Security

도원결의 맺은 랜섬웨어 조직들: 록빗, 킬린, 드래곤포스

문가용 기자

Published: 10:34, 09 Oct 2025 (Updated: 18:31, 09 Oct 2025)

💡

Editor's Pick
- 손잡은 록빗, 킬린, 드래곤포스...영향력 강화
- 록빗은 무너진 이름값 회복...킬린은 강력한 경쟁자 견제
- 드래곤포스는 리더 자처...카르텔 모델 강화 중

대형 랜섬웨어 조직 3개가 손을 잡았다. 록빗(LockBit), 킬린(Qilin), 드래곤포스(DragonForce)라는 악명 높은 그룹들로, 이번 전략적 동맹을 통해 랜섬웨어 생태계를 사실상 장악하려는 것으로 보인다. 주요 랜섬웨어 단체 셋이 대대적인 동맹을 맺기로 결정한 것을 발표까지 한 것은 이번이 처음이라, 방어자 입장에서 어떤 의미가 될지에 귀추가 주목된다.

보안 업체 렐리아퀘스트(ReliaQuest)는 이러한 상황에 대해 따로 보고서를 발표하면서 “돈을 목표로 하고 있는 사이버 공격자들이 자신들의 악성 행위를 보다 위협적으로 가다듬고 향상시키는 맥락에서 전략적 동맹이라는 방법까지 도모하고 있다”고 분석했다. “아직까지 이 파트너십이 어떤 식으로 우리를 위협할지는 알 수 없으나, 각 조직이 가진 위협의 수위가 훨씬 높아질 것으로 예상됩니다.”

록빗이 가져갈 이득
록빗의 경우 구체적인 이득을 취할 수 있을 것으로 보인다. 지난 해 사법 기관의 작전 수행으로 록빗은 큰 피해를 입으면서 시장 내 신뢰도가 급격히 하락했기 때문이다. 다크웹 시장에서 ‘사법 기관에 당했다’는 건 매우 치명적인 결함이 된다. 그런 이력을 가진 조직들은 기피 대상이 되며, 따라서 사업적 확장에 큰 어려움을 겪는다. 그래서 한 번 당한 조직들은 ‘더럽혀진’ 기존 이름을 버리고 새 이름으로 활동을 재개하는 편이다. 록빗은 이름은 그대로 유지한 채 다른 유명 조직의 명성에 힘입어 신뢰도를 회복하려는 것으로 보인다.

💡

여기서 잠깐!
록빗은 2024년 2월 유로폴과 영국, 캐나다, 일본 등 여러 나라 사법 기관들의 공조로 큰 타격을 입었다. 이를 ‘크로노스 작전(Operation Cronos)’이라고 한다. 당시 록빗은 주요 서버와 공격 인프라를 압수 당했고, 여기서부터 내부 대화 로그와, 사업 운영 관련 정보를 빼앗기기도 했다. 일부 주요 멤버들이 체포되기도 했다. 남은 멤버들이 록빗 활동을 이어가고 있으나 예전만큼의 위협은 되지 않고 있다.

킬린이 가져갈 이득
세 조직 중 킬린은 최근 가장 왕성한 활동력을 보이는 단체이며, 따라서 현 시점 가장 영향력 높은 단체라 할 수 있다. 렐리아퀘스트는 이 킬린이 올해 3분기에만 200명(혹은 단체) 이상에 피해를 입혔다고 분석한다. 다만 활동 반경이 북미 지역으로 한정되어 있는 편이며, 따라서 세계 전반에 걸쳐 킬린의 명성은 생각보다 높지 않다. 북미 지역 보안 업체들은 킬린에 대한 경고문이나 보고서를 주기적으로 내놓는 편이다.

재미있는 건 킬린이 활동력을 크게 높인 시점과, 록빗이 크로노스 작전 이후 부활한 시점(즉 록빗 5.0 등장 시점)이 비슷하다는 것이다. 다만 둘이 랜섬웨어 개발 능력이나 공격 인프라 구성력 등 ‘기술적 교류’를 맺고 있다는 증거를 찾을 수는 없다. 킬린이나 록빗이나 윈도, 리눅스, ESXi 등 다양한 환경을 공략하려는 성향을 보인다는 공통점이 있긴 하나, 이것이 상호 영향에 의한 결과라 보기는 힘들다.

주목해야 할 건 현재 시장 상황이다. 킬린은 영어권 랜섬웨어 시장에서 강력한 라이벌을 보유하고 있다. 바로 스캐터드스파이더(Scattered Spider)다. 이들은 샤이니스파이더(ShinySp1d3r)라는 ‘구독형 랜섬웨어 서비스(RaaS)’를 출시한다고 발표했는데, 이것이 킬린에는 엄청난 소식이다. 왜냐하면 영어권 사이버 범죄 조직들은 아직까지 RaaS를 출시한 적이 없기 때문이다. 즉 ‘최초 영어권 RaaS’라는 타이틀을 스캐터드스파이더가 가져가기 직전이라는 것.

킬린은 록빗 및 드래곤포스와의 동맹을 통해 스캐터드스파이더의 견제를 꿈꾸고 있는 것으로 추정된다. 최초 RaaS에, 최초 3자 동맹으로 맞서려는 것이다. 물론 이것이 충분한 효과를 발휘할 것인지는 더 두고봐야 알 수 있다.

드래곤포스가 가져갈 이득
마지막 축인 드래곤포스는 이번 동맹을 통해 무엇을 가져가려 할까? 보안 업체 바라쿠다(Barracuda)는 자사 블로그를 통해 “드래곤포스가 3자 동맹의 중추 세력임을 자처하고 있다”며 “카르텔의 리더라는 이미지를 구축하려는 것으로 보인다”고 분석했다. 셋이 카르텔 모델을 채택할 경우, 기존 협력자들이 다른 랜섬웨어 조직과도 같이 일하는 걸 반쯤 강제적으로 막을 수 있다는 장점이 있는데, 이것이 드래곤포스의 장기적 복안이라는 의미다.

그 외에도 기술적 혜택도 있을 예정이다. 록빗과 킬린의 경우 위에 언급한 것처럼 다양한 환경을 공략할 수 있는데 드래곤포스는 아직 그렇지 않다. 이들의 공격은 아직 윈도와 ESXi에만 국한돼 있다. 킬린과 록빗을 통해 리눅스 등 더 많은 환경을 공략할 수 있게 될 것으로 예상된다.

랜섬웨어 시장 전반의 변화
그 외에도 렐리아퀘스트는 총 81개 랜섬웨어 사이트를 추적 및 분석했을 때 “전문 서비스, 과학, 기술 분야의 기업들이 주요 공략 대상임을 알 수 있었다”고 밝히기도 했다. “그 다음 2위 그룹은 제조, 건설, 의료, 금융, 소매, 숙박, 교육, 엔터테인먼트”라고 꼽았다. 이런 분야에 속한 기업들이 특히 조심해야 한다는 의미다.

지역별로 봤을 때 이집트, 태국, 콜롬비아를 겨냥한 랜섬웨어 공격이 급증하고 있다는 것도 특이한 패턴이라고 렐리아퀘스트는 지적했다. “아무래도 유럽과 미국의 경우 국제 공조라든가 각종 사법 활동이 점점 정교해지고 또 빈번해지고 있다는 게 그 이유 같습니다. 공격 행위에 대한 리스크가 커지고 있다는 의미죠. 그래서 비교적 리스크가 덜한 쪽으로 시선이 옮겨가는 듯 합니다.” 하지만 그런 지역들에 대한 공격이 ‘늘어나고 있는 중’인 것 뿐이지, 피해가 가장 많이 일어나는 지역은 여전히 미국과 독일, 영국, 캐나다, 이탈리아 등 서방 국가들이라고 렐리아퀘스트는 짚는다.