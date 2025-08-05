해커들이 기존 랜섬웨어의 기능과 클라우드 기반 서비스의 접근성을 결합한 서비스형 랜섬웨어(RaaS)가 판도를 바꾸는 비즈니스 모델로 부상하고 있습니다. 이러한 움직임은 해커들이 정교한 디지털 갈취를 악의적인 의도를 가진 거의 모든 사람이 이용할 수 있는 구독 기반 경제로 전환하는 데 일조했습니다.
과거에 랜섬웨어 공격은 주로 기술적으로 숙련된 위협 행위자가 직접 멀웨어를 작성하고 피싱 또는 익스플로잇 키트를 통해 배포한 후 피해자와 직접 협상을 하는 방식으로 이루어졌습니다. 하지만 이러한 기존 모델에는 확장성 제한, 위험 노출, 광범위한 기술 세트의 필요성 등의 한계가 있었습니다.
그러던 중 RaaS 모델이 등장했습니다. 이 모델에서는 랜섬웨어 개발자가 강력한 멀웨어 도구를 만들어 실제 공격을 수행하는 고객 또는 제휴자에게 임대합니다. 개발자는 수익의 20~40%를 받고 나머지 지분은 제휴자가 가져갑니다.
이로 인해 사이버 범죄에 대한 접근성이 높아져 제한된 기술을 가진 사람들도 고급 도구를 사용하여 강력한 공격을 수행할 수 있게 되었습니다.
RaaS는 개발자로 불리는 전문 해커가 기성 랜섬웨어 도구를 만들어서 이를 사용하여 공격을 수행하는 제휴자(다른 범죄자)에게 판매하거나 임대하는 사이버 범죄 비즈니스 모델입니다. 아래 설명과 같이 여러 단계가 있습니다.
개발자 또는 운영자가 랜섬웨어 페이로드를 설계합니다. 일반적으로 다음과 같은 기능이 포함됩니다.
일부 정교한 제품군에는 웜과 유사한 확산, 샌드박스 회피, 멀티스레딩 암호화와 같은 모듈식 기능도 포함되어 있습니다.
멀웨어가 생성되면 다크넷 마켓플레이스나 비공개 포럼을 통해 패키징되어 제공됩니다. 이러한 플랫폼은 합법적인 SaaS 사이트와 유사하며 다음과 같은 기능을 제공합니다.
일부 RaaS 그룹은 제휴자의 배포 문제 해결을 돕기 위해 고객 서비스 포털을 운영하기도 합니다.
Crowdstrike에 따르면, 다크 웹 마켓플레이스에서 광고되는 RaaS 키트는 연중무휴 24시간 지원, 번들 제공, 사용자 리뷰, 포럼 및 합법적인 SaaS 제공업체가 제공하는 것과 동일한 기타 기능을 포함합니다.
제휴자는 일반적으로 랜섬웨어 개발자만큼 재능이 뛰어나지는 않지만 실제 네트워크에 대한 액세스를 통해 랜섬웨어를 확산시킬 수 있는 다른 사이버 범죄자입니다.
대규모 RaaS 운영에서는 일반적으로 제휴자 관리자 또는 채용 담당자가 모집을 담당합니다. 전담 담당자 또는 소규모 팀이 제휴자를 찾고, 검증하고, 온보딩합니다. 소규모 또는 새로 시작한 RaaS 운영에서는 일반적으로 개발자 또는 운영자가 직접 모집을 수행합니다.
모집은 Telegram이나 Jabber와 같은 비공개 메시징 플랫폼, 다크 웹 포럼, 비공개 그룹 가입 초대 등 다양한 경로를 통해 이루어지는 경우가 많습니다.
개발자는 그룹 가입을 허용하기 전에 제휴자를 신중하게 평가할 수 있습니다. 그 대가로 제휴자는 랜섬웨어, 문서 및 도구에 액세스할 수 있게 됩니다. 때로는 평판 기반 모집을 목표로 하기도 합니다. 드물게 공격자들은 가짜 IT 구인 광고나 프리랜서 플랫폼을 사용하여 사람들을 무의식적으로 모집하거나 그들의 기술을 테스트할 수 있습니다.
제휴자는 다음과 같은 여러 소스를 사용하여 랜섬웨어 배포를 처리합니다.
경우에 따라 제휴자는 데이터를 암호화하기 전에 먼저 데이터를 훔친 다음 피해자가 몸값을 지불하지 않으면 데이터를 공개하겠다고 협박하는 이중 갈취 기법을 사용하기도 합니다.
시스템이 암호화되면, 랜섬웨어는 결제 지시가 담긴 메시지를 표시합니다. 이러한 범죄자들은 일반적으로 비트코인과 같은 암호화폐를 요구합니다. 이들은 랜섬 노트 자체에 Tor 및 암호화폐 지갑 사용 방법을 포함한 자세한 단계를 제공합니다.
피해자에게는 협상 포털 링크가 제공됩니다. 이러한 포털은 일반적으로 TOR에서 호스팅됩니다. 일부 RaaS 그룹은 챗봇을 사용하여 이러한 대화를 자동화하는 반면, 일부 그룹은 가격 협상을 처리하기 위해 인간 운영자를 제공합니다.
이러한 그룹은 책임을 명확하게 구분합니다. 제휴자는 랜섬웨어 배포, 랜섬 노트 전달, 초기 커뮤니케이션 수립, 협상 처리 등의 업무를 담당합니다. 핵심 개발자 또는 개발자 팀은 포털을 호스팅하고, 결제를 확인하고, 암호 해독 키를 배포하여 백엔드를 제공합니다.
이러한 그룹은 피해자로부터 돈을 갈취하는 데 성공하면 합의에 따라 자금을 분배합니다. 합의된 금액은 개발자에게 전달되고 나머지 금액은 제휴자가 보유하게 됩니다.
RaaS가 작동하는 모델에는 여러 가지가 있습니다. 여기에는 다음이 포함됩니다.
RaaS 모델로 활동하는 가장 유명한 랜섬웨어 조직은 다음과 같습니다.
RaaS로부터 보호하려면 기업은 다음과 같은 다계층 방어 전략을 선택해야 합니다.
서비스형 랜섬웨어는 사이버 범죄에 대한 진입 장벽을 낮추어 숙련도가 낮은 공격자들도 파괴적인 캠페인을 시작할 수 있게 해줍니다. 잘 조직된 운영, 제휴 네트워크 및 수익 공유 모델을 통해 RaaS는 계속해서 빠르게 발전하고 있습니다.
이러한 위협에 대응하기 위해 조직은 사용자 교육, 정기적인 백업, EDR/XDR 사용, 위협 인텔리전스, 신속한 인시던트 대응을 포함하는 계층화된 방어 전략을 채택해야 합니다.
