암호화폐 생태계에서 BlackCat 랜섬웨어란?

LeeMaimai

/2025년 10월 14일

주요 결과

• BlackCat(ALPHV)는 암호화폐를 이용한 갈취와 자금 세탁 수단으로 활동하는 대표적인 랜섬웨어 조직이다.

• 조직의 일부가 해체되었어도, 데이터 탈취 → 암호화 → 협박이라는 수법은 현재도 랜섬웨어 공격의 전형이다.

• 핫월렛, 실시간 운영 인프라를 보유한 암호화폐 기업은 타겟이 될 가능성이 크므로, 콜드 스토리지와 사고 대응 체계를 갖춰야 한다.

• 몸값 지불 시 법적 제재가 있을 수 있으므로 반드시 법집행기관 및 법률 자문과 상의할 것.

• 하드웨어 월렛은 랜섬웨어에 노출된 엔드포인트에서도 개인 키를 안전하게 보호해 준다.

BlackCat(블랙캣), 또는 ALPHV(알파브)로도 알려진 이 랜섬웨어 집단은 암호화폐를 결제와 자금 세탁 수단으로 활용하며 악명을 떨치고 있는 대표적인 랜섬웨어-서비스(RaaS) 조직이다. 모듈화된 범용성이 뛰어난 코드를 기반으로, 매끄러운 제휴 프로그램과 강력한 '이중', '삼중' 갈취 전략을 구사하는 BlackCat은 전 세계 의료, 금융, 에너지, 기술 분야의 주요 기업을 광범하게 공격해 왔다.

2023년 말 미국 정부가 이들의 일부 인프라를 차단하고, 2024년 고위 사건 이후 내부적으로 균열이 생기긴 했지만, BlackCat과 그 제휴자들이 개척한 수법은 여전히 전 세계 랜섬웨어 조직들에 영향을 미치고 있다. 블록체인 기반의 사업자들과 암호화폐 사용자라면 BlackCat의 작동 방식과 그들이 암호화폐를 어떻게 활용하는지를 이해하는 것이 보안 위험을 줄이고, 사고 대응력을 높이는 데 필수적이다.

기술적 세부사항 및 관련 위협 지표는 CISA의 다음 공지를 통해 확인할 수 있다: CISA: ALPHV/BlackCat Ransomware (Alert)

BlackCat은 누구이며, 왜 암호화폐 사용자에게 중요한가?

서비스형 랜섬웨어(Ransomware-as-a-Service): BlackCat은 프랜차이즈 방식으로 운영된다. 핵심 운영팀이 악성코드를 설계하고 유지하는 반면, 제휴자들은 실제 침입을 수행하고 수익을 나눈다.
다중 갈취 전략: 단순히 데이터를 암호화하고 복호화 키를 요구하는 것을 넘어, 민감한 정보 탈취, 유출 사이트를 통한 공개 위협, 이해관계자 상대의 압박까지 복합적으로 전개된다.
암호화폐 기반 결제: 대부분 피해자는 비트코인(BTC)이나 익명성이 강한 모네로(XMR)로 지급하라는 지시를 받는다. 이에 맞춰 개별 지불 포털과 시간제한 할인 옵션도 제공된다.

미국 당국은 BlackCat의 리크 사이트(정보 유출 게시판)를 무력화하고 일부 피해자에게 복호화를 제공하는 등 대응에 나섰다. 참고 자료: 미국 법무부: ALPHV/BlackCat 랜섬웨어 조직 차단

그럼에도 불구하고 조직의 일부 제휴자들과 모방 범죄자들은 여전히 활동 중이다. 특히 2024년, ‘Change Healthcare’가 약 2,200만 달러에 이르는 몸값을 암호화폐로 지불한 후 해당 조직이 이를 편취하고 사라진 '먹튀(exit scam)' 사건은 큰 파장을 일으켰다. 관련 기사: BleepingComputer: Change Healthcare reportedly paid $22 million ransom to ALPHV 및 BleepingComputer: ALPHV shuts down, steals $22 million ransom in exit scam

BlackCat은 암호화폐를 어떻게 활용하나?

결제 수단: 요구 금액은 보통 비트코인(BTC)이나 모네로(XMR)로 청구된다. 비트코인은 시장 유동성과 트래킹 가능성이 높고, 모네로는 강력한 프라이버시를 제공해 추적이 어렵다.
자금 세탁 방식: 자금은 믹싱 서비스, 교차 거래소 이동, 크로스체인 브리지 등을 통해 추적을 어렵게 만든다. 비트코인은 분석이 가능한 반면, 모네로는 추적을 매우 어렵게 한다.
수익 배분 메커니즘: 제휴 모델이므로 수익은 제휴자와 본부 간에 분배된다. 보통 지불 직후 여러 지갑으로 나뉘는 패턴이 포착된다.

CrowdStrike와 Palo Alto Networks는 BlackCat의 도구, 사용 패턴, 수익화 전략에 대해 심층 리포트를 제공하고 있다. 참고 자료: CrowdStrike Intelligence on ALPHV/BlackCat 및 Unit 42: BlackCat Ransomware Analysis

주의해야 할 공격 패턴

초기 진입 경로: 유출된 인증 정보, 보안 패치가 되지 않은 VPN, 원격 데스크톱, 피싱, 일반적 악성코드 로더 등이 사용된다.
빠른 내부 확산: 침입 후, 백업 파일이나 민감 데이터 저장소를 탐색하여 암호화 이전에 탈취한다. 이 과정에서 핫월렛이나 운영 인프라에 직접 피해가 갈 수 있다.
데이터 탈취 우선 순위: 파일 암호화 이전에 클라우드 객체 저장소 또는 은신 호스팅(Bulletproof hosting) 등으로 데이터가 유출되는 경우가 많다.

암호화폐를 운용하는 기업의 경우, 단순한 서버 피해를 넘어서 지갑 키의 유출, 거래소 운영 중단, 고객 정보 유출 협박 등 다양한 형태로 타격을 입을 수 있다.

몸값을 지불해야 할까?

지불은 회복을 보장하지 않으며, 법적 위험까지 따를 수 있다. 미국 정부는 특정 국가나 제재 대상에게 몸값을 지불하는 것이 제재 위반이 될 수 있음을 경고하고 있다. 참고: 미국 재무부 OFAC 랜섬웨어 결제 관련 권고문

지불 여부를 고려하기 전에 반드시 법집행기관과 법률 자문을 먼저 받아야 한다. 참고 자료: FBI: 랜섬웨어 대처 가이드, NoMoreRansom 복호화 및 신고 포털

암호화폐 기업이 취해야 할 실질적 보안 조치

신원 및 엔드포인트 보호 강화
- 피싱을 방지할 수 있는 강력한 다중 인증(MFA) 적용
- 오래된 프로토콜 비활성화와 자격 증명 정기적 갱신
- 인터넷에 노출된 서비스에 대한 신속한 보안 패치
핵심 시스템 분리 및 보호
- 빌드 파이프라인, 서명 키, 재무 시스템 분리 운영
- 핫월렛 접근을 엄격히 제한하고, 임의 송금이 아닌 정책 기반 처리
실질적인 백업 체계
- 인프라 및 지갑 메타데이터 백업을 오프라인·불변 상태로 유지 (단, 개인키는 평문 저장 금지)
- 복구 절차를 정기적으로 점검
탄탄한 암호 자산 운용 구조
- 대부분의 자금은 콜드월렛에 보관
- 운영용 핫월렛은 다중서명(multisig)과 일일 송금 한도 설정
- 개인 키는 오프라인 보관하며, 역할 분리 및 변조 방지 장치 활용
사고 대응 체계 마련
- 랜섬웨어 및 정보 유출에 대비한 대응 매뉴얼 확보
- 암호화폐 추적・분석팀과 사전 협력 관계 맺기
- 유출 게시판 및 온체인 활동 감시를 통해 조직 식별자 노출 모니터링