카르마의 그 끝없는 경제속으로

# Embargo 랜섬웨어 그룹, 암호화폐 렌섬 3,400만 달러 획득으로 사이버범죄계 주목받아

**새로운 위협 세력의 등장과 놀라운 성과**

최근 사이버보안 업계에 충격적인 소식이 전해졌다. 올해 4월부터 활동을 시작한 비교적 새로운 랜섬웨어 그룹인 Embargo가 불과 10개월 만에 약 3,420만 달러 상당의 암호화폐를 랜섬 요금으로 획득한 것으로 블록체인 정보 분석 회사 TRM Labs의 최신 보고서를 통해 밝혀졌다. 이는 사이버범죄계에서 새로운 강자가 등장했음을 시사하는 놀라운 수치다.

**Embargo의 정체와 운영 방식**

Embargo는 랜섬웨어-서비스형(RaaS) 모델로 운영되며, 미국 전역의 중요 인프라를 겨냥한 공격을 수행하고 있다. 이 그룹은 2024년 6월 ESET에 의해 처음 관찰되었으며, MDeployer라고 불리는 로더와 MS4Killer라는 엔드포인트 탐지 및 대응(EDR) 킬러로 구성된 새로운 툴킷을 보유하고 있다.

전문가들은 Embargo가 과거 악명 높았던 BlackCat/ALPHV 랜섬웨어 그룹의 후계자일 가능성이 높다고 분석하고 있다. 이는 공격 패턴과 기술적 특징에서 유사점이 발견되기 때문이다. RaaS 모델의 특성상 Embargo는 자체적으로 공격을 수행하기보다는 다른 사이버 범죄자들에게 랜섬웨어 도구와 인프라를 제공하고, 성공한 공격에서 일정 비율의 수익을 분배받는 방식으로 운영된다.

**글로벌 랜섬웨어 시장의 현황**

Embargo의 급부상은 2024년 전체 랜섬웨어 시장의 복잡한 흐름 속에서 더욱 주목할 만하다. 2024년 상반기에는 Dark Angels 그룹이 기록적인 7,500만 달러의 랜섬 지불을 받는 등 몇 차례 대규모 지불 사례가 있었다. 그러나 2024년 1월부터 6월까지 랜섬웨어 공격자들이 갈취한 총액은 4억 5,980만 달러로, 2023년 같은 기간보다 약 2.38% 증가했다.

특히 주목할 점은 다른 주요 랜섬웨어 그룹들의 동향이다. 러시아 국적의 드미트리 호로셰프가 운영한 것으로 추정되는 LockBit 랜섬웨어 그룹은 전 세계적으로 2,500명 이상의 피해자를 공격했으며, 이 중 약 1,800명이 미국 내 피해자였고, 최소 1억 5,000만 달러의 암호화폐 랜섬을 수집했다고 미국 국무부가 발표했다.

**정부의 대응 노력과 성과**

미국 정부는 랜섬웨어 그룹들에 대한 강력한 대응을 지속하고 있다. 최근 텍사스 달라스의 FBI가 Chaos 랜섬웨어 그룹의 한 구성원으로부터 20개의 비트코인(약 240만 달러 상당)을 압수하는 성과를 거두었다. 또한 미국 재무부 해외자산통제실(OFAC)이 러시아 랜섬웨어 그룹들과 기타 사이버 범죄 조직들의 자금을 세탁한 PM2BTC와 Cryptex라는 두 암호화폐 거래소에 제재를 가했다.

정부의 이러한 노력은 상당한 성과를 보이고 있다. Colonial Pipeline 사건과 관련된 DarkSide 그룹에 대한 수사에서도 성과가 있었으며, 이러한 지속적인 단속과 제재는 랜섬웨어 생태계에 압박을 가하고 있다.

**암호화폐와 랜섬웨어의 밀접한 관계**

랜섬웨어 그룹들이 암호화폐를 선호하는 이유는 명확하다. 암호화폐의 익명성과 국경을 초월한 전송 능력은 범죄자들에게 매력적인 도구가 되고 있다. TrickBot 악성코드와 연관된 사이버범죄로만 7억 2,400만 달러 상당의 암호화폐 도난과 갈취가 발생하는 등, 암호화폐를 이용한 사이버범죄의 규모는 계속 확대되고 있다.

그러나 동시에 블록체인 기술의 투명성은 수사기관들이 범죄자들을 추적하는 데 도움을 주고 있다. TRM Labs와 같은 블록체인 분석 회사들은 거래 패턴을 분석하여 범죄 조직들의 자금 흐름을 추적하고 있으며, 이는 법 집행기관의 수사에 중요한 정보를 제공하고 있다.

**사이버보안 업계의 대응 전략**

Embargo와 같은 새로운 위협에 대응하기 위해 사이버보안 업계는 다각도의 노력을 기울이고 있다. 특히 랜섬웨어 그룹들이 사용하는 고급 기술들, 예를 들어 엔드포인트 탐지 시스템을 우회하는 기술이나 다중 갈취 전략 등에 대한 연구가 활발히 진행되고 있다.

기업들은 더욱 포괄적인 보안 전략을 수립하고 있으며, 이는 단순한 기술적 방어를 넘어서 직원 교육, 백업 시스템 강화, 사고 대응 계획 수립 등을 포함하고 있다. 또한 사이버 보험의 중요성도 더욱 부각되고 있으며, 많은 기업들이 랜섬웨어 공격으로 인한 피해를 최소화하기 위한 보험 상품에 관심을 보이고 있다.

**미래 전망과 우려사항**

Embargo의 급속한 성장은 랜섬웨어 생태계가 여전히 활발하고 진화하고 있음을 보여준다. 전문가들은 이 그룹이 향후 더욱 정교한 공격 기법을 개발하고, 더 많은 피해자를 겨냥할 것으로 예상하고 있다. 특히 AI 기술의 발전이 랜섬웨어 공격의 자동화와 효율성을 높일 수 있다는 우려도 제기되고 있다.

한편, 정부와 민간 부문의 협력이 더욱 중요해지고 있다. 랜섬웨어는 단순히 개별 기업의 문제가 아니라 국가 차원의 보안 위협으로 인식되고 있으며, 이에 대한 종합적이고 체계적인 대응이 필요한 상황이다.

**결론**

Embargo 랜섬웨어 그룹의 3,420만 달러 암호화폐 획득 사건은 사이버범죄의 지속적인 진화와 위협을 보여주는 대표적인 사례다. 이는 단순히 하나의 범죄 조직의 성공을 넘어서, 전체 사이버보안 생태계가 직면한 도전과제를 상징적으로 보여준다. 정부, 기업, 그리고 개인 모두가 이러한 위협에 대한 경각심을 갖고, 적극적인 대응 방안을 마련해야 할 때이다. 특히 암호화폐의 역할과 규제 방안, 국제 공조의 강화, 그리고 기술적 대응 능력의 향상이 앞으로의 핵심 과제가 될 것으로 전망된다.