“랜섬웨어도 서비스로?” DragonForce와 Anubis의 진화된 수익 모델 🧠💸

랜섬웨어가 기업 보안을 위협하는 건 어제오늘 일이 아니죠. 하지만 최근 들어 그 방식이 점점 더 기업형, 그리고 정교한 마케팅 전략까지 더해지고 있다는 사실, 알고 계셨나요?

이번 포스팅에서는 Secureworks가 발표한 내용을 바탕으로,
RaaS(Ransomware-as-a-Service) 모델의 새로운 진화, 특히 DragonForce와 Anubis의 전략에 대해 정리해봤습니다.

---

🛠️ RaaS, 랜섬웨어의 SaaS 모델?

RaaS는 말 그대로 랜섬웨어를 서비스처럼 판매하는 방식이에요.
위협 행위자(운영자)가 필요한 툴과 인프라를 제공하면,
이를 이용한 '가맹 공격자(affiliate)'가 공격을 수행하고 수익을 나누는 구조죠.

이 모델의 가장 무서운 점은 무엇일까요?
✅ 기술력이 부족한 사람도 손쉽게 공격자가 될 수 있다는 점입니다.

---

🐉 DragonForce: “우리 인프라만 쓰고, 랜섬웨어는 네가 정해”

DragonForce는 원래 전통적인 RaaS 형태로 2023년 8월 처음 등장했는데요,
2024년 3월에는 “카르텔” 모델로 리브랜딩하며 흥미로운 제안을 내놓았습니다.

"랜섬웨어는 우리가 제공한 거 안 써도 돼. 대신 우리 인프라만 이용해."

이 말은 곧, 자신의 악성코드를 직접 만든 공격자도 DragonForce의 시스템을 활용할 수 있다는 뜻입니다.

DragonForce는 다음과 같은 인프라를 제공합니다:

• 관리자 및 피해자 대응 패널
• 암호화 및 협상 툴
• 파일 저장 시스템
• Tor 기반 유출 사이트
• .onion 도메인
• 고객(?) 지원 서비스

이건 마치, 공격자를 위한 매니지드 서비스 플랫폼 같죠? 😨

---

🐍 Anubis: 선택 가능한 3가지 가맹 모델

Anubis는 2024년 2월부터 3가지 가맹 모델을 제안하기 시작했어요:

1. 전통적인 RaaS 모델
   👉 가맹 공격자는 랜섬의 80%를 가져감
2. 데이터 랜섬 모델
   👉 도난 데이터 기반 협박, 가맹자는 60% 수익
3. 접근 권한 수익화 모델
   👉 이미 침해한 시스템의 데이터 수익화, 수익의 50% 제공

여기서 흥미로운 점은 바로 ‘데이터 랜섬’ 모델입니다.
단순 협박이 아니라, 마치 콘텐츠 마케팅 전략처럼 운영돼요.

피해자 데이터를 분석해 ‘심층 리포트’를 Tor 사이트에 비공개로 게시 →
피해자에게 링크 제공 → 미지불 시 해당 리포트를 전면 공개 + SNS 통해 고객/규제기관에도 통보 🤯

이건 단순 협박을 넘어, 압박과 공포를 체계적으로 조성하는 전략이라고 볼 수 있습니다.

---

🧠 그들은 왜 이렇게 ‘진화’할까?

Secureworks는 이렇게 말해요:

“이런 변화는 법 집행기관의 단속이나 피해자의 지불 감소 등 환경 변화에 적응하려는 시도입니다.
더 많은 가맹 공격자를 끌어들이기 위한 전략이죠.”

즉, 그들도 하나의 사업체처럼 시장의 흐름에 따라 모델을 바꾸고 있는 것입니다.

과거 Maze 그룹이 피해자를 ‘고객’이라 부르며 ‘보도자료’를 냈던 것처럼,
지금의 랜섬웨어 그룹들은 자신들을 진지한 ‘기업’처럼 브랜딩 중이에요.

---

🛡️ 우리는 어떻게 대응해야 할까?

이런 진화된 위협에 대응하려면 기업도 함께 ‘진화’해야겠죠.
Secureworks는 다음과 같은 방어 전략을 추천합니다:

• 인터넷 노출 시스템 정기 패치
• 피싱 저항형 다중 인증(MFA) 도입
• 백업 체계 구축 및 복원 테스트
• 엔드포인트 탐지 및 네트워크 감시
• 사고 대응 계획 수립 및 정기 점검

또한, 조직 내부에서는
✅ RaaS의 구조
✅ 공격자의 마케팅 전략
✅ 데이터 유출 및 2차 피해 가능성
등에 대한 보안 인식 교육도 병행돼야 해요.

---

✍️ 마무리하며

이젠 단순한 ‘해커’가 아니라,
마케팅 전략도, 파트너십도 운영하는 사이버 범죄 스타트업과 싸우고 있는 셈입니다.
그들이 ‘기업’처럼 운영된다면,
우리는 더 철저한 ‘보안 경영’으로 맞서야겠죠. 🧩ㄴ