
새롭게 등장한 랜섬웨어 서비스형(RaaS) 조직 ‘엠바고(Embargo)’가 조용하지만 빠른 속도로 몸집을 키우고 있어 각별한 주의가 요구된다.
블록체인 분석업체 TRM랩스(TRM Labs)는 엠바고가 2024년 4월 무렵 처음 등장한 이후 불과 1년 만에 약 3천420만 달러 규모의 가상화폐를 불법적으로 벌어들인 정황이 포착됐다고 전했다. 피해 업종은 의료, 비즈니스 서비스, 제조 분야가 중심이며, TRM랩스는 이 조직이 “재정적·기술적으로 모두 정교하게 갖춰진 고도화된 위협 그룹”이라고 평가했다. 특히 가상화폐 지갑 인프라와 운영 방식에서 블랙캣과 유사점이 뚜렷하다고 덧붙였다. 즉 블랙캣 조직원들이 재결성한 조직일 가능성이 크다는 것이다.
엠바고는 전형적인 RaaS 모델을 취하면서도 핵심 인프라와 몸값 협상을 직접 관리한다. 이를 통해 공격 툴은 공유하되, 전반적인 작전도 이들 조직이 주도하는 구조를 유지하고 있다.
TRM랩스는 이러한 방식이 신속한 확장을 가능하게 하면서도, 공개 망신이나 삼중 갈취(서비스 중단·데이터 절도·언론 압박) 같은 과격한 전술을 피하게 해 눈에 덜 띄는 효과를 낸다고 설명했다. 실제로 엠바고는 록빗(LockBit), 아키라(Akira), 클롭(Clop)처럼 공격 건수가 많은 편은 아니지만, 타깃을 선별하고 통제력을 유지하는 전략에 집중하고 있다.
■병원·의료기관 타깃 공격…최대 130만 달러 요구
엠바고가 직접 피해를 주장한 사례로는 2024년 11월 미국 조지아주 베인브리지의 메모리얼 병원 사건이 있다. 당시 공격자는 1.15테라바이트 분량의 데이터 탈취를 주장했고, 병원은 약 12만 명의 개인정보 유출 사실을 공식 인정했다.
같은 해 4월에는 미국 캘리포니아의 노스베이 헬스케어를 공격했다. 이로 인해 일부 진료 일정이 취소되고 서비스가 지연되는 등 의료 현장에 직접적인 피해가 발생한 바 있다.
TRM랩스 분석에 따르면, 엠바고의 랜썸머니 요구액은 최대 약 130만 달러에 이르렀다. 범죄 수익은 다수의 지갑 주소로 나뉘어 송금된 뒤 현금화되는 등, 능숙한 자금세탁 패턴을 보였다.
보안업체 이셋은 엠바고가 러스트(Rust) 기반의 ‘MDeployer’와 ‘MS4Killer’ 같은 도구를 활용해 보안 솔루션을 무력화하고, 윈도우·리눅스 환경을 가리지 않고 암호화를 진행한다고 분석했다. 이는 침입 후 방어체계를 빠르게 제거하고 암호화를 진행해 피해자의 대응 시간을 최소화하려는 전략이다.
이외에도 다크웹 협상 포털과 표준화된 랜섬 노트를 운영하는 등, 블랙캣 시절부터 이어져 온 RaaS 운영 방식을 그대로 보여주고 있다. 전문가들은 이를 블랙캣 조직원들이 엠바고로 합류했을 가능성을 뒷받침하는 근거로 보고 있다.
엠바고는 화려한 홍보나 공개 압박 대신, 통제된 협상과 검증된 공격 툴, 선별적 타깃, 안정적인 수익 창출이라는 ‘조용하지만 치명적인’ 전략을 구사한다. 특히 운영 중단이 치명적인 병원이나 의료기관에 대한 공격은 피해 파급력이 크기 때문에 몸값 지불 가능성이 커 주요 공격 타깃으로 삼고 있다.
랜섬웨어 보안 전문가들은 특정 조직 이름에만 집중하기보다 전반적인 랜섬웨어 대응 역량을 강화해야 한다고 강조한다. 특히 필수 서비스 분야는 사전에 실행 가능한 대응 계획과 정기 모의훈련을 반드시 갖춰야 한다. 오프라인·암호화 백업을 주기적으로 복구 테스트하고, 원격 접속 경로에는 다중인증(MFA)을 적용하며, 보안 솔루션 무력화 시도를 탐지할 수 있는 방어 체계를 갖추는 것이 중요하다. 또한 네트워크 분리와 실시간 로깅·모니터링을 통해 침입 경로부터 암호화 준비 단계까지의 행위를 조기에 차단해야 한다고 강조했다.
[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]
(제13회 KCSCON 2025 / 구 PASCON)
※ Korea Cyber Security Conference 2025
-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-
공공∙기업 정보보안 책임자/실무자 1,200여명 참석!
-2025년 하반기 최대 정보보호 컨퍼런스&전시회-
△주최: 데일리시큐
△일시: 2025년 9월 16일 화요일(오전9시~오후5시)
△장소: 세종대 컨벤션센터 전관
△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업
개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명
(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)
*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.
△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)
△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정
△사전등록 필수: 클릭
(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.
참석확정 문자와 메일 받은 분만 참석 가능)
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★