랜섬웨어 문서 진입 벡터 —
2024-2026 주요 그룹 TTP와 초기 접근 차단

랜섬웨어는 암호화가 끝이 아니라 시작이다. 2024.2 Europol·FBI·NCA Operation Cronos로 LockBit 3.0 인프라가 압수된 같은 분기 Change Healthcare 사고로 UnitedHealth Group은 약 22억 달러 대응 비용을 공식 인정했다^[1]. 테이크다운이 끝나면 RaaS 파트너는 다른 브랜드로 이주하고 Black Basta·Akira·Play·RansomHub·Qilin·Medusa·Lynx가 빈자리를 메운다. 한국에서도 2025 하반기 Qilin이 한국 자산운용사 19개사 데이터 유출을 주장하며^[2] 미래에셋·한투증권 등 대형 금융사가 연이어 침해 보도에 등장했다^[3]. 이 글은 FBI/CISA StopRansomware 공동 경보, Mandiant M-Trends 2025, Sophos State of Ransomware 2024·2025, IBM Cost of a Data Breach 2024, MITRE ATT&CK 등 1차 자료 20종 이상을 근거로 주요 그룹 초기 접근 TTP를 해부하고 CDR이 킬체인 1단계에서 왜 구조적으로 유효한지 정리한다.

2017년 5월 WannaCry가 NHS 포함 150개국 30만 대를 감염시키며 랜섬웨어의 대중적 공포가 본격화됐고^[7], 2021년 5월 Colonial Pipeline 사고는 미국 동부 연료 공급을 중단시켰다^[8]. 한 달 뒤 JBS Foods가 $11M을 REvil에 지불했다고 인정했다^[9]. 세 사건은 "데이터 가용성 훼손 이상의 파장"(공급망·국민 생활·국가 안보)을 보여줬고, 2024.2 Change Healthcare가 결정타였다. UnitedHealth Group은 SEC 공시에서 대응·복구·보상 비용이 약 22억 달러에 달한다고 밝혔다^[1].

"Ransomware actors continue to threaten critical infrastructure sectors including healthcare, financial services, and government facilities. Initial access is most often gained through phishing emails, exploitation of public-facing applications, and compromised valid accounts." — CISA StopRansomware.gov 공식 페이지^[10]

CISA StopRansomware 공동 경보, Mandiant M-Trends 2025, Recorded Future 2025 보고서, 보안업계 관찰을 종합한 2024-2026 활성 랜섬웨어 그룹 핵심 10개 요약이다^[10][11].

그룹	활동 기간	주요 피해자	초기 접근 주력	Takedown
LockBit 3.0	2019-2024	공공·제조·금융 수천건. Royal Mail, Boeing 등	익스플로잇 + IAB 구매 + 피싱	2024.2 Operation Cronos(NCA/FBI/Europol)[12]
Black Basta	2022-2025	500+ 피해자, Ascension Health 등	QBot + Qakbot + Cobalt Strike, Teams 피싱	AA24-131A[13]
Cl0p (Clop)	2019-현재	MOVEit(2,700+), GoAnywhere, Accellion	관리형 파일 전송 제로데이	—
ALPHV/BlackCat	2021-2024	Change Healthcare, MGM Resorts	자격증명 + 소셜엔지니어링(헬프데스크)	2024.3 exit scam(자진 종료)
Akira	2023-현재	북미·유럽 중견기업 다수	VPN 자격증명(Cisco ASA 등)·RDP	AA24-109A[14]
Play	2022-현재	남미·유럽·공공기관	공용 익스플로잇(ProxyNotShell 등)	AA23-352A[15]
RansomHub	2024-현재	Change Healthcare 재유출 주장 등 200+	BlackCat 파트너 흡수, 피싱+익스플로잇	AA24-242A[16]
Qilin (Agenda)	2022-현재	Synnovis(NHS 런던), 한국 자산운용사 19개 주장	피싱·자격증명·공급망	—
Medusa	2021-현재	교육·공공·제조	피싱 + 익스플로잇(Fortinet·Exchange)	AA25-071A[17]
Lynx / INC 파생	2024-현재	중견기업 다수	INC Ransom 코드 파생, 피싱+RDP	—

10개 그룹을 가로지르는 공통점 — 초기 접근은 ① 인터넷 노출 취약점, ② 자격증명/IAB, ③ 피싱 첨부·링크 세 축이며, 이 중 피싱·첨부 경로가 CDR 직접 차단 대상이다.

2024년 2월 19-20일 영국 National Crime Agency가 주도하고 FBI·Europol·10개국 법집행이 참여한 Operation Cronos가 LockBit 운영 인프라를 전면 압수했다^[12]. NCA는 LockBit의 리크사이트를 탈취해 "This site is now under the control of the National Crime Agency of the UK" 배너로 대체했다. 이후 압수된 인프라에서 NCA는 복호화 키 1,000개+를 회수해 No More Ransom 프로젝트를 통해 피해자에게 무료 제공했다^[18].

"Through our close collaboration, we have hacked the hackers; taken control of their infrastructure, seized their source code, and obtained keys that will help victims decrypt their systems." — Graeme Biggar, NCA Director General^[12]

Cronos 이후 2024.5 미국 재무부 OFAC이 Dmitry Khoroshev(LockBit 운영자) 제재 및 $10M 현상금을 공고했고^[19], 2024 하반기 LockBit 파트너 상당수는 RansomHub·Akira·Play·Medusa로 이주했다. 생태계는 재편될 뿐 사라지지 않았고, 2025년 LockBit 4.0 빌드 유출도 관찰됐다.

Colonial Pipeline(2021.5) — DarkSide가 레거시 VPN 단일 자격증명(MFA 미적용, 유출 패스워드 재사용 추정)으로 접근. 미국 동부 연료 공급이 수일간 지연됐고 Colonial은 $4.4M 지불 후 FBI가 일부 회수^[8].

JBS Foods(2021.6) — 세계 최대 육가공업체, REvil 공격으로 호주·미국·캐나다 공장 일시 중단. JBS USA CEO가 $11M 지불을 공개 인정^[9]. 식량 공급망이 랜섬웨어 영역임을 각인.

Change Healthcare(2024.2) — 미국 최대 의료 청구 처리 업체. ALPHV/BlackCat 공격. UnitedHealth CEO Andrew Witty는 의회 청문회에서 "MFA 미적용 Citrix 원격 액세스 서버의 유출된 자격증명이 초기 접근 지점"이라고 증언^[1]. 약 $22억 대응 비용, 미국 처방 시스템의 1/3이 수 주 영향. 이후 RansomHub가 동일 데이터를 재유출하며 이중 데이터 판매까지 발생.

사고	시점	그룹	초기 접근	공개 피해 규모
WannaCry NHS	2017.5	Lazarus(추정)	SMB EternalBlue 웜 전파	NHS 진료 취소 1.9만건[7]
Colonial Pipeline	2021.5	DarkSide	VPN 단일 자격증명(MFA 없음)	$4.4M 지불(일부 회수)[8]
JBS Foods	2021.6	REvil	관리 자격증명	$11M 지불[9]
Change Healthcare	2024.2	ALPHV → RansomHub 재유출	Citrix MFA 미적용 자격증명	약 $22억 대응 비용[1]

2025 하반기 Qilin(Agenda)이 자사 리크사이트에 "한국 자산운용사 19개사 데이터"를 게시하며 협박을 공개 주장했다^[2]. Qilin은 2024.6 런던 NHS 협력 병리기관 Synnovis를 공격해 NHS 수술 예약 수천 건을 취소시킨 그룹으로 악명을 얻었고, 해당 사건 복구 비용만 수백만 파운드가 들었다.

Qilin은 Rust·Go 기반으로 Windows·Linux·ESXi를 커버하는 이식성 높은 빌드, 파트너에게 몸값 80-85%를 배분(2024 업데이트)하는 업계 최고 수준 분배 구조, 피싱·자격증명·공급망 중심 초기 접근을 특징으로 한다. 자산운용사 사건도 공통 협력사·MSP 경로 가능성이 업계에서 관측된다.

2025년 국내 증권·자산운용 업계에서 랜섬웨어·데이터 유출 이슈가 연쇄 보도됐다^[3]. 보도에 언급된 수치는 ① 미래에셋 약 110억 원 규모 영향, ② 한국투자증권 약 167억 원 규모 영향으로 집계됐다. 개별 사고의 기술 원인·그룹 귀속은 당국 조사·각 사 공식 발표를 통해 확정될 영역이고, 본문은 공개 보도 범위에서만 언급한다.

금감원·KISA·금보원은 2025년 하반기부터 금융권 랜섬웨어·데이터 유출 공동 대응 체계를 강화 중이다. 2026년 시행 예정인 금융권 N2SF 대응, 전자금융감독규정 개정이 이 흐름과 맞물린다.

국내 금융권 초기 접근은 ① 이메일 첨부(계약서·RFP·공급업체 사칭 DOCX·HWP·PDF), ② 임직원·협력사 유출 자격증명 재사용, ③ VDI·VPN·SaaS MFA 미적용 계정, ④ IT 협력사 위탁 운영 계정 남용 네 축으로 관찰된다.

초기 접근 벡터는 관찰자별 정의 기준이 조금씩 달라 수치가 차이날 수 있지만, 세 권위 보고서의 상위 3 벡터는 거의 일관된다.

Sophos State of Ransomware 2024 — 14개국 5,000개 조직 설문 기반, 실제 랜섬웨어 피해 조직 초기 접근: 익스플로이티드 취약점 32%, 자격증명 손상 29%, 악성 이메일 18%, 피싱 13%, 무차별 대입/RDP 등 8%^[4]. Mandiant M-Trends 2025는 전체 침해 초기 접근이 익스플로잇·피싱·자격증명 상위를 점한다고 보고^[11]. Verizon DBIR 2024는 사람 요소(피싱·자격증명 노출)가 68% 침해에 관여한다고 정리했다^[20].

벡터	Sophos 2024	Verizon DBIR 2024	CDR 직접 차단 여부
익스플로이티드 취약점	32%	상위	간접(패치/WAF 영역)
자격증명 손상	29%	상위	간접(MFA/IAM 영역)
악성 이메일 첨부·링크	18%+13%	피싱 사람 요소	직접 차단
RDP/VPN 무차별	8%	관측	간접

이메일 경로는 단일 벡터로 30% 안팎을 안정적으로 차지하며, 시큐레터 Ensecure v2 내부 분석도 "Primary Vector for Malware Attacks: email 75%"로 보고한다^[21].

2020년 이후 랜섬웨어 생태계의 가장 큰 구조 변화는 Initial Access Brokers(IAB)의 등장이다. IAB는 기업 네트워크 접근권(VPN·RDP·Citrix·Webmail 자격증명)을 확보해 다크웹에서 $500~$10,000 단위로 판매한다^[22]. 파트너는 자체 침투 대신 IAB에서 접근권을 구매해 공격 시작점을 외주화한다.

Recorded Future·KELA 관측 가격대 — 중소기업 RDP $500~$2,000, 중견기업 VPN 도메인 어드민 $2,000~$10,000, 대기업은 $10,000 이상 협상, 고가치 타깃은 입찰식 상승.

IAB가 초기 접근을 얻는 주경로는 ① 인포스틸러(Redline·Raccoon·Vidar) 자격증명 수집, ② 피싱 첨부·링크·OAuth, ③ 공용 익스플로잇(Exchange·Fortinet·Cisco·Citrix), ④ RDP·SSH 무차별 대입. Recorded Future는 IAB를 "랜섬웨어 경제의 연결 조직"로 규정한다^[22].

IAB가 인포스틸러로 자격증명을 얻는 경로와 피싱 첨부로 자격증명을 얻는 경로는 결국 임직원 단말의 문서/실행 파일로 수렴한다. 첨부 단계 차단은 IAB의 재료 공급 자체를 줄인다.

Black Basta AA24-131A^[13], LockBit AA23-165A^[23], Akira AA24-109A^[14]에서 공통 관찰되는 TTP는 다음 체인이 반복된다.

핵심 관찰 — Stage 01-02가 차단되면 이후 단계는 존재하지 않는다. EDR·백업·네트워크 세분화·제로트러스트는 피해 축소에 기여하지만 감염 자체를 예방하는 단일 최적 지점은 Stage 01-02 사이다.

Ransomware-as-a-Service는 LockBit·BlackCat·Qilin·RansomHub의 공통 운영 모델이다. 구조를 분해하면 4개 역할로 나뉜다.

역할	담당	수익 배분(통상)
Operator / Core	암호화 빌드·협상 패널·리크사이트·인프라·고객센터	15-30%
Affiliate	실제 침투·측면 이동·데이터 유출·암호화 실행	70-85%(Qilin 2024 상향)
IAB	초기 접근권 제공(계정·VPN·RDP)	고정가 판매 또는 profit share
Negotiator / Recovery	피해자와 암호화폐 협상, 일부는 "pentester" 브랜딩	operator 수수료 포함

RaaS는 진입장벽을 낮춰 공격자 수 자체를 늘리고, 테이크다운 당해도 affiliate가 다른 RaaS로 즉시 이주하므로 기법(드로퍼·LOLBAS·피싱 패턴)이 그룹 간 수렴한다. 기업 방어는 그룹 귀속이 아니라 기법 축으로 설계돼야 한다.

2020년 Maze가 시작한 이중 협박이 표준이 된 이후 협박 층위는 계속 추가됐다^[24]. Single(암호화만, 2015-2019 WannaCry 등) → Double(암호화+데이터 유출 공개 협박, Maze 2020 시작, LockBit 이후 표준) → Triple(+DDoS 협박, SunCrypt·Avaddon) → Quadruple(+고객·직원·언론 개별 통지·연락, ALPHV/BlackCat·Qilin). 2024-2026 주류 그룹은 기본적으로 triple-quadruple 운영하며, 백업만으로는 데이터 공개 협박에 무력하다는 점이 Change Healthcare(RansomHub 재유출)·Synnovis·Qilin 사례로 명확해졌다.

CISA·FBI·NSA는 StopRansomware.gov 포털에서 그룹별 공동 경보(Joint CSA)를 발행해 TTP·IoC·완화 가이드를 제공한다^[10]. 2023-2025 사이 발행된 주요 경보:

경보 번호	발행	그룹	초기 접근 핵심
AA23-165A	2023.6	LockBit 3.0	RDP·Phishing·유효 계정·드라이브바이[23]
AA23-352A	2023.12	Play	FortiOS·ProxyNotShell 익스플로잇[15]
AA24-109A	2024.4	Akira	Cisco VPN MFA 미적용 자격증명[14]
AA24-131A	2024.5	Black Basta	QBot 피싱·공용 익스플로잇·Teams 사칭[13]
AA24-242A	2024.8	RansomHub	피싱·ZeroLogon·Fortinet·Citrix[16]
AA25-071A	2025.3	Medusa	피싱·Fortinet·Exchange 취약점[17]

여섯 경보를 종합하면 ① 피싱 첨부·링크, ② 공용 익스플로잇, ③ MFA 미적용 자격증명이 반복 등장한다. CISA 공식 권고 최상단에 "이메일 게이트웨이에서 악성 첨부·링크 차단"이 배치되는 이유다.

CDR(Content Disarm and Reconstruction)은 판정이 아닌 구조적 제거를 수행한다. SLCDR 3단계^[6]: ① 파일 스캔(액티브 콘텐츠 구조 분석) → ② 액티브 콘텐츠 제거(매크로·OLE·스크립트·하이퍼링크·임베드 유형 일괄 제거) → ③ 파일 재생성(원본 동일 레이아웃·가독성으로 재조립).

이 원리는 그룹이 누구든, 변종이 새롭든, 제로데이든 무관하게 "실행 가능 콘텐츠 유형" 기준으로 작동한다. MARS 엔진은 리버스엔지니어링 기반 비실행형 파일 분석으로 CDR과 결합해 구조 기반 방어를 제공한다^[25].

CDR은 자격증명·인터넷 노출 취약점·내부자·SaaS OAuth 경로는 커버하지 않는다. 따라서 CDR은 다층 방어의 1차 지점이지 단일 해답이 아니며, 문서 경로 초기 접근을 구조적으로 제거해 EDR·백업·제로트러스트의 부담을 줄이는 역할이다.

그룹	주요 언어	ESXi 지원	협박 층위	주요 초기 접근	CDR 차단 범위
LockBit 3.0	C/C++	✅	Double	피싱·RDP·IAB	피싱 경로 차단
Black Basta	C++	✅	Double	QBot 피싱·Teams	QBot 드로퍼 첨부 차단
Cl0p	C++	✅	Double	MFT 제로데이	간접(첨부 경로 아님)
ALPHV/BlackCat	Rust	✅	Quadruple	자격증명·헬프데스크 사칭	피싱 병행 경로 차단
Akira	C++/Rust	✅	Double	VPN 자격증명	간접
Play	C++	✅	Double	공용 익스플로잇	간접
RansomHub	Go	✅	Double+	피싱·익스플로잇	피싱 경로 차단
Qilin	Rust/Go	✅	Quadruple	피싱·자격증명·공급망	피싱·공급망 문서 차단
Medusa	C++	✅	Double	피싱·익스플로잇	피싱 경로 차단
Lynx	C++	✅	Double	피싱·RDP	피싱 경로 차단

MITRE ATT&CK T1486 관련 하위 기법: T1486 Data Encrypted for Impact(최종 영향), T1490 Inhibit System Recovery(VSS·WinRE 차단), T1491 Defacement(리크사이트), T1657 Financial Theft(몸값 수금), T1020/T1567 Data Exfiltration(이중 협박 유출)^[24].

10개 층의 1·2·3번이 CDR이 직접 차지하는 자리다. 이메일·파일 반입·웹 업로드 세 입구에서 실행 가능 콘텐츠를 일괄 제거하면, 이후 7개 층의 운영 부담이 구조적으로 줄어든다.

WannaCry에서 Colonial Pipeline, JBS, Change Healthcare, Synnovis, Qilin의 한국 자산운용사 주장, 미래에셋·한투 사고까지 10년간의 랜섬웨어 연대기는 하나의 구조적 사실을 반복한다 — 공격자 이름은 바뀌어도 초기 접근 벡터는 거의 같다. LockBit이 Cronos로 압수되면 파트너는 RansomHub로 이주하고, 같은 QBot·매크로·OLE·LNK 체인으로 같은 피싱 미끼를 보낸다. Sophos 2024의 18-30% 이메일 경유 초기 접근 비중, Verizon DBIR의 68% 사람 요소, 시큐레터 내부 관측의 75% 이메일 벡터는 모두 같은 지점을 가리킨다.

방어도 같은 일관성을 가져야 한다. 공격자 중심 대응(테이크다운·제재·위협 인텔)은 국가·국제 협력의 몫이고, 기업의 방어선은 초기 접근 지점에서의 구조적 차단이다. CDR은 판정 부담 없이, 제로데이 여부와 무관하게, 그룹 귀속과 무관하게, 실행 가능 콘텐츠 유형을 제거한다. EDR·백업·제로트러스트·훈련은 모두 필요하나 "감염 이후 피해 축소"와 "감염 자체 예방"은 다른 층위의 방어이며, 초기 접근 차단은 다른 모든 층의 운영 부담을 구조적으로 줄인다. 이것이 CDR이 다층 방어의 1차 지점에 있어야 하는 이유다.