Security

랜섬웨어 발전사...이중 협박 넘어 사중 협박

문가용 기자

문가용 기자

랜섬웨어 발전사...이중 협박 넘어 사중 협박
Photo by Bozhin Karaivanov / Unsplash
💡
Editor's Pick
- 이중 협박의 시대도 안 끝났는데 등장한 사중 협박
- 이중 협박 + 디도스 + 지인 괴롭히기 = 사중 협박
- 인공지능과 핵티비즘과의 결합도 눈에 띄어

랜섬웨어 공격자들 사이에서 이중 협박 전략이 유행한 것도 벌써 수년 째다. 아직도 유효하긴 하지만 새로울 것은 없다. 그런데 보안 업체 아카마이(Akamai)가 ‘사중 협박’이라는 전략에 대해 발표했다. 관련 내용은 ‘2025 랜섬웨어 보고서(Ransomware Report 2025)’를 통해 공개됐다. 이 보고서의 부제는 ‘변화 많은 환경 속에서 복원력 증가시키기’이다.

이중 협박 vs. 사중 협박

사중 협박을 이해하려면 먼저 이중 협박을 짚고 넘어가야 한다. 이중 협박은 이런 식으로 진행된다.

1) 랜섬웨어 공격자들이 피해자 시스템에서 파일을 복사하여 외부로 빼돌린다.

2) 충분히 빼돌렸으면 피해자 시스템 내 원본 파일들을 암호화 한다.

3) 파일이 암호화 된 걸 발견한 피해자가 공격자에게 연락한다.

4) 공격자는 돈을 내라고 한다.

5) 피해자는 데이터 복원을 포기하고 돈을 내지 않기로 결정한다.

6) 공격자는 ‘그렇다면 우리가 가지고 있는 데이터를 온라인에 공개한다’고 재차 협박한다.

7) 피해자는 여기에 응해 돈을 낸다.

그렇다면 사중 협박은 무엇일까?(순서는 공격에 따라 바뀔 수 있다.)

1) 피해자 시스템에서 파일을 복사하여 외부로 빼돌린다.

2) 원본 파일을 암호화 한다.

3) 피해자를 협박한다.(1)

4) 피해자가 응하지 않으면 먼저 네트워크를 디도스 상태로 만든다.

5) 다시 피해자를 협박한다.(2)

6) 피해자가 응하지 않으면 데이터를 인터넷에 공개하겠다고 협박한다.(3)

7) 그래도 피해자가 응하지 않으면 데이터를 분석해 친구, 파트너사, 언론 등 가까운 관계의 인물이나 조직들을 알아낸다.

8) 피해자를 직접 압박하면서 동시에 주변인들까지도 괴롭히기 시작한다. 그러면서 다시 피해자를 협박한다.(4)

협박의 수위와 가짓수가 늘어난다는 건 결국 ‘돈을 꼭 받고야 말겠다’는 공격자들의 의지가 강력해지고 있다는 의미가 된다. 아카마이는 “현대 기업들이 여러 다른 기업 및 기관들과 관계를 맺으며 사업 행위를 한다는 걸 공격자들이 잘 이용하는 모습”이라고 진단한다. “한 기업의 관계도는 점점 복잡해지고 있습니다. 그 말은 협박거리가 증가한다는 뜻이기도 합니다.”

인공지능이 여기서도...

전술만 발전하는 게 아니다. 랜섬웨어 공격자들의 기술력도 향상되고 있다. 특히 인공지능 도입률이 무섭게 늘어나고 있다는 게 아카마이의 주장이다. “생성형 인공지능과 대형 언어 모델 덕분에 랜섬웨어 공격을 실시하기에 기술적으로 부족한 이들도 강력한 해커로 변모할 수 있습니다. 사회 공학적 공격도 보다 정교해지고요. 인공지능이 공격자들의 부족한 점을 빠르게 메우고 있어 이미 블랙바스타(Black Basta), 펑크섹(FunkSec) 등 유명 조직들은 인공지능을 적극 활용하는 중입니다.”

또 하나 눈에 띄는 건 돈을 노리는 랜섬웨어 조직들과 정치적 동기를 달성하고자 하는 핵티비스트들이 손을 잡기 시작했다는 것이다. “핵티비스트 그룹들은 랜섬웨어 조직들로부터 공격 인프라와 공격 도구들을 지원 받습니다. 랜섬웨어 공격자들과 비슷한 방식과 전략으로 공격을 진행하지만, 마지막에 가서는 이념적 목적을 달성한다는 점에서 다릅니다. 돈을 내라는 협박 편지를 피해자 컴퓨터에 저장해두는 게 아니라, 자신의 이념을 설파하는 쪽지를 넣어놓는 식이죠.” 이런 하이브리드형 공격의 증가 덕분에 방어 역시 더 많은 것을 고려해야만 성공할 수 있다고 아카마이는 강조했다.

Read more

당신은 해킹당하지 않았다. 그러나 이미 표적이 되었다

당신은 해킹당하지 않았다. 그러나 이미 표적이 되었다

데이터 브로커가 국가안보 문제가 된 이유 개인정보에 대한 보호는 개인의 권리에 관한 문제로 여겨져 왔다. 기업이 과도한 정보를 수집하거나, 해킹으로 인해 개인정보가 유출되거나, 사용자의 동의 없이 정보가 활용되는 사건이 발생할 때마다 사회는 프라이버시 침해를 이야기했다. 그래서 개인정보 보호 역시 개인의 사생활을 지키기 위한 장치로 이해하는 경우가 많다. 그러나 데이터 브로커(

By Donghwi Shin, Jin Kwak
교통은 멈추지 않았지만 복구는 공격당했다

교통은 멈추지 않았지만 복구는 공격당했다

💡Editor Pick - LA 메트로 사건의 핵심은 복구 계층이 공격 대상이 되었다는 점 - 공격자는 백업, 가상화 관리 환경, 운영 화면의 신뢰를 흔드는 방식으로 인프라의 회복력 겨냥 - 핵심 인프라 보안은 침입 차단을 넘어, 스스로 다시 일어설 수 있는 구조를 갖추어야 함 도시의 교통망이 사이버 공격을 받았을 때, 사람들은 가장

By Donghwi Shin
사이버보안 ETF는 보안 산업을 사는 상품인가, 디지털 리스크를 사는 상품인가

사이버보안 ETF는 보안 산업을 사는 상품인가, 디지털 리스크를 사는 상품인가

💡Editor Pick - 사이버보안 ETF는 해킹 사고 증가에 단순히 베팅하는 상품인가? - 같은 사이버보안 ETF라도 CIBR은 인프라를, BUG는 순수 보안 소프트웨어를, IHAK은 기술 생태계에 초점을 맞춤 - 보안은 필수 지출이 되었지만, 사이버보안 ETF는 디지털 리스크를 자본시장이 가격화한 상품 사이버보안은 더 이상 기업이 선택적으로 집행하는 IT 프로젝트가 아니다. 클라우드 전환, 생성형

By Donghwi Shin
SD-WAN의 심장이 열린 순간 : Cisco CVE-2026-20182가 보여준 ‘신뢰된 네트워크’의 붕괴

SD-WAN의 심장이 열린 순간 : Cisco CVE-2026-20182가 보여준 ‘신뢰된 네트워크’의 붕괴

💡Editor Pick - CVE-2026-20182 취약점의 핵심은 SD-WAN Control Plane의 신뢰 붕괴 - 공격자는 네트워크가 스스로를 신뢰하는 ‘피어(Peer)’로 전환 - 중앙집중형 네트워크 운영은 효율을 높였지만, 동시에 제어권도 한곳에 집중시켰다. 기업 네트워크는 지난 수년간 급격히 바뀌었다. 과거 기업들은 본사와 지점을 MPLS 같은 전용 회선으로 연결했고, 각 지점마다 개별 라우터와 방화벽

By Donghwi Shin