Security

랜섬웨어 발전사...이중 협박 넘어 사중 협박

JustAnotherEditor

31 Jul 2025 — 5 min read

💡

Editor's Pick
- 이중 협박의 시대도 안 끝났는데 등장한 사중 협박
- 이중 협박 + 디도스 + 지인 괴롭히기 = 사중 협박
- 인공지능과 핵티비즘과의 결합도 눈에 띄어

랜섬웨어 공격자들 사이에서 이중 협박 전략이 유행한 것도 벌써 수년 째다. 아직도 유효하긴 하지만 새로울 것은 없다. 그런데 보안 업체 아카마이(Akamai)가 ‘사중 협박’이라는 전략에 대해 발표했다. 관련 내용은 ‘2025 랜섬웨어 보고서(Ransomware Report 2025)’를 통해 공개됐다. 이 보고서의 부제는 ‘변화 많은 환경 속에서 복원력 증가시키기’이다.

이중 협박 vs. 사중 협박

사중 협박을 이해하려면 먼저 이중 협박을 짚고 넘어가야 한다. 이중 협박은 이런 식으로 진행된다.

1) 랜섬웨어 공격자들이 피해자 시스템에서 파일을 복사하여 외부로 빼돌린다.

2) 충분히 빼돌렸으면 피해자 시스템 내 원본 파일들을 암호화 한다.

3) 파일이 암호화 된 걸 발견한 피해자가 공격자에게 연락한다.

4) 공격자는 돈을 내라고 한다.

5) 피해자는 데이터 복원을 포기하고 돈을 내지 않기로 결정한다.

6) 공격자는 ‘그렇다면 우리가 가지고 있는 데이터를 온라인에 공개한다’고 재차 협박한다.

7) 피해자는 여기에 응해 돈을 낸다.

그렇다면 사중 협박은 무엇일까?(순서는 공격에 따라 바뀔 수 있다.)

1) 피해자 시스템에서 파일을 복사하여 외부로 빼돌린다.

2) 원본 파일을 암호화 한다.

3) 피해자를 협박한다.(1)

4) 피해자가 응하지 않으면 먼저 네트워크를 디도스 상태로 만든다.

5) 다시 피해자를 협박한다.(2)

6) 피해자가 응하지 않으면 데이터를 인터넷에 공개하겠다고 협박한다.(3)

7) 그래도 피해자가 응하지 않으면 데이터를 분석해 친구, 파트너사, 언론 등 가까운 관계의 인물이나 조직들을 알아낸다.

8) 피해자를 직접 압박하면서 동시에 주변인들까지도 괴롭히기 시작한다. 그러면서 다시 피해자를 협박한다.(4)

협박의 수위와 가짓수가 늘어난다는 건 결국 ‘돈을 꼭 받고야 말겠다’는 공격자들의 의지가 강력해지고 있다는 의미가 된다. 아카마이는 “현대 기업들이 여러 다른 기업 및 기관들과 관계를 맺으며 사업 행위를 한다는 걸 공격자들이 잘 이용하는 모습”이라고 진단한다. “한 기업의 관계도는 점점 복잡해지고 있습니다. 그 말은 협박거리가 증가한다는 뜻이기도 합니다.”

인공지능이 여기서도...

전술만 발전하는 게 아니다. 랜섬웨어 공격자들의 기술력도 향상되고 있다. 특히 인공지능 도입률이 무섭게 늘어나고 있다는 게 아카마이의 주장이다. “생성형 인공지능과 대형 언어 모델 덕분에 랜섬웨어 공격을 실시하기에 기술적으로 부족한 이들도 강력한 해커로 변모할 수 있습니다. 사회 공학적 공격도 보다 정교해지고요. 인공지능이 공격자들의 부족한 점을 빠르게 메우고 있어 이미 블랙바스타(Black Basta), 펑크섹(FunkSec) 등 유명 조직들은 인공지능을 적극 활용하는 중입니다.”

또 하나 눈에 띄는 건 돈을 노리는 랜섬웨어 조직들과 정치적 동기를 달성하고자 하는 핵티비스트들이 손을 잡기 시작했다는 것이다. “핵티비스트 그룹들은 랜섬웨어 조직들로부터 공격 인프라와 공격 도구들을 지원 받습니다. 랜섬웨어 공격자들과 비슷한 방식과 전략으로 공격을 진행하지만, 마지막에 가서는 이념적 목적을 달성한다는 점에서 다릅니다. 돈을 내라는 협박 편지를 피해자 컴퓨터에 저장해두는 게 아니라, 자신의 이념을 설파하는 쪽지를 넣어놓는 식이죠.” 이런 하이브리드형 공격의 증가 덕분에 방어 역시 더 많은 것을 고려해야만 성공할 수 있다고 아카마이는 강조했다.