"2025 랜섬웨어 공격, 드래곤 포스가 노린다"

드래곤포스(DragonForce)는 2023년 말 등장이후 2025년 현재까지 독립 인프라와 빠른 확장 전략을 펼치고 있다. 북미, 유럽, 아시아, 중동 등 세계 각지 민간·공공 부문을 위협하고 있다.

이 조직은 여러 산업 분야 중소기업을 집중적으로 노린다. 기존 랜섬웨어 조직과 달리 독립 인프라 운영, 맞춤형 데이터 유출, 내부 유출 사례 등으로 새로운 위협 양상을 보이고 있다. 보안 전문가들은 이 그룹의 구조적 특징과 숨겨진 기술 신호를 추적하며, 사전 탐지와 대응 전략 강화를 강조한다.

1. 글로벌 확장, 빠르게 진화하는 타깃 전략
2025년 7월, 드래곤포스는 이탈리아 산업디자인 기업 Framon S.p.A, 레바논 IT컨설팅 기업 Software Design Consulting Group, 미국 미주리의 법률사무소 Vontava Nantz & Johnson LLC, 독일 라벨링 전문업체 md-labels-gmbh.com 등 전 세계 다양한 기업을 공격해 데이터 탈취, 공개 압박 전략을 전개했다.

공격 대상은 주로 방어 역량이 취약한 중소기업이다. 하지만, 의료, 제조, IT서비스 등 여러 업종을 가리지 않는다. 공격한 기업 문서 일부를 공개해 지정한 시한 내까지 돈을 줄 것을 요구하고, 맞춤형 협상 채널을 개설한다.

이런 행위들은 기존 대형 랜섬웨어 서비스(RaaS) 집단과 차이가 있다. 기민하고 유연한 범위 확장과 심리적 압박을 통한 협상 극대화 전략을 펼친다.

2. 인프라 직접 운영, 협력 모델 선별 도입
드래곤포스의 가장 큰 특성은 자체 운영 인프라다. 토르(Tor) 기반 여러 .onion 도메인을 활용해 각 타깃별 전용 데이터 포털과 협상 시스템을 분리 구축한다. 탈취한 데이터는 디렉토리 구조로 공개해 심리적 압박감을 높인다.

협상 창구로는 탈중앙·암호화 메신저(qTox)를 활용한다. 기록이 남지 않도록 타사 패널이나 공유 대시보드를 이용하지 않는다. 이들의 운영 방식은 기존 RaaS 연합 형태에 비해 자기 주도성, 익명성, 통제력을 극대화한다.

드래곤포스는 2023년 하반기부터 다크웹 유명 포럼에서 활동하며 브랜드 인지도를 쌓았다. 그러면서 신생 협력 모델을 선별 도입했다. 기존 랜섬웨어 조직의 양상이나 협박 금액 시세를 쫓기보다는 협상, 유출, 인프라 운영까지 직접 통제한다. 특히 외부 노출을 최대한 제한하는 일관된 전략을 펼친다.

3. 내부 유출, 탐지, 선제보안 등 대응해야
지난 3월, 브리치포럼(BreachForums)과 다크웹서 드래곤포스 내부 채팅, 서버 환경 파일, 협상 대화록 등이 유출된 정황이 확인됐다. 이를 두고 경쟁 조직, 내부자, 구조적 허점이 원인이란 의혹이 제기됐다. 당시 암호화 메신저 협상 내역과 환경 정보까지 흐릿하게 노출돼 그룹 익명성과 대응 체계가 시험대에 올랐다. 하지만 여전히 활발한 공격으로 전 세계 기업을 노린다.

스텔스모어는 "드래곤포스는 대형 랜섬웨어 연합과 달리, 인프라 자립·직접 협상·선별적 협업 등 독자 전략을 펼치며, 위협한다"며 "타깃 범위와 심리적 압박, 내부 유출 등 복합 징후는 새로운 유형의 디지털 위험 신호로 인식되고 있다. 조직적이고 일관성 있는 위협 프로파일링과 토르 기반의 미공개 악성코드를 실시간 식별·차단이 중요하다"고 당부했다.

이어 "사용자 행동, 포럼 신호, 인프라 로깅 등 다층적 신호를 통합해야만 드래곤포스와 같이 확산형·은닉형 조직의 실체와 변화에 선제 대응할 수 있다"며 "2025년 랜섬웨어는 조용하고, 집요하다. 다층화된 탐지와 선제적 대응 역량이 필요하다"고 강조했다.

Related Materials

• Data Leakage 2024+, 2024년
• The CyberThreat Report, June 2024, 2024년
• Global Threat Landscape Report 2H 2023, 2023년

″뛰는 놈 위에 나는 놈”, 해킹 빌미로 비트코인만 가로채는 다크웹 ‘활개’

💡Editor Pick - 정교하게 짜인 구조로 돈만 가로채는 사기 다크웹 ‘활개’ - 오컬트·해킹·금융사기 등 제공한다며 비트코인만 가로채 잠적 - 이메일·비트코인 주소 재사용, 저렴·고효율 사이버 범죄 지속 최근 정교하게 짜인 다크웹 인프라가 발견됐다. ‘시크릿 히든 그룹(Secret Hidded Group)’ 조직은 오컬트, 해킹 서비스, 금융사기 등 서비스

The Tech EdgeCheifEditor

IS, 다크웹서 무서운 속도로 확산 전략 펼쳐

💡Editor Pick - IS, 다크웹서 선전 자료 유출, 정보 확산 등 인프라 구축 - 표적 수사 피하기 위해 디지털 자금 치밀하게 설계 - IS추적 연구원 문서 유출...정보전의 또 다른 단면 - 다크웹, 정보전의 또 다른 전선...다크웹 생태계의 이중적 위험성 IS가 다크웹을 거점으로 선전 자료를 퍼뜨리며, 암호화폐와 텔레그램 등을

The Tech EdgeCheifEditor

[단독] 다크웹, 지우병원 개인정보 1000달러 판매글 올라와

💡Editor Pick - 해커, 지난 26일 다크웹에 지우병원 개인정보 1000달러 판매글 올려 - 지우병원 외에도 4월 최신 이력서 800만개 보유 주장 판매 다크웹에 지우병원 개인정보 판매 게시글이 올라온 정황이 포착됐다. 지우병원이 랜섬웨어 공격을 받아 개인정보가 유출됐다고 공지한 만큼, 사건 연관성도 주목된다. 해커는 지난 26일 오전 7시 8분경 다크웹에 지우병원 개인정보

The Tech EdgeCheifEditor