반년 넘게 휴식한 친러 랜섬웨어 조직, 마스터 키를 같이 배포

친러 성향을 가진 랜섬웨어 조직인 사이버포크(CyberVolk)가 활동을 재개했다. 2025년 상반기 대부분의 시간을 조용히 지내더니, 8월에 다시 나타난 것이다. 반년 좀 넘는 시간 동안 사라진 줄 알았던 공격 단체가, 사실은 ‘컴백’을 준비하고 있었다고 볼 수 있다. 보안 기업 센티넬원(SentinelOne) 지난 4개월(8월부터 현재까지) 추적한 결과를 발표했다.

사이버포크는 8월에 나타나면서 포크락커(VolkLocker)라는 랜섬웨어 서비스를 시작했다. 자신들의 랜섬웨어를 다른 공격자들에게 빌려주고, 공격 수익을 나눠 갖는 형태의 수익 모델인 RaaS를 새롭게 런칭한 것으로, 이 일은 오직 텔레그램 내에서만 이뤄졌다. 즉 다크웹에 숙련되지 않은 자라도 얼마든지 사이버포크의 고객이 될 수 있었다는 의미다.

하지만 너무 오래 쉬었던 것일까. 사이버포크는 중대한 실수를 저질렀다. “코드를 디버깅하는 과정에서 한눈을 팔았습니다. 그래서 마스터 키까지 통째로 실행파일 안에 하드코딩을 해버렸어요. 즉 포크락커에 감염돼 파일이 암호화 된다 하더라도, 이 마스터 키를 가지고 간단히 원상복구시킬 수 있습니다.” 센티넬원의 설명이다. 마스터 키는 랜섬웨어로 암호화 된 파일을 복호화 하는 데 사용되는 결정적인 요소다. 아직 사이버포크는 이러한 사실을 모르는지, 수정을 하지 않고 있다.

사이버포크? 

처음 사이버포크는 친러 성향의 핵티비스트 단체로 오인됐다. 2024년 이들이 처음 등장했을 때 러시아에 적대적인 국가나 단체들을 공략했기 때문이다. 게다가 ‘포크(Volk)’는 ‘늑대’라는 뜻의 러시아어이기도 하다. 당시 사이버아미오브러시아(CyberArmyofRussia)나 노네임057(16)(NoName057(16))과 같은 친러 핵티비스트들이 활동하고 있기도 했다.

그러나 뭔가 다르다는 게 금방 드러났다. 친러 핵티비스트들은 주로 적대적 세력들을 마비시키는 데에 그쳤기 때문이다. 즉 디도스 공격으로 적을 성가시게 만들면서 자신들의 메시지를 전달하는 게 핵티비스트들의 기본 생리인데, 사이버포크는 랜섬웨어 공격을 하기 시작한 것이다. 핵티비스트들은 자신들의 목소리를 세상이 듣게 하는 걸 최우선 목표로 삼는데, 랜섬웨어 공격자들은 돈을 우선시 한다. 따라서 핵티비스트와 랜섬웨어 공격자는 똑같이 ‘해커’ 범주 안에 들어가지만 상호 궁합이 좋은 건 아니다.

그렇다고 사이버포크가 돈만 노리는 여느 랜섬웨어 그룹과 비슷한 것도 아니었다. 왜냐하면 자신들의 메시지를 크게 노출시키는, 핵티비스트 유형의 공격도 같이 했기 때문이다. “게다가 여러 정황상 사이버포크는 노네임이나 사이버아미 등 기존 친러 핵티비스트들과도 친분이 있는 것으로 추정됩니다.”

포크락커?

올해 8월 오랜 침묵을 깨고 등장한 사이버포크는 포크락커라는 랜섬웨어를 손에 쥔 상태였다. 포크락커는 고 언어로 작성되었으며, 리눅스와 윈도 기반 기기들에서 모두 실행되는 멀웨어였다. 이걸 대여해 간 해커는 비트코인 주소, 텔레그램 봇 토큰 ID, 텔레그램 쳇 ID, 암호화 기한, 원하는 파일 확장자, 자가 삭제 옵션 등을 설정한 후 공격을 실시하면 됐다. 

“사이버포크 측은 자신들의 고객을 텔레그램으로 지원해주기도 합니다. 기본 C&C도 텔레그램에 마련돼 있고, 바로 여기서 피해자들과의 대화가 이뤄지기도 합니다.” 센티넬원 측의 설명이다. “텔레그램에 대한 의존도가 매우 높은 RaaS라는 겁니다.” 

텔레그램 의존도를 높인 건 앞서 말한 것처럼 ‘초보 사이버 범죄자들의 진입장벽을 낮추는 것’과 더불어, ‘자동화 기술 활용’을 위해서이기도 하다. “게다가 텔레그램의 봇 기능과 API를 이용하면 여러 가지를 자동으로 전환할 수 있습니다. 운영자가 직접 서버 구축을 할 필요가 없고, 웹 패널이나 복잡한 인프라를 확보할 필요도 없습니다. 봇을 생성함으로써 공격을 자동화 명령으로 진행할 수 있기도 합니다. 이 모든 걸 강력한 익명화 제도 아래 보호 받으면서 할 수 있습니다.”

대여료는 얼마인가?

센티넬원이 추적했을 때 사이버포크는 단일 OS만 공략할 수 있는 랜섬웨어의 경우 800~1100 달러에 판매하고 있었다고 한다. “하지만 리눅스와 윈도 모두와 호환되는 랜섬웨어를 대여하려면 1600~2200 달러를 지불해야 합니다. 그 외에 독립형 RAT이나 키로거 등 다른 종류의 멀웨어 및 공격 도구도 판매하는데, 개당 500달러 정도 합니다.”

하지만 마스터 키를 실행파일 내에 삽입해 두었다는 최악의 실수를 저질렀다면, 이 가격을 다 받는 게 힘들지 않을까? 아직까지는 할인과 관련해 별 다른 움직임이 없는 것으로 파악되고 있다. “마스터 키가 하드코딩 됐다는 게 널리 소문 나도 살 사람은 여전히 포크락커를 살 겁니다. 왜냐하면 일반 피해자들 중 ‘마스터 키가 하드코딩 됐다’는 게 무슨 의미인지, 그것을 어떤 식으로 활용해야 랜섬웨어에서부터 풀려날 것인지 이해하는 사람이 적기 때문입니다. 이해한다 하더라도 그 마스터 키를 어떻게 추출해서, 암호화 된 파일을 어떻게 복호화 해야 하는지 아는 사람은 더더군다나 드뭅니다.”

안타깝지만 일반인이 랜섬웨어 샘플에서 복호화 키를 추출하는 것은 물론, 그것을 가지고 파일을 복호화 하는 것 모두 직접 하는 것은 위험할 수 있다. 따라서 회사의 보안 및 IT 담당자나, 외부 보안 전문 기업에 도움을 요청하는 게 가장 현실적인 대책이다. 🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• [1] Ransomware Groups Demystified: CyberVolk, Rapid7, 2024년
• [2] 'CyberVolk' Hacktivists Use Ransomware in Support of Russian Interests, The Record by Recorded Future, 2024년
• [3] Pro-Russian Hacktivists Launch Branded Ransomware-as-a-Service, Infosecurity Magazine, 2024년
• [4] CyberVolk Team – Pro-Russian Hybrid DDoS and Ransomware Operations, Orange Cyberdefense Cyber Intelligence Bureau, 2024년

랜섬웨어 흉내만 내는 새 안드로이드 멀웨어, 드로이드록

💡Editor’s Pick - 랜섬웨어는 아닌데, 랜섬웨어의 모든 특징 가지고 있어 - 파일 암호화 기능만 빠져...피해자가 느끼는 압박감은 같아 - 금전 요구가 진짜인지 허풍인지는 아직 확인 어려워 안드로이드 생태계를 위협하는 멀웨어가 새롭게 등장했다. 보안 기업 짐페리움(Zimperium)이 발견한 것으로, 이름은 드로이드록(DroidLock)이라고 한다. 이것에 감염되면 사용자는 자신의 휴대폰에

The Tech Edge문가용 기자