사이버 용병 시장
해커 집단과 신디케이트
이전 시리즈에 이어지는 글입니다.
1편: 신디케이트
2편: 실크로드에서 하이드라까지
3편: 현재(마지막편)
21세기 들어 범죄 신디케이트는 물리적 경계를 넘어 사이버 공간으로 확장됐다. 그러나 최근의 트렌드는 단순한 해커 범죄 조직화를 넘어섰다. 이른바 사이버 용병 시장 — 민간 해커 집단들이 신디케이트화되어 국가와 기업을 위해, 때로는 그들에 맞서 고용되는 구조가 존재한다.
초기 해커 집단: 이념과 범죄의 경계 (2000년대)
2000년대 초반의 해커 집단들은 이념적 성격과 범죄적 성격이 혼재돼 있었다. Anonymous, LulzSec, Cult of the Dead Cow 같은 그룹들은 정치적 해킹(핵티비즘)과 금전적 해킹을 동시에 수행했다. 그러나 이들은 비교적 느슨한 네트워크로, 일종의 해커 카르텔에 가까웠다.
신디케이트화의 전환점: REvil과 Conti의 모델 (2019~2022)
2019년 이후 등장한 REvil, Conti, DarkSide 같은 랜섬웨어 그룹들은 본격적으로 신디케이트화된 구조를 보였다. 이들은 단순 해킹을 넘어, RaaS (Ransomware-as-a-Service) 모델을 구축했다. 이 구조는 전통적 범죄 신디케이트의 역할 분업화, 수익 배분, 내부 거버넌스 모델과 완벽히 일치했다.
source: https://www.bankinfosecurity.com/killnet-a-21050사이버 용병 시장의 부상 (2022~)
러시아-우크라이나 전쟁을 기점으로 해커 신디케이트들은 본격적으로 사이버 용병 시장으로 진화하기 시작했다.
Killnet: 러시아 친정부 성향의 해커 집단으로, NATO 국가들에 DDoS 공격
Lazarus Group: 북한 정부의 지시 아래 있지만, 때때로 금전적 해킹과 국가 사이버전 양쪽을 병행
APT-for-Hire 시장: 기업이나 국가가 민간 해커팀을 고용해 맞춤형 공격을 수행
이 구조는 기존의 신디케이트와 다르게, 국가-민간 경계가 흐려진 형태를 보인다. 사이버 용병들은 필요에 따라 누구에게든 고용될 수 있다.
국가 정보기관 → 비공식 해커팀 고용 (deniable operation)
범죄 조직 → 전문 해커를 일시 고용
심지어 기업끼리 경쟁사를 대상으로 고용하는 사례 발생
기술 발전이 가져온 구조적 변화
Malware-as-a-Service: 누구나 저렴하게 해킹 툴을 임대 가능.
Initial Access Broker (IAB): 네트워크 침투권을 전문적으로 판매하는 신흥 신디케이트.
크라우드 소싱 해킹: 포럼과 다크웹을 통해 대규모 협력 공격 수행.
이러한 기술적 구조는 해커 신디케이트들을 일시적, 유동적 용병화된 신디케이트로 만들었다.
붕괴와 대응 전략: 신디케이트 논리의 약점
역사적으로 모든 신디케이트는 다음과 같은 순간에 붕괴할 수 있었고 과거 사례는 다음과 같다.
배신: 내부 고발자 출현 (예: Conti의 내부원 리크)
국가 공격: 수사기관의 동시 타격 (예: REvil 서버 몰수)
수익 분배 갈등: Affiliates와 본사 간 분쟁
따라서 사이버 용병 신디케이트도 이와 같은 내부적 균열이 가장 큰 리스크 포인트다. 실제로 2022년 이후 다수의 러시아 해커 그룹들은 서로 분열하고, 국가와의 관계 속에서 복잡한 역학을 보이고 있다.
Initial Access Broker(IAB) 신디케이트의 구조와 수익모델
사이버 범죄 생태계가 점점 복잡해지면서, 기존의 단일 해커 그룹 모델은 효율성을 잃었다. 그 틈을 파고든 것이 바로 Initial Access Broker (IAB) 신디케이트다. 이들은 해킹 세계에서 마치 도둑이 열쇠공에게 의뢰하듯 침입권을 전문적으로 거래하는 중간상인형 범죄 조직이다.
IAB란
Initial Access: 기업, 기관, 개인 네트워크에 최초로 침투할 수 있는 권한
Broker: 이를 수집해 다크웹 마켓이나 신디케이트 내에 판매하는 브로커 조직
과거엔 해커가 스스로 침입부터 금전화까지 모두 수행했지만, 오늘날엔 IAB가 침투권을 공급하고, 다른 전문 조직이 이를 활용해 랜섬웨어, 정보 탈취, 돈세탁을 수행하는 분업화 생태계가 형성됐다.
IAB 신디케이트의 구조
스캐너 팀: VPN, RDP, Citrix 등 원격 접속 시스템의 취약점을 자동화 스캐닝. 대규모로 취약한 시스템 목록 확보
침입자 팀: 수집된 취약 시스템에 직접 침입해, 초기 권한 획득. 종종 소규모 멀웨어를 심어 백도어 확보
브로커(중앙 조직): 확보한 침입권을 다크웹 마켓에 게시. 랜섬웨어 그룹, 데이터 탈취 그룹, 국가 APT 팀에게 판매
수익 분배: 스캐너와 침입자는 수익의 20~30%를 받고, 브로커가 나머지 70~80%를 가져감
수익모델
1건당 거래가격: 기업 규모에 따라 $1,000 ~ $100,000
VIP 타겟 (은행, 의료기관, 정부기관)은 거래가격이 10배 이상.
구독형 서비스: 일부 IAB는 특정 공격조직과 월 구독형 계약을 맺고, 지속적으로 접근권을 공급.
예시:
2022년, 한 IAB는 미국 병원 6곳 접근권을 1건당 $50,000에 다크웹 포럼에서 거래.
러시아어권 마켓에서는 5,000대 규모 기업 RDP 접근권을 일괄 판매하는 대형 거래도 빈번하다.
대표 IAB 신디케이트
Zebra210: 랜섬웨어 그룹에 고품질 침입권을 공급
Fxmsp: 2019년 FBI에 의해 적발된 IAB, 전 세계 135개 기업 네트워크 침입권 판매
Wicked Panda: 중국계로 알려진 IAB형 조직, 국가적 APT와 범죄용 침입권 양쪽 모두 거래
왜 IAB 모델이 부상했는가?
리스크 분산: 해커 조직은 침입권만 팔고, 실제 공격 책임을 회피.
속도 향상: 랜섬웨어 그룹은 IAB를 통해 이미 침투된 기업을 빠르게 구매, 공격 속도를 높임.
분업 최적화: 침입, 공격, 돈세탁 각각 전문화.
수사기관의 대응과 붕괴 사례
Fxmsp 체포 (2019): 카자흐스탄 출신 브로커, FBI에 의해 기소. 내부 협력자의 배신으로 붕괴
Genesis Market 폐쇄 (2023): IAB형 거래소를 운영하던 다크웹 플랫폼, 인터폴과 FBI 공조로 폐쇄
Infraud Organization: 신용카드 침입권을 거래하던 IAB형 신디케이트, 다국적 작전으로 해체
오늘날 랜섬웨어 생태계, 정보 탈취 그룹, 사이버 용병 모두가 IAB를 통해 공격기회를 얻고 있다. 이들은 일종의 디지털 암거래소이자, 현대 신디케이트의 심장부라 할 수 있다.
