단속에 움츠렸던 록빗, 새 랜섬웨어 들고 복귀...킬린-드래곤포스와 제휴

[보안뉴스 김형근 기자] 대대적 단속으로 활동이 위축됐던 대형 랜섬웨어 그룹 록빗이 복귀하고, 이들이 킬린 및 드래곤포스 등 다른 대형 랜섬웨어 조직과 연합하는 등 최근 사이버 위협 생태계에 변화가 일고 있다.

사이버 보안 기업 렐리아퀘스트는 최근 발간한 ‘2025년 상반기 랜섬웨어 및 사이버 갈취 현황’ 보고서에서 이 연합이 랜섬웨어 공격의 효율성을 높이기 위한 재정적 동기에서 비롯됐다고 분석했다.


▲록빗 및 킬린과 제휴를 알리는 드래곤포스의 다크웹 공지[자료: 렐리아퀘스트]

특히 이번 협력은 지난해 당국의 대대적 단속으로 인프라를 압류당하고 위상이 추락했던 록빗의 복귀 직후에 이뤄진 것이라 더 주목된다. 록빗은 자신들이 사용하는 랜섬웨어 최신 버전인 ‘록빗 5.0’도 새롭게 공개했다.

이 동맹은 기술과 자원을 공유함으로써 각 랜섬웨어 그룹의 운영 능력을 대폭 강화할 것으로 예상된다.

락빗은 전성기 때 세계적으로 2500건 이상의 피해를 냈고, 5억 달러가 넘는 몸값을 챙긴 것으로 추산된다. 2024년 세계 주요 사법 당국이 협력한 ‘크로노스 작전’으로 큰 타격을 입었다.

동맹의 한 축인 킬린은 최근 가장 활발한 활동을 보이는 조직으로, 2025년 3분기에만 200건이 넘는 공격을 벌였다. 특히 주로 북미 기반 조직을 표적으로 삼았다.

이 3개 집단의 연합이 록빗의 추락했던 신뢰도를 회복시키고, 주요 인프라에 대한 공격 급증으로 이어질 가능성이 높다는 우려가 나온다.

렐리아퀘스트는 보고서에서 "록빗이 사이버 범죄자들 사이에서 신뢰를 회복한다면, 재무적 동기와 과거 사법 기관의 단속에 대한 복수심에 힘입어 주도적 랜섬웨어 위협으로 다시 부상할 수 있다”고 밝혔다.


▲데이터 유출 사이트 수 증감 추이 [자료: 렐리아퀘스트]

랜섬웨어 시장의 성장은 데이터 유출 사이트의 증가에서도 확인된다. 2024년 초 51개였던 데이터 유출 사이트 수는 현재 81개로 늘었다. 전문 직역 및 과학, 기술 서비스 분야 기업들이 가장 큰 피해를 입었으며, 제조업과 건설, 의료, 금융 등 다양한 분야가 연이어 표적이 되고 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>