독일 경찰, 세계 최대 랜섬웨어 조직 GandCrab·REvil 수장의 신원을 공개하다

랜섬웨어 범죄의 실체가 드러나다

랜섬웨어라고 하면, 컴퓨터에 있는 파일을 몽땅 암호화해놓고 "돈 내면 풀어줄게"라고 협박하는 악성코드를 말하는데요. 그동안 전 세계 기업과 기관을 괴롭혀온 대표적인 랜섬웨어 조직인 GandCrab과 REvil의 핵심 리더들을 독일 경찰이 공식적으로 지목했어요. 브라이언 크렙스(Brian Krebs)의 보안 전문 매체 KrebsOnSecurity를 통해 알려진 이 소식은, 수년간 베일에 싸여 있던 사이버 범죄 조직의 실체를 드러냈다는 점에서 상당히 의미가 커요.

GandCrab과 REvil, 이게 뭔데요?

이 두 이름이 생소한 분들을 위해 간단히 설명하자면요. GandCrab은 2018년부터 2019년까지 활동한 랜섬웨어로, 당시 전 세계 랜섬웨어 감염의 약 40%를 차지할 정도로 거대한 조직이었어요. 이들이 특히 교묘했던 건 RaaS(Ransomware as a Service) 모델을 대중화했다는 거예요. 이게 뭐냐면, 랜섬웨어 개발자가 직접 공격하는 게 아니라 "우리가 만든 랜섬웨어 도구를 쓸래? 수익 나누자"는 식으로 다른 해커들에게 플랫폼처럼 제공하는 방식이에요. 마치 SaaS(Software as a Service)처럼요. 범죄의 프랜차이즈화라고 보면 돼요.

GandCrab 운영자들은 2019년에 "충분히 벌었으니 은퇴한다"고 선언하며 사라졌는데요, 보안 업계에서는 이들이 곧바로 REvil(또는 Sodinokibi)이라는 새로운 이름으로 재등장했다고 보고 있었어요. REvil은 GandCrab보다 더 공격적이었어요. 2021년에는 IT 관리 소프트웨어 회사 Kaseya를 통한 공급망 공격으로 전 세계 약 1,500개 기업을 동시에 감염시키는 초대형 사건을 일으켰고, 브라질 육가공 대기업 JBS를 공격해 1,100만 달러(약 150억 원)의 몸값을 받아낸 적도 있어요.

독일 경찰이 밝혀낸 것

이번에 독일 경찰(BKA, 연방범죄수사청)이 공개한 건 이 조직의 핵심 인물들의 실제 신원이에요. 러시아 국적자로 알려진 이 인물들은 온라인에서 "UNKN"이라는 닉네임 등으로 활동하면서 조직을 이끌어왔다고 해요. 독일 경찰이 이런 발표를 한다는 건, 수사가 상당히 진전되었다는 신호예요. 보통 이런 사이버 범죄 수사에서 용의자의 실명을 공개하는 건 체포 영장 발부와 함께 이루어지거든요.

여기서 흥미로운 점은 왜 미국이 아니라 독일이 나섰냐는 건데요. 미국 FBI와 DOJ도 REvil 수사에 깊이 관여해왔지만, 유럽 쪽에서도 피해가 컸고, 유로폴(Europol)과 독일 BKA가 독자적인 수사 라인을 갖고 있었던 거예요. 실제로 유럽의 사이버 범죄 수사 역량이 최근 몇 년간 눈에 띄게 강화되고 있는데, 이번 건이 대표적인 사례예요.

RaaS 모델이 보안 업계에 던진 과제

이 사건이 기술적으로 중요한 이유는 RaaS 모델의 위험성을 다시 한번 확인시켜주기 때문이에요. 전통적인 사이버 범죄는 해킹 실력이 있는 사람만 할 수 있었는데, RaaS는 이걸 완전히 바꿔놨어요. 기술력이 없는 사람도 돈만 내면(혹은 수익을 나누면) 고급 랜섬웨어를 사용할 수 있게 된 거죠.

이런 구조에서는 조직의 리더(개발자)를 잡아도 이미 배포된 도구를 가진 수많은 "계열사(affiliate)"들이 남아있어요. 마치 프랜차이즈 본사를 폐쇄해도 이미 영업 중인 가맹점들이 당장 사라지지 않는 것처럼요. 그래서 보안 업계에서는 기술적 방어(백업, 네트워크 세그멘테이션, 제로 트러스트 등)와 법적 수사를 동시에 진행해야 한다고 강조하고 있어요.

최근에는 LockBit, BlackCat(ALPHV), Clop 같은 후속 그룹들이 REvil의 빈자리를 채우고 있는데요, 이들도 같은 RaaS 모델을 사용하고 있어요. LockBit의 경우 2024년에 국제 공조 수사(Operation Cronos)로 인프라가 압수당했지만 금방 복구되는 등, 이 생태계의 회복 탄력성이 상당히 높다는 것도 알 수 있어요.

한국 개발자와 기업에 주는 시사점

"나는 보안 전문가가 아닌데 이게 나랑 무슨 상관이야?"라고 생각할 수 있는데요, 실은 꽤 직접적인 관련이 있어요.

첫째, 한국도 랜섬웨어 공격의 주요 타겟이에요. 2024년 한국인터넷진흥원(KISA) 보고에 따르면 국내 랜섬웨어 피해 신고가 꾸준히 증가하고 있고, 특히 중소기업과 의료기관이 취약한 것으로 나타났어요. 여러분이 운영하는 서비스나 회사의 인프라가 타겟이 될 수 있다는 거죠.

둘째, 소프트웨어 공급망 보안의 중요성이에요. REvil의 Kaseya 공격은 IT 관리 도구를 통한 공급망 공격이었는데, 이건 우리가 사용하는 npm 패키지, Docker 이미지, CI/CD 파이프라인 어디에서든 비슷한 일이 일어날 수 있다는 의미예요. 의존성 관리와 보안 감사를 평소에 신경 써야 하는 이유이기도 하고요.

셋째, 백업과 복구 체계는 선택이 아니라 필수예요. 3-2-1 백업 원칙(3개의 복사본, 2개의 다른 미디어, 1개는 오프사이트)은 클리셰처럼 들릴 수 있지만, 랜섬웨어에 당했을 때 가장 확실한 대응 방법은 결국 깨끗한 백업에서 복원하는 거거든요.

마무리

이번 독일 경찰의 발표는 사이버 범죄도 결국 추적당하고 신원이 밝혀질 수 있다는 메시지를 주고 있어요. 동시에, RaaS 모델이 이미 너무 널리 퍼져서 리더 한두 명을 잡는 것만으로는 위협이 사라지지 않는다는 현실도 보여주고요. 여러분의 서비스나 인프라의 보안 상태, 최근에 한번 점검해보신 적 있나요?