Keep up with Ransomware
취약 드라이버를 내장한 Reynolds 랜섬웨어
■ 개요
2026년 3월 랜섬웨어 피해 사례 수는 지난 2월(770건) 대비 100건 이상 증가한 879건으로 집계됐다.
2026년 3월 4일, FBI와 미 법무부, 유로폴 등 14개국 수사기관은 탈취된 자격 증명과 결제 정보 등을 거래하던 다크웹 포럼 LeakBase를 대상으로 한 국제 공조 수사 작전 ‘Operation Leak’을 발표했다. 미 법무부에 따르면, LeakBase는 2021년부터 운영된 포럼으로 14만 2천 명 이상의 회원이 가입하고 수십만 건의 개인 메시지와 게시글이 축적된 대규모 사이버 범죄 플랫폼으로 확인됐다. 수사기관은 이번 작전을 통해 포럼을 폐쇄하고, 사용자 계정 정보와 게시글, 개인 메시지, IP 주소 로그 등 포럼 내 주요 데이터와 운영 인프라를 확보했다고 밝혔다.
한편, 2026년 3월에는 또 다른 다크웹 포럼인 BreachForums와 관련해 ShinyHunters가 공개한 추가 유출이 확인됐다. 이번에 공개된 데이터는 BreachForums의 다섯 번째 운영 버전으로 알려진 Version 5 관련 자료로, 약 33만 9,800개의 고유 이메일 주소와 사용자 이름, Argon2 방식으로 해시된 비밀번호가 포함된 것으로 확인됐다. ShinyHunters는 2026년 3월 27일 해당 데이터를 공개하면서, 2025년 10월 FBI가 BreachForums를 압수한 이후 더 이상 포럼 운영에 관여하지 않고 있다고 주장했다. 이들은 현재 운영 중인 BreachForums 관련 도메인이 모두 가짜이며, ‘N/A’와 ‘Indra’ 등으로 불리는 인물들이 기존 포럼을 복원한 것처럼 꾸미고 있다고 밝혔다. 또한 현재 포럼이 사실상 허니팟으로 활용되고 있다고 주장했으며, 포럼 운영이 계속될 경우 개인 메시지, 이메일, IP 기록, 게시글 등이 포함된 추가 자료를 공개하겠다고 경고했다. BreachForums는 앞서 2026년 1월에도 약 32만 4천 건 규모의 사용자 데이터가 유출된 바 있다. 다만 당시 유출은 2025년 8월 실제 운영 과정에서 노출된 MyBB 사용자 테이블 중심의 자료였던 반면, 이번 3월 유출은 허니팟 운영 의혹이 제기된 이후의 BreachForums와 관련된 자료라는 점에서 차이가 있다.
2026년 3월 한 달간 국내 산업계를 겨냥한 공격은 총 9건으로 집계됐다. 지난 2월과 유사하게 제조업과 서비스업이 각각 3건으로 가장 많은 공격을 받은 것으로 나타났으며, 이 밖에도 의료, 미디어, IT 분야에서 각각 1건의 침해 사례가 확인됐다.
다만 일부 그룹이 유출한 데이터는 과거 자료이거나 신빙성이 부족한 것으로 파악된다. 대표적으로 Ailock 랜섬웨어 그룹은 국내 IT 서비스 기업을 공격했으나, 다크웹 유출 사이트에 공개한 자료는 최신 자료가 아닌 2025년 자료로 확인됐다. 또한 CipherForce 그룹은 취업 정보 전문 업체를 공격 후 다크웹 유출 사이트에 데이터를 업로드했으나, 해당 데이터의 신뢰성은 낮은 것으로 평가된다.
■ 랜섬웨어 뉴스
그림 1. 랜섬웨어 동향
■ 랜섬웨어 위협
그림 2. 2026년 3월 랜섬웨어 위협 현황
• 새로운 위협
2026년 3월에는 신규 랜섬웨어 그룹 6개가 등장했다. 확인된 신규 랜섬웨어 그룹은 모두 다크웹 유출 사이트를 보유하고 있으며, 현재까지 6개 그룹 전부 다크웹 유출 사이트를 운영하며 활동을 이어가고 있는 것으로 확인된다.
그림 3. Killada의 다크웹 유출 사이트
2026년 3월 등장한 Killada 그룹은 현재까지 다크웹 유출 사이트에 공개된 피해 사례는 확인되지 않았다. 그러나 해당 유출 사이트에는 피해 복구를 원할 경우 0.01111 BTC(한화 약 112만 8,290원)를 송금한 후 TOX를 통해 연락하라는 안내 문구가 게시되어 있었다. 이러한 점을 고려할 때, Killada는 다크웹 유출 사이트를 피해자 정보를 공개하는 형태보다는, 피해자와의 접촉 및 협상을 유도하기 위한 수단으로 활용하는 것으로 보인다.
그림 4. ALP-001의 다크웹 유출 사이트
2026년 3월 등장한 ALP-001그룹은 현재까지 다크웹 유출 사이트에 총 12건의 피해 사례를 게시한 것으로 확인됐다. 이들은 단순히 피해 사실을 게시하는 데 그치지 않고, 특정 서버 및 네트워크에 대한 접근 권한을 별도로 판매하는 정황도 드러났다. 실제 유출 사이트에는 서버 접근 권한의 가격, 권한 수준, 접속 방식 등이 함께 게시되어 있어, 피해 사실 공개와 초기 접근 권한 판매를 병행하는 형태로 활동하는 것으로 보인다.
• Top5 랜섬웨어
그림 5. 산업/국가별 주요 랜섬웨어 공격 현황
2026년 3월에는 기존 랜섬웨어 그룹들의 지속적인 활동으로 총 879건의 피해 사례가 확인됐다. 이 가운데 3월에 가장 많은 피해 사례를 기록한 Qilin 그룹은 2월 122건에서 3월 143건으로 증가했다. Qilin은 2025년 2분기부터 활동이 본격적으로 확대된 것으로 나타났으며, 이러한 흐름은 RansomHub 공격자 일부가 Qilin 그룹에 합류한 영향으로 분석된다. 이러한 증가세는 일시적인 현상에 그치지 않고, 2025년 10월 이후 매달 세 자릿수 이상의 피해 건수를 기록하는 흐름으로 이어지고 있다. 한편, 이들은 3월 5일 국내 의료기관을 공격한 뒤 다크웹 유출 사이트를 통해 데이터 공개를 예고했으나, 현재까지 실제 데이터가 게시된 정황은 확인되지 않았다.
한편, 3월 두 번째로 많은 피해 건수를 기록한 Akira 그룹의 활동도 두드러졌다. 지난 2월, Akira 그룹은 47건의 피해 사례를 기록하며 해당 월 기준 3위에 머물렀으나, 3월에는 82건으로 증가하며 두 번째로 많은 피해를 일으킨 그룹으로 확인됐다. 대표적으로 이들은 3월 18일 미국 제조 업체인 Texollini를 공격해 직원의 신분증, 의료 기록 등 민감 정보가 포함된 약 20GB 규모의 데이터를 탈취했다.
다음으로 Gentleman 그룹의 활동도 지속되고 있다. 2월 90건의 피해 사례를 기록한 데 이어, 3월에는 75건으로 다소 감소했으나 여전히 활발한 활동을 지속 중인 것으로 확인됐다. Gentleman 그룹은 다크웹 유출 사이트에 피해자 정보와 협상 기한을 명시한 뒤, 협상 기한이 종료된 이후에도 데이터를 공개하지 않은 채 TOX ID를 통한 구매 문의를 유도하는 안내 문구를 게시했다. 이러한 방식은 탈취 자료를 단순한 협박 수단에 그치지 않고 판매 가능한 자산으로 활용함으로써, 피해 기업에 대한 압박을 지속하는 동시에 수익을 극대화하려는 전략으로 해석된다.
DragonForce 그룹은 꾸준히 활동해 온 랜섬웨어 그룹으로, 피해 건수가 2월 36건에서 3월 56건으로 증가하며 상승세를 보였다. DragonForce는 2023년 처음 확인된 이후 2024년부터 RaaS 1 운영을 본격화하고 공격 관리, 자동화 기능, 맞춤형 랜섬웨어 생성 기능 등을 지원해 왔으며, 2025년 3월에는 카르텔 형태로 운영 구조를 전환했다. 이에 따라 계열사들은 DragonForce라는 명칭을 사용하지 않더라도 자체 브랜드와 별도의 다크웹 유출 사이트를 운영할 수 있었고, DragonForce는 관련 인프라를 제공함으로써 계열사 중심의 생태계를 더욱 강화한 것으로 확인된다.
LockBit 그룹은 2월 32건이었던 피해 건수가 3월에는 52건으로 증가했다. LockBit은 2020년 1월부터 RaaS 형태로 운영된 랜섬웨어 그룹으로, 2024년 2월 국제 공조 작전인 Operation Cronos로 다크웹 유출 사이트와 핵심 인프라가 압수되며 큰 타격을 입었다. 이후 2025년 초 LockBit 4.0을 공개하며 활동 재개에 나섰으나, 2025년 5월 7일 관리자 패널 해킹으로 내부 운영 정보가 유출되며 다시 한번 신뢰도에 타격을 입었다. 그럼에도 LockBit은 2025년 9월 LockBit 5.0을 공개했으며, 2025년 12월부터는 새로운 다크웹 유출 사이트를 통해 피해자 정보 게시를 재개했다. 이러한 정황을 종합해 보면, LockBit은 잇따른 단속과 내부 유출, 운영 차질에도 불구하고 활동 중단 대신 복귀를 반복하며 지속적으로 영향력을 유지하려는 것으로 판단된다.■ 랜섬웨어 집중 포커스
그림 6. Reynolds의 다크웹 유출 사이트
2026년 2월 등장한 Reynolds 그룹은 현재까지 총 1건의 피해 사례를 게시했다. 해당 그룹은 데이터를 일괄 공개하는 대신, 일정에 따라 유출 분량을 단계적으로 확대하며 피해자를 압박하는 방식을 사용하는 것이 특징이다. 실제 게시글에는 3일 내 100GB, 7일 내 200GB, 14일 내 전체 파일을 공개하겠다는 내용이 포함되어 있어, 시간이 지날수록 압박 강도를 높이는 전략을 사용하는 것으로 보인다.
한편, Reynolds 랜섬웨어 분석 결과, 해당 랜섬웨어는 CVE-2025-68947
그림 7. Reynolds 랜섬웨어 개요
• 랜섬웨어 전략
그림 8. 랜섬웨어 공격 전략
그림 9. 취약점이 존재하는 NSecKrnl 드라이버 생성
Reynolds 랜섬웨어는 실행 초기, NSecKrnl 드라이버의 CVE-2025-68947 취약점을 악용하기 위해 내부에 포함된 드라이버 바이너리를 RC4 알고리즘으로 복호화한 후, C:\ProgramData\402.sys 경로에 저장한다.
그림 10. 취약점이 존재하는 NSecKrnl 드라이버 로드
랜섬웨어는 취약한 드라이버를 생성한 후, 드라이버 로드에 필요한 권한을 활성화하고 해당 드라이버를 가리키는 서비스 레지스트리 키를 생성한 뒤, NtLoadDriver 함수를 통해 시스템에 로드한다. 이후 드라이버에 존재하는 CVE-2025-68947 취약점을 악용해 백신 및 EDR 프로세스를 종료한다. 이는 정상적으로 서명된 드라이버를 악용해 보안 제품을 무력화하는 BYOVD 기법에 해당한다. 이때 종료 대상으로 확인된 프로세스 목록은 아래 표와 같다.
| 프로세스 |
| Sophos UI.exe, SEDService.exe, SophosHealth.exe, SophosFS.exe, SophosFileScanner.exe, McsAgent.exe, McsClient.exe, SophosLiveQueryService.exe, SymCorpUI.exe, SISIPSService.exe, SISIDSService.exe, SmcGui.exe, sepWscSvc64.exe, ccSvcHst.exe, sisipsutil.exeSophosNtpService.exe, Sophos.Encryption.BitLockerService.exe, SophosOsquery.exe, SSPService.exe, SophosNetFilter.exe, CSFalconService.exe, cydump.exe, cyrestart.exe, cyrprtui.exe, cyserver.exe, cytool.exe, cyuserserver.exe, CyveraConsole.exe, cyreport.exe, cytray.exe, tlaworker.exe, ekrn.exe, egui.exe, eguiProxy.exe, aswEngSrv.exe, aswidsagent.exe, AvastUI.exe, hmpalert.exe |
표1. 종료 대상 프로세스
이후 시스템 전체 드라이브를 순차적으로 탐색하며 암호화 대상을 확인한다. 이 과정에서 특정 폴더명, 확장자, 파일명 등 일부 항목은 암호화 대상에서 제외하도록 설정되어 있다. 확인된 예외 대상은 아래 표와 같다.
| 폴더명 | 확장자 및 파일명 |
| Windows, Windows.old, Program Files, Program Files (x86), ProgramData, All Users ,Tor Browser, Internet Explorer, Google, Opera, Opera Software, Mozilla, Mozilla Firefox | .exe, dll, .sys, .locked, bootmgr, bootmgr.efi, bootmgfw.efi, ntldr, boot.ini, bootsect.bak, bootfont.bin, ntuser.dat, ntuser.dat.log, ntuser.ini, desktop.ini, thumbs.db, iconcache.db |
표2. 암호화 예외 대상
그림 11. 암호화 키 생성 방식
Reynolds 랜섬웨어는 파일 암호화를 위해 파일마다 고유한 개인키(A)를 생성한다. 이후 하드코딩된 공격자의 공개키(B)와 X25519 연산을 수행해 공유 비밀(C)을 만든다. 이때 공유 비밀이란, X25519 알고리즘에서 양측이 각자의 개인키와 상대방의 공개키만으로 동일하게 계산되는 값을 의미한다. 즉, 피해자의 개인키(A)와 공격자의 공개키(B)로 계산한 값(C)은, 공격자의 개인키(D)와 피해자의 공개키(E)로 계산한 값(F)과 동일하며, 이 동일한 값(C, F)을 공유 비밀이라고 한다. 이때 생성된 공유 비밀은 바로 사용되지 않고, SHA512 알고리즘으로 해시값을 생성한 뒤 암호화 키로 사용되며, HC-256 알고리즘으로 파일 암호화를 수행한다. 암호화가 완료되면 파일의 끝에 피해자의 공개키(E)를 저장한다. 공격자는 이 공개키(E)와 자신이 보유한 개인키(D)를 이용해 공유 비밀을 다시 계산할 수 있으며, 같은 방식으로 해시를 적용해 파생키를 생성함으로써 해당 파일을 복호화할 수 있다.
그림 12. 파일 암호화 방식
파일 암호화 범위는 파일 크기에 따라 달라진다. 우선, 5MB 이하인 파일은 전체 데이터가 암호화된다. 파일 크기가 5MB를 초과하고 20MB 이하인 파일은 전체 파일 크기를 3등분한 위치를 기준으로 각 1MB 블록씩 총 3개 구간만 부분 암호화하며, 20MB를 초과하는 파일은 10MB 간격으로 1MB 블록을 반복적으로 암호화하는 방식을 사용한다. 이후 암호화가 완료되면 암호화 방식과 관계없이, 모든 파일 끝에 고정된 메타데이터 블록이 추가된다. 해당 블록에는 키 복구에 필요한 공개키와 파일에 적용된 암호화 방식 정보가 저장된다.
• 랜섬웨어 대응방안
그림 13. 랜섬웨어 대응방안
Reynolds 랜섬웨어는 드라이브 및 디렉터리 탐색, 실행 중인 프로세스 확인 등을 통해 암호화에 앞서 대상 파일과 시스템 환경을 확인한다. 따라서 행위 기반 탐지 솔루션을 적용해 비정상적인 파일 탐색, 프로세스 조회, 파일 접근 행위를 조기에 탐지 및 차단해야 한다.
또한 Reynolds 랜섬웨어는 취약점이 존재하는 드라이버를 시스템에 저장한 뒤, 드라이버 로드를 통해 백신, EDR 등 보안 프로그램을 무력화하는 BYOVD 기법을 사용한다. 이 같은 행위를 방지하기 위해 Microsoft의 취약 드라이버 차단 목록을 활성화하고, Windows의 애플리케이션 제어 정책을 적용해 승인되지 않은 드라이버의 저장 및 실행을 제한해야 한다. 또한 비정상 경로에 생성되는 .sys 파일, 신규 드라이버 서비스 등록, NtLoadDriver 호출, 보안 프로세스 강제 종료 시도를 중점적으로 모니터링해 BYOVD 행위를 조기에 탐지 및 차단해야 한다.
아울러 데이터 백업은 별도의 네트워크 구간이나 외부 저장소, 오프라인 매체에 주기적으로 분산 보관하고, 정기적인 복구 테스트를 통해 백업 데이터의 무결성과 복원 가능성을 지속적으로 점검해야 한다.
| Hash(SHA-256) |
| 6BD8A0291B268D32422139387864F15924E1DB05DBEF8CC75A6677F8263FA11D |
| 206F27AE820783B7755BCA89F83A0FE096DBB510018DD65B63FC80BD20C03261 |
• IoCs
■ 참고 사이트
Justice.gov (https://www.justice.gov/opa/pr/united-states-leads-dismantlement-one-worlds-largest-hacker-forums) Bleepingcomputer (https://www.bleepingcomputer.com/news/security/breachforums-hacking-forum-database-leaked-exposing-324-000-accounts) SC Media (https://www.scworld.com/brief/shinyhunters-marks-breachforums-departure-with-user-database-leak) hackread (https://hackread.com/shinyhunters-breachforums-leak-300000-user-database/)
1 RaaS (Ransomware-as-a-Service): 랜섬웨어를 서비스 형태로 제공해서 누구나 공격할 수 있도록 하는 비즈니스 모델
2 CVE-2025-68947: 권한 검증 부재 취약점으로, 로컬 인증 사용자가 조작된 요청을 통해 보호 프로세스를 포함한 임의 프로세스를 강제 종료할 수 있다.
3 NSecKrnl: 윈도우 커널 드라이버로 정상적으로는 엔드포인트 보안, 데이터 보호 기능 지원에 사용되는 구성요소
4 BYOVD(Bring Your Own Vulnerable Driver): 공격자가 정상적으로 서명되었지만, 취약점이 존재하는 드라이버를 시스템에 로드한 뒤, 이를 악용해 보안 제품을 우회하거나 악성 행위를 수행하는 기법