Security

블랙바스타 ‘보스’, 독일과 유럽연합이 수배 시작

문가용 기자

Published: 02:06, 17 Jan 2026 (Updated: 20:24, 17 Jan 2026)

Photo by (Augustin-Foto) Jonas Augustin / Unsplash

💡

Editor's Pick
- 랜섬웨어 조직 블랙바스타, 작년 내부 정보 공개로 와해
- 공개된 정보 분석하니 내부 상황과 조직 구성원 알 수 있게 돼
- 리더인 네페코프, 한차례 체포됐다가 풀려나기도

악명 높은 랜섬웨어 조직인 블랙바스타(Black Basta)의 ‘보스’가 독일 경찰의 수배자 명단에 오르며 신상이 공개됐다. 35세 러시아인인 용의자의 이름은 올렉 예브게니예비치 네페코프(Oleg Evgenievich Nefekov)라고 하고 하며, 현재 독일 내 1순위 지명수배자다. 독일 경찰과 함께 유럽연합 측에서도 이 인물을 수배자로 지정했다.

블랙바스타

블랙바스타라는 랜섬웨어 그룹은 2022년에 처음 등장했다. 전형적인 RaaS 형태로 출발했다. 핵심 운영진이 랜섬웨어를 개발하면, 이를 외부 파트너들이 대여해 사용한 다음 수익금을 나누는 것이었다. 여러 정황상 블랙바스타는 콘티(Conti)라는 랜섬웨어 조직이 와해됐을 때 일부 구성원들이 따로 모여 결성한 단체로 보인다. 그 외에 류크(Ryuk)나 레빌(REvil)이라는 또 다른 랜섬웨어 그룹 출신들도 힘을 합한 것으로 알려져 있다.

즉, 블랙바스타는 시작부터 ‘유경험자들’이 다수 합세한 세력이었다는 것이고, 그렇기에 초기의 시행착오나 미숙함들이 전혀 없었다. 코드 품질이 좋았고, 협상 방식도 능숙했기 때문에 처음부터 주목을 받았다. 2023년과 2024년에는 전성기를 맞이했고, 2024년 록빗(LockBit)이라는 당시 1위 랜섬웨어 그룹이 몰락하면서 급부상했다. 아직 이들의 수익(즉 총 피해액)에 대해 정확히 집계된 바는 없으나 천문학적일 것으로 예상되고 있다.

독일 경찰은 이번에 네페코프를 수배하면서 “현재까지 700개가 넘는 단체가 블랙바스타의 공격을 받았으며, 2023년말까지 블랙바스타가 벌어들인 돈은 1억 달러가 넘는 것으로 추정된다”고 발표했다. 그 후 최전성기였던 2024년을 지났으니 총 수익은 그것보다 훨씬 높을 것으로 보인다.

하지만 블랙바스타는 현재 존재하지 않는다. 전성기를 지나자마자 내부에서부터 붕괴했기 때문이다. 내부 인원들끼리 나눈 대화 내용이나, 운영상 남겨졌던 각종 문서, 공격과 판매 등에 사용됐던 인프라의 세부 정보가 유출된 것이다. 아직 이 민감한 정보들이 어떤 경위로 유출됐는지는 정확히 알 수 없지만 내부의 갈등으로 인한 일부 조직원의 배신이 작용했을 것으로 추측된다. 이 사건으로 외부 파트너들 대부분이 블랙바스타와의 연을 끊었고, 현재까지 블랙바스타는 잠잠한 상황이다.

네페코프, 어떤 일 했나?

독일 경찰이 ‘수괴’라고까지 표현한 네페코프는 어떤 역할을 담당했을까? 독일 경찰에 의하면 그는 사실상의 CEO 및 총지휘관 역할을 했다고 한다. 블랙바스타를 만든 것도 이 인물이라고 한다. 즉 랜섬웨어 자체뿐만 아니라 협상 시스템과 매뉴얼, 외부 파트너 선정 및 관리 기준 등을 만들어 정착시킨 게 전부 네페코프라는 것. 심지어 어떤 조직을 공격할 것인지 최종 결정하는 것 역시 네페코프의 역할이었다고 경찰은 주장했다.

EU가 새롭게 공개한 수배자들. 1번(상단 맨 왼쪽)이 네페코프다[자료: EU 수배자 웹사이트]

“조직을 운영하면서 각자의 역할을 배정한 것 역시 네페코프였습니다. 누가 침투 공격을 실시할 것인지, 누가 거기서부터 바톤을 이어받아 횡적으로 움직일 것인지, 누가 데이터를 탈취하거나 암호화를 할 것인지, 누가 협상을 하고 누가 보조할 것인지를 전부 그가 정했다고 합니다. 심지어 새 인력을 뽑을 때도 그가 주도적으로 움직인 것으로 알려져 있습니다.” 경찰의 설명이다.

모든 시스템과 인력을 정한 뒤 일선에서 빠진 것도 아니었다. 그는 피해자와의 협상에도 종종 직접 참여했으며, 그 과정에서 피해자와 금액을 조정하거나 기한 압박을 주는 것도 수행했다고 한다. 기술만 담당한 게 아니라 랜섬웨어 운영과 조직 관리 전부에 개입한 것이라고 볼 수 있다. “각 파트너들과 내부 인원에게 돈을 준 것도 바로 네페코프입니다.”

왜 독일 경찰이?

러시아인인데 독일 경찰이 수배자로 지정한 건, 그 무엇보다 블랙바스타의 최대 피해국 중 하나가 독일이기 때문이다. 독일 기업과 기관이 블랙바스타에 자주 당해 왔으며, 따라서 독일 당국은 이를 단순 사이버 범죄가 아니라 국가 경제와 사회 안녕을 위협하는 중범죄 행위로 보고 있다. 그가 1순위 지명수배자가 된 것을 보면 그러한 독일의 스탠스를 엿볼 수 있다.

하지만 네페코프는 현재 러시아에 거주 중인 것으로 의심된다. 즉 독일의 관할권 밖에 머무르고 있다는 것이다. 사실 독일 경찰이 그를 체포할 수 없다고 할 수 있다. 다만 네페코프가 러시아 밖으로 나와 유럽연합이나 독일에서 모습을 보일 경우 곧바로 체포될 수 있다. 즉 그의 평생 행동반경이 러시아 국경 내로 정해졌다는 의미다. 이는 꽤나 큰 심리적 압박으로서 작용할 수 있다. 그는 이제 해외 여행도 못 가고, 자금이나 가족을 러시아 영토 밖으로 돌리지 못한다.

독일 경찰은 이번에 네페코프를 공개하면서 “그의 체포에 결정적 역할을 할 수 있는 핵심 정보를 찾고 있다”고 알리기도 했다. 그러면서 “익명을 보장한다”고 약속도 했다. 다만 “2025년 블랙바스타 유출 사고와 관련된 정보는 원하지 않는다”고 선을 그었다. 그 정도는 이미 경찰도 충분히 알고 있다는 뜻이다. 전문가들은 독일 경찰이 “블랙바스타 내부의 배신을 조장하고 있다”고 풀이한다.

2024년 탈출 사건

네페코프는 2024년 아르메니아에서 체포된 적이 있다. 정확한 혐의가 공개된 건 아니지만 사이버 범죄와 관련된 것일 가능성이 높다. 2024년에 그는 수배자가 아니었지만, 유럽 여러 나라의 수사 기관들은 이미 블랙바스타와 주요 구성원들에 주목하고 있었다. 아르메니아 당국이 그를 어떤 과정으로 체포했는지도 아직까지 밝혀지지는 않았다.

그런데 그가 돌연 풀려났다. 보통은 구속 상태에서 독일이나 그외 다른 EU 국가로 송환됐었어야 했는데, 아무런 이유나 설명 없이 석방된 것이다. 장기간 수감된 것도 아니고, 서방 국가의 인도 신청을 아르메니아 당국이 접수한 것도 아니었다. 그는 아무도 모르게 조용히 러시아로 돌아갔고, 그 뒤로부터 자취를 감췄다. 현재까지도 그의 정확한 위치에 대해 아는 사람은 없다.

너무나 수수께끼 같은 일이라 보안 업계는 “러시아 정부가 개입했다”고 보고 있다. 한 개인이 그렇게까지 간단하고 쉽게 한 국가의 사법 시스템에서 벗어날 수는 없다는 것이다. 게다가 아르메니아라는 국가가 러시아와 우방국이기도 하다.

이 사건은 너무나 조용히 지나갔다. 그가 잡히고 풀려난 그 모든 과정은, 그 일이 일어났을 때는 전혀 알려지지 않았다. 위에서 언급된 블랙바스타 내부 정보 유출 사고 당시 외부로 흘러나온 정보를 보안 기업 트렐릭스(Trellix)가 분석해 알아낸 사실이다. 즉 2024년 일이 2025년에 처음 알려진 것이다. 크다면 크다할 수 있는 이 사건이 이렇게까지 은밀히 처리된 것 때문에도 러시아의 개입이 의심되고 있다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)