웨어 그룹들은 시시각각 진화하면서 끈질긴 적응력과 생존력을 보여주고 있다. 기업·기관들 역시 이들에 맞서려면 적극적으로 지능적이고 포괄적인 대응 체계를 구축해야 한다. 특정 솔루션만 도입하면 해결되겠지 하는 단순한 생각을 버려야 한다는 얘기다”라면서 “보안 위협이 발생할 수 있는 통로는 너무나도 많고, 여기에 대응하기 위해서는 비용도 많이 든다. 하지만 현재 국내 기업·기관들의 보안 투자 수준으로는 언제 사고가 터져도 이상하지 않다. 최근 화제가 된 국내 몇몇 보안 사고들을 남일처럼 취급해선 안 된다. 기업·기관들이 현재보다 보안 투자를 더욱 확대해야 한다”고 강조했다.