Security

구소련 국가 공격 않던 블랙수트 랜섬웨어, 국제 공조로 폐쇄

문가용 기자

28 Jul 2025 — 6 min read

💡

Editor's Pick
- 체크메이트 작전으로 블랙수트 랜섬웨어 공격 인프라 압수
- 블랙수트는 로얄 랜섬웨어의 후신...둘 다 CIS 공격 삼가
- 주요 인물 체포되지 않아 부활 가능성 높아

악명 높은 랜섬웨어 그룹인 블랙수트(BlackSuit)가 국제 공조로 당분간 활동을 못하게 됐다. 일명 체크메이트작전(Operation Checkmate)에 당한 것이다. 블랙수트가 사용해 왔던 사이트와 서버들이 압수당했고, 이들이 피해자들로부터 빼앗았던 데이터들도 일부 회수한 것으로 알려져 있다. 이 데이터들은 조만간 주인들에게 돌아갈 예정이다.

블랙수트는 2023년 봄에 처음 등장한 랜섬웨어 단체다. 병원, 학교, 기업, 정부 기관 등 수많은 조직들에 침투했고, 이중 협박이라는 작전을 통해 적잖은 돈을 갈취해 왔다. 이중 협박이란, 데이터를 암호화 한 것과 외부로 빼돌린 것 두 개를 가지고 피해자를 협박하는 것을 말한다. 암호화한 데이터를 백업으로 살린다 하더라도 공격자들이 훔쳐간 정보를 공개한다고 하면 피해자는 돈을 낼 수밖에 없게 된다. 이 전략이 개발된 후 랜섬웨어 산업은 가파른 성장곡선을 그리기 시작했다.

블랙수트는 로얄(Royal)이라는 랜섬웨어의 후신으로 추정되고 있다. 둘 다 러시아와 밀접한 관련이 있는 CIS 국가들은 공격하지 않는다는 공통점을 가지고 있다. CIS란, 소련 붕괴로 인해 독립 국가가 된 구 소련 공화국들의 연합체다. 러시아의 해커들 중 CIS를 공격하지 않는 자들이 많은 것으로 알려져 있다. 따라서 블랙수트도 러시아나 그 인근 국가에 근거지를 마련하고 있을 것으로 의심돼 왔다.

블랙수트는 콘티(Conti)라는 유명 랜섬웨어 조직과도 연계되어 있는 것으로 보인다. 하지만 로얄처럼 직접적으로 관련이 있지는 않다. 콘티와는 어느 정도 협조 체계를 유지한 것 정도로 추정되고 있으나, 지금은 콘티가 사라져 정확한 내용을 알기가 힘들다. 로얄의 경우 2022년부터 2023년까지 5억 달러의 수익을 거둘 정도로 실력이 좋고 악독한 단체였다. 그러다가 갑자기 블랙수트로 스스로를 개명했다.

체크메이트작전에는 미국의 국토안보부와 연방수사국, 유로폴, 영국 국가범죄수사청, 독일, 우크라이나, 리투아니아, 캐나다의 사법 기관들이 참여했다. 보안 업체 비트디펜더(Bitdefender)가 중요한 역할을 수행하기도 했다.

하지만 이 작전 성공으로 인해 블랙수트가 역사에서 완전히 사라질 것이라고 보는 보안 전문가는 없다. 주요 인물들에 대한 체포도 이뤄지지 않았기 때문에 언제고 다른 이름으로 다시 나타날 수 있기 때문이다. 실제 국제 공조로 공격 인프라가 완전히 폐쇄된 수많은 해킹 조직들이 몇 달 지나지 않아 사업을 재개하는 건 흔한 일이다. 보안 업체 시스코(Cisco)의 탈로스(Talos) 팀은 얼마 전 발표한 보고서를 통해 “이미 블랙수트 멤버 일부가 카오스(Chaos)라는 랜섬웨어 사업을 시작했다”고 알린 바 있다.

카오스는 이미 2월부터 활동을 시작했다. 로얄이나 블랙수트와 마찬가지로 이중 협박 작전을 구사하며, 윈도, ESXi, 리눅스, NAS를 집중적으로 노리고 있다. 공격 인프라를 새로 준비해야 하는 블랙수트가 카오스로 죄다 이주해 다시 나타나도 이상할 것은 없는 상황이다. 이번 작전에 참가한 기관들은 “그럼에도 랜섬웨어 산업과의 싸움에서 일궈낸 값진 승리”라고 표현하고 있다. 사이버 공격가는 체포되지 않는다는 관념이 조금씩 깨져가는 중이라는 점에서도 이번 공조 소식은 의미를 갖는다.