범죄의 동지들: 러시아어권 불법 가상자산 생태계 살펴보기

주요 요점

• 러시아어권 해커들이 랜섬웨어가상자산 장악하고 있다: 2023년 기준, 전 세계 랜섬웨어 가상자산 최소 69%를 차지했으며, 록빗(Lockbit)과 블랙캣/알프브이(BlackCat/ALPHV) 같은 그룹이 공격을 주도했다.
• 러시아어 다크넷 마켓(DNM)이 가상자산 거래를 독점: 2023년 전 세계 가상자산 마약 거래의 95%를 이 DNM들이 차지했으며, 크라켄 마켓(Kraken Market) 같은 플랫폼이 서구 경쟁사들을 압도했다.
• 제재 대상 활동은 매우 집중되어 있다: OFAC(해외재산관리국)의 제재를 받은 러시아 소재 거래소 가란텍스(Garantex)는 2023년 제재 대상 기관과 연계된 글로벌 가상자산 82%를 처리했다.
• 가상자산 군사 조달에가상자산 : 2021년 이후 러시아 및 중국 기관들이 우크라이나 전쟁과 연계된 군사 장비 및 이중용도 부품 획득을 위해 8,500만 달러 이상의 가상자산 사용해 가상자산 .
• TRM의 블록체인 인텔리전스 혁신을 블록체인 인텔리전스 : TRM Forensics 등은 위협 행위자의 인프라를 식별하는 데 도움을 주어, Hydra 및 Lockbit을 포함한 주요 범죄 조직을 무력화하기 위한 국제적 노력을 지원합니다.

{{premium-content_chapter-divider}}

러시아어권 가상자산 부상

랜섬웨어 불법 시장 운영자에 이르기까지, 러시아어권 위협 행위자들은 국제 가상자산 보편적인 세력으로 자리 잡았다.

가상자산 온라인 특성 및 프라이버시 도구 광범위한 사용으로 인해, 해당 행위자들이 실제로 러시아에 기반을 두고 있는지 또는 정부와 연계되어 있는지 확인하기는 종종 어렵습니다. 그러나 그들의 위치와 무관하게, TRM 연구에 따르면 러시아어 사용으로 결집된 이들 집단과 개인들은 대부분의 가상자산 사이버범죄 유형에서 과도한 역할을 수행하고 있습니다.

구 소련 지역 전역의 러시아어권 위협 행위자들은 랜섬웨어 불법 가상자산 및 다크넷 랜섬웨어 대부분의 가상자산 사이버 범죄를 지속적으로 주도하고 있다.

• 랜섬웨어: 러시아어권 랜섬웨어 랜섬웨어 가상자산 최소 69%를 차지했으며, 이는 5억달러를 초과했습니다.
• 다크넷 시장:2023년 다크웹에서 가상자산 불법 약물 판매의 95%를 러시아어 다크넷 시장이 차지했다.
• 제재: 러시아 기반 가상자산 가란텍스(Garantex) 한 곳으로 유입된 가상자산 전 세계 제재 대상 기관 전체 가상자산 82%를 차지했다.

러시아어권 가상자산 지배적 위상에 몇 가지 예외가 존재한다: 북한은 여전히 세계적 해킹 강국으로, 가상자산 약 10억 달러 상당의 가상자산 탈취한 주범이다. 한편 아시아 기반 범죄자들은 사기 및 투자 사기 분야에서 선두를 달리는 것으로 보인다. 그러나 러시아어권 위협 행위자들은 악의적 활동의 폭에서 독보적인 위치를 차지한다.

일부 러시아어권 위협 행위자들은 크렘린과 연계되어 있으며, 러시아 전쟁 노력을 위한 외국 장비 가상자산 적극적으로 활용해 왔다. 지난 3년간 이러한 유형의 조달 및 국경 간 거래에 관여한 러시아 및 중국 기관들이 사용하는 지갑으로 8,500만 달러 이상이 송금되었다.

본 보고서는 TRM Labs가 수집 및 분석한 블록체인 데이터를 종합하여 제공합니다. TRM Labs 러시아어권 위협 행위자들이 저지른 광범위한 가상자산 기록하기 위해 수집 및 분석한 블록체인 데이터를 종합합니다.

{{premium-content_chapter-divider}}

러시아어권 집단이 랜섬웨어 분야에서 세계를 선도하고 있다

랜섬웨어 랜섬웨어는 피해자의 파일이나 데이터를 암호화하여 접근을 불가능하게 만드는 악성 소프트웨어의 일종입니다. 공격자는 이후 암호 해독 키를 대가로, 주로 가상자산 몸값을 요구합니다. 랜섬웨어 주요 의료 및 인프라 시설을 대상으로 한 고위급 공격으로 인해 개인, 기업, 심지어 정부에 이르기까지 심각한 위협이 랜섬웨어 .

러시아어권 랜섬웨어 2023년 전체 랜섬웨어 최소 69%를 차지했으며, 이는 5억 달러를 초과했습니다. 2023년 최대 운영자이자 모두 러시아어권인 LockBit과 ALPHV/Black Cat은 합쳐 최소 3억 2천만 달러의 공격 수익을 올렸습니다.

랜섬웨어 또한랜섬웨어 (RaaS)'라 불리는 사이버 범죄 비즈니스 모델의 일환으로 자체 개발한 악성코드를 제휴사나 다른 위협 행위자들에게 판매하기도 합니다. 이는 라이선스 계약, 구독 서비스, 정액 요금 또는 수익 분배를 포함할 수 있으며, 이를 통해 악성코드의 신속한 배포와 공격 빈도 증가가 가능해집니다.

LockBit는 2024년 국제적 법 집행 작전을 통해 해체되기 전까지 세계에서 가장 활발한 랜섬웨어 중 하나였다. 해체 위기를 넘겼음에도 미래가 불투명한 이 그룹은 RaaS(Ransomware-as-a-Service) 모델을 운영하며 수천 건의 공격을 수행하고 피해자들에게 가상자산 거액의 몸값을 갈취했다.

2023년 록빗의 피해 기업에는 보잉과 영국 우편 운영사 로열 메일이 포함됐다. 보잉이 2억 달러(약 2,700억 원)의 몸값 지불을 거부한 것으로 알려지자 록빗은 해킹한 데이터 43기가바이트를 온라인에 공개했다. 로열 메일 역시 록빗이 탈취한 44기가바이트 데이터에 대한 8천만 달러(약 1,100억 원) 몸값을 지불하지 않았다.

BlackCat/ALPHV 역시 RaaS(랜섬웨어 서비스) 그룹으로, Rust 프로그래밍 언어로 작성된 정교한 랜섬웨어 사용합니다. 이는 효율성을 높이고 분석을 더욱 어렵게 만듭니다. 이 그룹의 중요성은 의료 및 핵심 인프라와 같은 주요 분야에 영향을 미치는 고급 이중 및 삼중 갈취 전술을 사용한다는 점에 있습니다.

2023년, BlackCat/ALPHV 공격은 MGM 리조트와 포춘 500대 기업인 헨리 샤인을 표적으로 삼았습니다. 헨리 샤인은 치과 및 의료용품 유통업체로, 의료 산업을 위한 진료 관리 소프트웨어 및 솔루션도 제공합니다.

{{premium-content_chapter-divider}}

러시아어 다크넷 시장이 가상자산 마약 판매를 독점하고 있다

러시아어 다크넷 마켓(DNM)은 전 세계 가상자산 다크 웹 마약 판매의 95%를 차지한다. DNM은 주로 불법 약물을 판매하는 다중 판매자 온라인 불법 글로벌 상거래 플랫폼이다. 확립된 형태의 초국적 조직범죄인 DNM은 익명화 네트워크와 암호화폐를 암호화 기술과 결합한다.

2024년 세계 최대 다크마켓(DNM)인 크라켄 마켓은 러시아어 기반 마켓플레이스다. 가상자산 러시아어권 3대 다크마켓의 가상자산 거래 규모는 14억 달러로, 2022년 대비 약 33% 증가했다. 반면 서구권 전체 다크마켓 생태계는 2023년 1억 달러 미만의 거래량을 기록했으며, 이는 2022년 대비 약 5분의 1 감소한 수치입니다.

북미, 서유럽, 호주에서는 DNM에서 구매한 약물이 일반적으로 고객에게 우편으로 발송된다. 반면 구소련 지역을 대상으로 하는 러시아어 DNM은 자클라드카(zakladka ) 또는 '숨겨둔 물건' 시스템의 일환으로 비밀 전달처를 이용한다.

일반적으로 우편 배달은 수일이 소요되지만, 비밀 전달 장소는 몇 분 안에 이루어질 수 있다. 이러한 효율성 덕분에 Tor와 텔레그램을 통해 운영되는 DNM 공급업체들이 러시아 내 불법 약물의 주요 공급원으로 거리 딜러들을 대체하게 되었다. 러시아어권 DNM 공급업체들은 또한 중국 제조사들로부터 상당량의 합성 마약 전구체를 조달하고 있다.

국제 합성 마약 거래에서 중국 마약 전구체 제조업체의 역할에 대한 자세한 내용은 TRM의 최근 보고서에서 확인하세요.

{{premium-content_chapter-divider}}

러시아에 기반을 둔 한 가상자산 전 세계 제재 대상 가상자산 거의 전부를 차지했다

러시아 기반 가상자산 가란텍스 2022년 4월 OFAC(해외재산관리국) 에 의해 제재된 OFAC(해외재산관리국) 2023년 전 세계 제재 대상 기관과 연관된 가상자산 82%를 차지했다. 여기에는 가상자산 아니라 미국 및 국제 제재 체제의 대상이 되는 개인들도 포함된다.

이 거래량의 일부는 러시아군에 의해 우크라이나에서 사용되는 군사 장비 및 핵심 부품을 구매하기 위해 제재 대상 중국 제조업체에 러시아어권 행위자들이 가상자산 추정됩니다. 해당 장비에는 상업용 무인항공기(UAV), 대(對)무인항공기 장비, 열화상 광학장비, 집적회로(IC), GPS 모듈, 그리고 러시아 무기 체계 생산에 필수적인 탄탈 콘덴서가 포함됩니다.

2021년 이후로 군사 및 이중용도 장비와 핵심 부품의 제조, 운송, 판매에 관여한 러시아 및 중국 관련 단체들의 지갑으로 최소 8,500만 달러가 송금되었습니다.

이 거래량 전부가 제재 대상 자산과 관련된 것은 아니다. 더 많은 주체가 발견되고 규명됨에 따라 증가할 가능성이 있는 이 거래량에는 러시아와 중국 간 광범위한 국경 간 거래의 일환으로 가상자산 결제되는 전쟁 노력과 무관한 기타 상품의 판매도 포함될 수 있다.

{{premium-content_chapter-divider}}

블록체인 인텔리전스 , 러시아어권 가상자산 블록체인 인텔리전스

가상자산 관련해서는 러시아 및 러시아어권 사이버 위협 행위자들이 뉴스에서 빠지지 않는다. 콜로니얼 파이프라인과 대중적인 ( AFL-CIO) 대회부터 영국국립도서관과 로열 메일까지, 이들은 최근 몇 년간 가장 주목받은 랜섬웨어 배후로 지목되어 왔다.

러시아어권 사이버 생태계는 헤드라인을 넘어, 익명 거래 플랫폼(DNM)부터 제재 대상 거래소 거래에 이르기까지 가상자산 각종 불법 거래의 배후에서 지배적인 세력이다. 일부 위협 행위자들은 우크라이나에서 전투 중인 러시아군을 위한 군사 장비 조달에 직접 관여하고 있다.

역사적, 규제적, 규범적 요인들은 가상자산 사이버범죄에 러시아어권 행위자들이 유독 많이 관여하는 현상을 설명하는 데 도움이 될 수 있다. 소련 붕괴는 합법적 경제 기회가 제한된 고도로 숙련된 러시아어권 노동력을 남겼다. 여기에 많은 후계국들의 엄격한 규제 체계와 집행 메커니즘 부재가 더해져 사이버범죄에 상대적으로 낮은 위험 환경을 조성했다. 공통된 언어와 배경을 바탕으로 사이버 범죄 행위자들은 다양한 구소련 국가들뿐만 아니라 서구의 디아스포라 커뮤니티를 가로지르는 유대를 형성하는 데에도 도움이 되었을 수 있으며, 이는 강력한 네트워크 효과를 창출했다.

러시아어권 범죄 조직은 구 소련 지역(및 그 외 지역)에서 활동하며 법 집행 기관의 탐지를 회피하기 위해 다양한 수단을 동원하기 때문에, 이들을 방해하는 일은 어렵고 시간이 많이 소요되는 작업이다. 그러나 블록체인 인텔리전스 활용하면 수사관들은 이들의 범행 수법에 대한 중요한 통찰력을 수집하고, 그들이 사용하는 물리적 인프라의 위치에 관한 핵심 단서를 모을 수 있다.

록빗(LockBit )과 당시 세계 최대 다크마켓(DNM)이었던 하이드라( Hydra) 같은 주요 조직의 해체는 블록체인 데이터에 기반한 국제적 법 집행 협력의 힘을 보여준다. 위협 환경이 진화함에 따라, TRM Labs 수십억 명의 사람들을 위한 더 안전한 금융 시스템을 구축하기 위해 시장 선도적인 도구를 지속적으로 혁신해 나갈 것입니다.

{{premium-content_chapter-divider}}

자주 묻는 질문(FAQ)

1. 러시아어권 불법 가상자산 무엇인가?

러시아어권 불법 가상자산 구소련 국가 및 디아스포라 지역에서 러시아어를 통해 운영되거나 연결된 사이버 범죄 행위자들을 지칭하며, 이들은 광범위한 가상자산 범죄를 저지르는 주체들이다.

2. 글로벌 랜섬웨어 러시아어권 행위자들의 역할은 얼마나 중요한가?

매우. 2023년, 이들은 최소 5억 달러( 랜섬웨어 가상자산 69%) 가상자산 창출했으며, 록빗(Lockbit) 및 ALPHV/블랙캣(BlackCat)과 같은 RaaS 그룹이 주도했다.

3. 랜섬웨어 (RaaS)란 무엇인가요?

RaaS는 랜섬웨어 제휴사에 라이선스 더 광범위한 배포를 가능케 하는 모델입니다. 이 모델은 더 빠른 공격 주기와 더 높은 수익을 촉진합니다.

4. 보고서에서 언급된 다크넷 마켓은 무엇인가요?

크라켄 마켓은 현재 최대 규모의 러시아어 비명명 암호화폐 시장(DNM)이다. 2023년 상위 3개 러시아어 DNM은 14억 달러 상당의 가상자산 처리했으며, 이는 서구 시장을 훨씬 능가하는 규모다.

5. 러시아의 불법 DNM은 서양의 것과 어떻게 다른가?

러시아 마약 밀매 조직은 우편 배송 대신 자클라드카 (사망 드롭) 시스템을 사용해 거의 즉각적인 지역 내 마약 유통을 가능하게 하고 운영 위험을 줄인다.

6. 가란텍스란 무엇이며 왜 중요한가?

가란텍스는 러시아 기반 가상자산 , OFAC(해외재산관리국)의 제재를 받고 있습니다. 2023년 제재 대상 기관과 가상자산 전 세계 가상자산 거래의 82%를 처리했습니다.

7. 가상자산 군사 조달에서 어떻게 가상자산 ?

러시아어권 배우들이 가상자산 중국 제조사로부터 드론, 열화상 장비, IC 등 군용 등급 물품을 가상자산 우크라이나 전쟁 지원에 기여했다.

8. TRM은 이 생태계를 조사하는 데 어떻게 도움이 되나요?

TRM은 가상자산 추적하고, 불법 네트워크를 적발하며, 사이버 범죄 조직의 운영을 차단하는 데 법 집행 기관을 지원하는 블록체인 인텔리전스 제공합니다.

9. 가상자산 러시아어권 배우들이 왜 그렇게 우세한가?

기여 요인으로는 소련 붕괴 이후의 경제적 불안정, 일부 관할 구역에서의 취약한 법 집행, 그리고 공통된 언어와 전문성을 바탕으로 한 강력한 국경 간 네트워크 등이 포함된다.

10. 법 집행 기관은 이들 행위자들에 대해 진전을 이루었는가?

네. 국제 공동 노력으로 하이드라(Hydra)와 록빗(Lockbit) 같은 주요 그룹이 무력화되었으며, TRM의 블록체인 분석이 어트리뷰션 운영 지원에서 핵심적인 역할을 수행했습니다.

{{premium-content_chapter-divider}}

정보 TRM Labs

TRM Labs 법 집행 기관 및 국가 안보 기관, 금융 기관, 가상자산 가상자산 사기 및 금융 범죄를 탐지, 수사, 차단할 수 있도록 블록체인 분석 제공합니다. TRM의 블록체인 인텔리전스 자금의 출처와 목적지를 추적하고, 불법 활동을 식별하며, 사건을 구축하고, 위협에 대한 운영 상황을 파악하는 솔루션을 포함합니다. TRM은 더 안전하고 보안이 강화된 가상자산 구축하기 위해 TRM을 신뢰하는 전 세계 주요 기관 및 기업들의 신뢰를 받고 있습니다.

TRM은 캘리포니아주 샌프란시스코에 본사를 두고 있으며 엔지니어링, 제품, 영업 및 데이터 과학 분야에서 채용을 진행하고 있습니다. 자세한 내용은 www.trmlabs.com 에서 확인하세요 .