2025년 최악의 랜섬웨어 그룹? '블랙럭' 등장

[애플경제 전윤미 기자] 2025년에 가장 기승을 떨 것으로 예상되는 최악의 해킹 그룹이 등장, 국내외 보안업계를 긴장하게 한다. 지난해부터 록비트(LockBit)나 바북(Babuk) 등과 같은 막강한 해킹 그룹 못지않게 극성을 부리기 시작, 금년 들어 가장 많은 공격을 퍼붓고 있는 블랙럭(BlackLock)이 문제의 집단이다.

보안 전문가들은 “블랙럭 그룹은 2025년 사이버공격 집단을 대표할 만한, 가장 극성스럽고 활발한 랜섬웨어 그룹”이라고 경계하고 있다. 특히 ‘랜섬웨어 서비스’(RaaS) 생태계에서도 가장 악질적인 해킹 집단으로 평가되고 있다. 특히 금년에는 그 어떤 랜섬웨어 그룹보다 기승을 떨면서 내년 이후에까지 널리 확산될 것으로 우려되고 있다.

지난해 말, 직전 분기보다 14배나 늘어나

블랙럭은 일명 ‘엘도라도’라고 불리기도 한다. 이미 지난 2024년 말까지 데이터 유출 사이트에 게시된 게시물 수를 기준으로 7번째로 활발한 랜섬웨어 그룹으로 꼽혔다. 특히 직전의 3분기에 비해 무려 14배(1,425%)나 공격 횟수가 늘어날 정도로 폭발적인 확산세를 보이고 있다.

이에 대해 가장 면밀히 관찰해온 보안 회사 릴리아퀘스트(ReliaQuest)는 최근 블랙럭의 급속한 확산의 원인과 수법을 분석했다. 이에 따르면 블랙럭은 세계 각지에서 가장 활동적인 3대 사이버공격 집단 중 하나다. 일부 커뮤니티에선 블랙럭을 평판 측면에서 최고(최악)의 랜섬웨어 운영자로 꼽기도 한다.

릴리아퀘스트는 “블랙럭의 급속한 확산과 상승세는 빠르고 전략적인 수법 때문”이라면서 “이런 속도라면 분명 2025년에 가장 활동적인 랜섬웨어 그룹이 될 것”이라고 IT프로에 밝혔다. 블랙럭은 일단 데이터를 암호화하는 동시에, 민감한 정보를 훔치는 ‘이중 강탈’ 전술을 사용한다. 이를 통해 도난당한 정보를 유출시키겠다고 피해자들을 협박, 돈을 갈취하는 것으로 알려졌다.

이들이 동원하는 랜섬웨어는 윈도우, VM웨어 ESXi와 리눅스 환경을 주요 타깃으로 한 ‘맞춤형 무기’다. 다만 “리눅스보다 윈도우 공격용 무기가 한층 발전된 형태”라고 했다.

기존 그룹들과 달리, ‘맞춤형 맬웨어’ 자체 개발

블랙럭은 ‘그들만의 경쟁’이 치열한 사이버 해킹 세계에서 특별히 차별화된 수법을 구사하는 것으로 알려졌다. 이는 특히 릴리아퀘스트와 같은 보안업체나 전문가들이 해킹 침해 범위를 파악해낼 수 없도록 하는 여러 기능이 수두룩하다. 그래서 “우선 이를 조사하려는 연구자들이 도난된 데이터를 다운로드하지 못하도록 하는 독특한 수법을 조합, 구사한다”는 것이다. 그 때문에 일반 피해 기업들은 피해 상황을 완전히 파악하기도 전에 “몸값을 빨리 내놓으라”는 이들의 협박에 시달리는 경우가 많다.

블랙록은 이처럼 ‘맞춤형 맬웨어’를 통해 차별화된 정교함을 과시하고 있다. “이는 Qlin이나 Play와 같은 최상위 해킹 그룹들의 특징이기도 하다”는 릴리아퀘스트의 설명이다.

특히 블랙록은 Bl00dy, 드래곤포스(Dragonforce), RA World와 같은 경쟁 해킹 그룹과는 또 다른 장점을 지니고 있다. 이들 기존의 경쟁 해킹 그룹들은 막강한 바북(Babuk)이나 록비트 등에서 개발한 랜섬웨어 빌더에 의존하고 있다. 그러나 블랙럭은 자체적으로 맞춤형 맬웨어를 개발하고 있어 대조를 이룬다.

흔히 해커들이 록비트 등에서 빌려온 랜섬웨어 빌더는 사용하기는 쉽지만, 보안 전문가들이 해당 코드에 액세스해서 분석하고, 약점을 찾아 방어책을 개발하는데 어려움이 없다. 그다지 치명적인 무기로 활용하기 어렵다는 뜻이다. 그러나 블랙록의 맞춤형 맬웨어는 보안 전문가들도 최소한 소스 코드가 유출될 때까지는 대응하기 어렵다.

또한 블랙록은 공격을 처음 시작하는 수준의 기술을 위해 ‘트래퍼’로 알려진 해커들을 광범위하게 모집하고 있다. 그러나 상위 개발자를 영입할 때는 훨씬 더 신중한 자세를 보인다.

“곧 MS 엔트라 커넥트 공격”도 암시

릴리아퀘스트에 따르면 블랙록은 추후 공격할 대상을 시사하고 있다. 그 중엔 특히 마이크로소프트의 ‘엔트라 커넥트’를 악용할 의도를 노골적으로 드러내고 있다. 이미 MS의 오래된 엔트라 ID 계정에 대한 침해가 날로 심해지고 있는 현실에서 이는 더욱 경각심을 높이고 있다.

실제로 일부 블랙록 공격자들로 추정되는 사용자들 간엔 ‘엔트라 커넥트’의 동기화 메커니즘을 악용, 사용자 속성을 조작하고 온프레미스 환경을 손상시킬 수 있는 방법에 대한 연구를 공유하는 모습이 발견되기도 했다. 이는 특히 SW 공통 엑세스 그룹인 하나의 테넌트에서 여러 도메인을 관리하는 기업의 경우, 이런 공격수법에 의해 임의의 권한 상승과 네트워크 침해의 가능성이 크다는 지적이다.

이에 “기업들은 서둘러 인프라 보안을 재평가해야 하며, 특히 민감한 속성에 대한 규칙을 강화하고, 키 등록을 모니터링하고 제한하며, 조건부 액세스 정책을 시행해야 한다”는 조언이다.