LockBit·BlackCat 등 몰락 이후 시장 주도
2025년 들어 가장 활발하게 활동하고 있는 랜섬웨어 조직 중 하나인 킬린(Qilin)이 ‘변호사 호출(Call Lawyer)’ 기능을 추가하며 공격 협박 수단을 한층 정교화했다. 기존의 단순한 암호화 및 금전 요구를 넘어, 마치 기업형 서비스처럼 조직화된 사이버 범죄 플랫폼으로 진화하고 있는 양상이다.
이스라엘 보안업체 사이버리즌(Cybereason)에 따르면, 킬린은 최근 자사 랜섬웨어 서비스에 ‘변호사 호출’ 버튼을 추가했다. 이 기능은 피해 기업이 협상 과정에서 법적 리스크를 느끼도록 심리적 압박을 가하는 전략으로, 금전 요구액을 상향 조정하는 데에도 활용되고 있는 것으로 나타났다.
게시된 내부 포럼 글에는 “대상에 대한 법률 자문이 필요한 경우, ‘Call Lawyer’ 버튼을 클릭하면 법률팀이 직접 연락을 취해 법적 조언을 제공한다”며, “대화에 변호사가 등장하는 것만으로도 피해 기업은 법적 분쟁을 피하고자 협상에 더 적극적으로 나설 수 있다”고 설명돼 있다.
기능 확장 통해 ‘사이버 범죄 종합 플랫폼’으로
킬린은 단순히 랜섬웨어를 유포하는 조직에서 한 걸음 더 나아가, 어필리에이트(공격자)들을 위한 전방위 서비스를 제공하는 사이버 범죄 플랫폼으로 진화하고 있다.
킬린의 포털은 다음과 같은 기능을 제공하고 있다.
△랜섬 협상 자동화 도구 △시스템 로그 자동 삭제 △네트워크 내 확산 기능 △안전 모드 실행(Safe Mode Execution) △DDoS 공격 수행 기능 △기업 이메일 및 전화번호 스팸 기능 △1PB(페타바이트) 규모의 피해 데이터 저장소 △스팸 캠페인 및 피싱 이메일 템플릿 △언론 플레이를 위한 ‘내부 기자’ 팀 등이다.
보안 업체 트립와이어는 킬린을 “단순한 랜섬웨어 그룹이 아닌, 하나의 완결된 사이버 범죄 생태계”라고 평가했다.
LockBit·BlackCat 등 몰락 이후 시장 주도
킬린의 활동 강화는 최근 LockBit, 블랙캣(BlackCat), 랜섬허브(RansomHub), 에베레스트(Everest), 블랙락(BlackLock) 등 기존 주요 랜섬웨어 조직들이 갑작스러운 해체, 내부 분열, 해킹 등의 이유로 무력화된 상황에서 더욱 두드러지고 있다.
2025년 4월 기준 킬린은 다크웹 상에서 72개의 피해 사례를 공개하며 활동량 1위를 기록했다. 5월에는 55건의 공격으로 세이프페이(Safepay)와 루나모스(Luna Moth)에 이어 3위를 차지했다. 올해 들어 현재까지 총 304건의 피해를 발생시키며 클롭(Cl0p), 아키라(Akira)에 이어 세 번째로 활동이 활발한 조직으로 집계됐다.
보안 기업 퀄리스(Qualys)는 최근 분석에서 “킬린은 성숙한 생태계, 다양한 고객 지원, 고급화된 공격 기법으로 높은 효과와 수익성을 추구하는 공격을 실행하고 있다”며 “타깃을 정밀하게 분석하고 고액의 금전 요구를 가능케 하는 전략을 구사하고 있다”고 평가했다.
킬린의 공격 인프라는 기술적으로도 성숙한 것으로 분석됐다. 사이버리즌 연구원은 “킬린은 Rust 및 C로 제작된 크로스 플랫폼 페이로드, 고도화된 회피 기능을 탑재한 로더, 자동화된 협상 도구 등 정교한 툴셋을 보유하고 있다”고 밝혔다.
또한 랜섬허브에서 활동하던 일부 공격자가 킬린으로 이동하며 공격 빈도와 범위가 확대되고 있다는 분석도 제기됐다. 보안 커뮤니티에서는 이 같은 추세가 ‘범죄 플랫폼 간 시장 점유율 경쟁’이라는 평가도 나온다.
“합법성 위장 전략”…법률팀, 실재보다는 ‘심리전’
일부 보안 전문가는 킬린의 ‘변호사 호출’ 기능을 실질적인 법률 지원보다는 협상 심리전에 활용되는 마케팅 수단으로 분석하고 있다. 전문가들은 “이른바 법률팀의 등장은 피해 기업에 ‘이들이 단순 해커가 아닌 조직화된 세력’이라는 인식을 주려는 의도”라며 “법적 위협은 허상일 가능성이 크다”고 지적했다. 또 "이 기능은 공격자를 유치하려는 수단일 뿐이며, 실제 변호사가 개입하는 정식 협상으로 보기는 어렵다”고 평가했다.
보안 전문가들은 킬린과 같은 조직이 공격 협박 수단을 더욱 정교화하고 있는 만큼, 기업 보안팀은 단순히 랜섬웨어 대응 매뉴얼에 그치지 않고 다채널 협박 수법에 대한 시나리오 대응 훈련을 병행해야 한다고 조언했다. 또한 조직 내부의 정보 유출 위험 요소를 점검하고, 직원 대상 피싱 방어 교육 및 다단계 인증(MFA) 적용 등을 통해 초기 침입 차단 능력을 강화해야 한다고 강조했다.
!["올 새내기주 73%가 올랐다" 공모가 거품 빼고 펀더멘털 강화…신약개발 인허가 단축도 'AI 해결사' 뜬다 [AI 프리즘*스타트업 창업자 뉴스]](https://newsimg.sedaily.com/2025/06/23/2GU6O6JLP8_1.jpg)
![[커머스BN] 틱톡샵 잘하고픈 브랜드를 위한, 선배 브랜드의 조언](https://scs-phinf.pstatic.net/MjAyNTA2MjBfMTcw/MDAxNzUwNDA5NjY1Mjc4.gBDPeK5WDW2Ijn2AvmZ_Y2hh0AeShCCv6jMv4f9tm3Qg.Ob7z2hQT622WV0ancDkS5WOH0PFpLG7_FjnmZnvUDRgg.JPEG/20250620_tiktokshop.jpeg?type=w800)
![[人사이트]윤영 익스웨어랩스 대표 “기업, 사이버 위협 정찰조 확보해야”](https://img.etnews.com/news/article/2025/06/19/news-p.v1.20250619.fe2aee916657445299ddb40386406547_P3.jpg)
