Double Extortion의 시초, REvil·GandCrab 운영 체계 분석

Context

전통적인 Ransomware 방식은 단순 데이터 암호화와 복구 키 제공에 그침. 피해자가 백업본을 보유한 경우 협상력이 급격히 하락하는 구조적 한계 존재. 이를 극복하기 위해 데이터 유출과 암호화를 동시에 진행하는 새로운 공격 모델 필요성 대두.

Technical Solution

• 복구 키 제공과 별개로 탈취 데이터 공개를 조건으로 추가 비용을 요구하는 Double Extortion 전략 도입
• 전문성 확보를 위해 로지스틱스, 웹 디자인 등 비핵심 업무를 외주화하고 Ransomware 퀄리티 향상에 집중하는 비즈니스 모델 설계
• 표준 Anti-malware 스캐너 탐지를 회피하기 위해 전문 Cryptor 제공업체와 파트너십 체결
• Initial Access Brokerage를 통해 유효한 자격 증명과 네트워크 취약점을 구매하여 타겟 침투 효율 극대화
• 추적 회피를 위해 Bitcoin Tumbler를 통한 자금 세탁 프로세스 자동화
• 연 매출 1억 달러 이상의 기업과 사이버 보험 가입자를 타겟팅하는 Big-game-hunting 전략 수행

Impact

• GandCrab 운영 기간 중 총 20억 달러 이상의 갈취 금액 기록
• 독일 내 130건 이상의 컴퓨터 사보타주 및 3,500만 유로 이상의 경제적 피해 발생
• REvil 운영자의 디지털 지갑에서 317,000달러 이상의 암호화폐 확인
• Kaseya 공격을 통해 1,500개 이상의 기업 및 정부 기관에 영향력 행사

Key Takeaway

사이버 범죄 조직이 전문 서비스 제공업체(IAB, Cryptor 등)와 협력하는 생태계를 구축함으로써 공격의 정밀도와 성공률을 비약적으로 높인 사례. 단순 소프트웨어 보안을 넘어 공급망과 초기 진입 경로에 대한 다층적 방어 체계 구축이 필수적임.