사이버 범죄 조직의 경제 구조: 해커는 어떻게 돈을 버는가?

사이버 범죄는 조직화되고 산업화되어, 이제는 세계 최대 규모의 불법 경제 시스템 중 하나가 되었습니다. 이 콘텐츠에서는 해커들이 시스템 취약점과 기술을 이용해 어떻게 수익을 창출하며, 어떤 경제 모델이 존재하는지를 심도 있게 분석합니다.

---

1. 사이버 범죄 경제의 규모와 특징

현대 사이버 범죄는 단순한 이익 창출을 넘어 거대한 불법 경제 생태계로 성장했습니다.

• 사이버범죄 시장 규모는 2025년 기준 약 10.5조 달러(USD)에 달할 것으로 전망됩니다. cybersecurityventures.com
• 이는 세계 GDP 측면에서 미국, 중국 다음에 위치할 정도로 규모가 방대하며, 국제 마약 거래 규모를 능가합니다 .

이처럼 초거대 구조의 수익 시스템은 다음과 같은 특징을 지닙니다:

• 다계층 구조: 액세스 브로커 → RaaS 업체 → 악성코드 배포자 등 다양한 역할이 존재
• 서비스 제공 형태: Ransomware‑as‑a‑Service, Exploit‑as‑a‑Service, DDoS‑as‑a‑Service 등
• 금전 주입 방식: 비트코인 등 암호화폐를 통한 익명 결제 → 믹서 → 현금화
• 지속적 확장성: 신종 기법·자동화툴 도입을 통해 신규 진입자 상당수 유입

참고자료

• axios.com+12medium.com+12rsmus.com+12
• en.wikipedia.org+10en.wikipedia.org+10en.wikipedia.org+10

---

2. 사이버 범죄의 주요 수익 모델

---

2.1 랜섬웨어 as a Service (RaaS)

가장 대중적이고 수익성 높은 범죄 모델입니다.

• 개발자는 비용을 들여 랜섬웨어를 개발하고 유지
• 배포자는 라이선스 혹은 수익배분 형태로 사용
• 수익 모델: 구독·라이선스료·성과배분(개발자 20%, 배포자 80% 등)
• 수익 규모: 2020년만 해도 200억 달러 규모, 2024년에는 공격당 건당 평균 몸값 약 520만 달러 수준 .
  • 대표 조직: LockBit는 2022년 기준 전 세계 공격의 44% 차지, 약 9,100만 달러 몸값 수집

---

2.2 초기 접근 브로커 (Initial Access Brokers)

시스템 접근권 자체를 판매하는 사이버 “중개자”입니다.

• RDP, VPN, 웹앱 취약점 등을 자동화 도구로 스캔 및 침입
• 초기 데이터베이스 접근권은 수백 달러~수천 달러에 거래되며,
  • 2020년 평균 가격은 $5,400, 중앙값은 $1,000
• RaaS 공격의 확장성을 높이고, 진입장벽을 낮추는 역할

---

2.3 익스플로잇 as a Service (EaaS)

제로데이, 고유 취약점을 서비스로 제공하는 모델입니다.

• 제로데이를 직접 보유하거나 임대한 후, 이를 시간 단위 또는 프로젝트 단위로 제공
• IPFS와 스마트계약을 활용한 익명성 확보 사례도 등장 arxiv.org
• 신흥 모델로, 기술 고도화 → 가격 고가화 구조

---

2.4 사회공학 및 피싱

피싱, 스미싱, 소셜 미디어 사기 등 사람을 이용한 공격입니다.

• 소셜 플랫폼을 통한 멀웨어 유포, 정보판매, 자금 세탁 등
• 해커들 연간 약 32억 달러 수익 추정
• AI/딥페이크 기반 피싱이 등장, e스캔디나비아권 ‘Pig butchering’ 사기 확산

---

2.5 데이터 브로커 & 정보 판매

탈취된 개인정보, 기업 비밀자료 등을 다크웹, 포럼, 암호화폐 기반 시장에 판매합니다.

• 액세스 브로커, 소셜미디어 계정 판매, 내부문서 유출 등으로 구성
• IntelBroker 등 개인 브로커가 금융·정부 데이터를 판매해 수백만 달러 수익

---

3. 범죄 조직 운영 구조 및 경제적 생태

---

3.1 조직 구조의 계층화

사이버 범죄는 다음과 같은 구조로 이루어집니다:

• 개발자(Developers): 악성코드 설계/유지
• 액세스 브로커(IAB): 시스템 접근권 판매
• 배포자(Affiliates): RaaS 등 플랫폼을 활용, 랜섬웨어 유포
• 돈세탁 및 운영자: 암호화폐 믹서, 지갑 관리, 익명 현금화
• 지원자(C2 운영, 기술 지원, 포럼): 도메인·호스팅, 기술 문서 제공

---

3.2 수익 흐름 예시

1. 개발자는 RaaS 포럼에 랜섬웨어 삽입소프트웨어 출시
2. 배포자는 라이선스 구매 또는 수익공유 체결
3. 피해 기업 침투 → 랜섬노트 발송 → 몸값 지급
4. 지급된 암호화폐 → 믹서 → 현금화
5. 일부는 액세스 브로커에 수익 배분

---

3.3 경제 활동의 합법성 위장

• 범죄조직은 웹사이트, 고객지원, 깔끔한 문서, ‘프랜차이즈’ 구조를 유지
• RaaS 플랫폼은 마치 SaaS처럼 “서비스 매뉴얼, 고객관리, 기술 문서, FAQ 등”을 제공

---

2. 주요 사이버 범죄 조직 사례 분석

---

2.1 Conti 그룹 – RaaS의 대표적 수익화 모델

개요

Conti는 2020년부터 활동한 러시아계 사이버 범죄 조직으로, RaaS(Ransomware-as-a-Service)를 기반으로 하는 구조화된 랜섬웨어 집단입니다.

운영 구조

• 코어 개발팀: 랜섬웨어 개발, C2 인프라 유지
• 어필리에이트(Affiliates): 실질적인 공격 수행자
• 협상팀: 몸값 협상 담당, 피해 기업과 직접 연락
• 데이터 유출팀: 협상 실패 시 정보 공개 사이트에 자료 게시

수익 구조

• 수익 분배 비율: 개발팀 20%, 어필리에이트 7080%, 지원팀 510%
• 주요 수익원: 중견·대기업, 의료기관, 지방 정부 대상 공격
• 총 수익: 2022년 FBI 분석 기준 약 1억 8천만 달러 이상 벌어들임
• Conti Leaks 사건 이후 내부 운영 매뉴얼, 보안 교육, 급여 시스템까지 공개됨 (contileaks)

대표 공격

• COSTA RICA 국가기관 전체 랜섬웨어 공격(2022년)
• 아일랜드 보건복지청(HSE) 대상 대규모 마비 사태

---

2.2 Hive 랜섬웨어 – 의료기관 공격의 선두주자

개요

Hive는 주로 병원과 의료기관을 타깃으로 삼은 랜섬웨어 그룹으로, 피해자의 생명과 연결된 시스템을 공격함으로써 신속한 몸값 지급을 유도합니다.

기술 특징

• 이중 갈취 전략(Dual Extortion): 데이터 암호화 + 유출 협박
• 다국어 사용자 지원, 웹 기반 피해자 포털 운영
• FBI에 의해 2023년 초 전격 폐쇄 → 약 1,300건의 피해 차단

수익 및 피해

• FBI 공식 발표 기준: 약 1억 달러 이상 몸값 청구 기록
• 피해자: UCLA 병원, 브라질 의료기관 등 수십여 개국 의료기관

---

2.3 DarkSide – Colonial Pipeline 공격으로 유명

개요

DarkSide는 2020년 등장한 그룹으로, 미국 최대 송유관인 Colonial Pipeline을 랜섬웨어 공격해 약 5일간 미국 동부 연료 공급 마비를 일으킨 조직입니다.

운영 방식

• RaaS 형태 운영
• 피격 직후 언론 관심 집중 → 스스로 “폐업 선언” → 내부 자산 은닉

수익 구조

• Colonial 사건에서 약 440만 달러 비트코인 몸값 수취
• FBI는 이 중 약 63%를 추적 후 환수 성공

---

2.4 REvil – 고급 기술 기반의 사이버 범죄 집단

특징

• 공급망 공격 및 제로데이 익스플로잇 사용
• 기업별 맞춤형 암호화툴 생성, 협박 메일 자동 생성 기능 내장
• 가상화 인프라(VMware 등)도 공격 가능

피해 규모

• Kaseya 공격: 1,500개 중소기업에 피해
• JBS(세계 최대 육류 가공업체) → 1,100만 달러 지급

조직 해체

• 2022년 러시아 FSB가 체포 작전 발표 → REvil 일부 조직원 구금

---

2.5 LockBit – 현재 가장 활발한 랜섬웨어 조직

개요

LockBit은 2023~2024년 기준 가장 많은 공격 횟수를 기록한 그룹으로, ‘LockBit Black’이라는 최신 버전의 고도화된 랜섬웨어를 사용합니다.

수익 구조

• 공격 자동화 도구, 웹 기반 피해자 대시보드, AI기반 협상 로직까지 운영
• 피해 기업 수백 곳 대상, 평균 몸값 요구액 $850,000

대표 피해 사례

• City of Oakland, Royal Mail (영국) 등 공공기관 및 물류 기업 중심

---

3. 조직 비교 요약 표

조직명	활동 시기	주요 타깃	수익 추정	운영 구조
Conti	2020~2022	정부·의료·IT	$180M+	개발/배포/협상 분업화
Hive	2021~2023	병원·의료	$100M+	피해자 포털 + 이중 갈취
DarkSide	2020~2021	인프라	$90M+	RaaS, 공급망 공격
REvil	2019~2022	MSP, 대기업	$200M+	고급 기술·제로데이
LockBit	2019~현재	전 산업군	$300M+	자동화 도구·전문화

---

3. 사이버 범죄 수익의 세탁과 현금화 전략

---

3.1 암호화폐의 주요 활용 방식

가상화폐의 장점

사이버 범죄 조직은 주로 비트코인, 모네로(Monero), 이더리움 등의 암호화폐를 사용해 금전적 요구를 합니다.
그 이유는 다음과 같습니다:

• 익명성: 실명 인증 없이 주소 간 전송 가능
• 분산성: 정부나 은행의 개입 없이 거래 가능
• 추적 난이도: 모네로, Zcash 등은 익명성 기술을 적용해 추적이 거의 불가능

전형적인 랜섬웨어 수익 흐름

1. 피해자로부터 비트코인 등의 지불 수취
2. 믹서 또는 체인 분할 기술로 자산 추적 차단
3. 다크넷 거래소 또는 탈중앙 거래소(DEX)에서 현금화
4. 법정화폐 출금 또는 NFT·게임 아이템 등으로 자산 전환

---

3.2 믹서(Mixer)와 체인 분할(Chain Hopping)

믹서(Mixing Service)

암호화폐 믹서는 여러 사용자의 암호화폐를 섞은 뒤 무작위 지갑에 분산 송금함으로써 자금 출처를 숨기는 기술입니다.

• 대표 믹서 서비스: Tornado Cash, ChipMixer, Blender.io
• 미국 OFAC는 Tornado Cash를 제재 대상으로 지정(2022), Blender는 라자루스 그룹과 연계 확인됨

📌 실제로 Mixer를 통해 1,000건 이상 사이버 범죄 자금이 자금세탁된 사례가 있음

체인 분할 (Chain Hopping)

• 비트코인 → 라이트코인 → 모네로 → Zcash 등 복수 체인 간 자산 이동을 반복
• 탈중앙화 브릿지(Dex Bridge) 활용 시 자금 추적이 더 어려워짐
• 예시: Curve, THORChain 등을 통한 cross-chain 전송

---

3.3 NFT, 게임아이템, P2E 자산 세탁

사이버 범죄 조직은 NFT나 게임 내 아이템 거래를 통한 자금세탁 방식도 활용합니다.

• 위장된 ‘디지털 아트’를 구매/판매하며 거래 내역 숨김
• Play-to-Earn 기반의 가상자산을 통해 소규모 반복 거래 실행
• 거래소는 실물 검증 없이 NFT 거래 가능 → 세탁 및 재투자에 용이

---

3.4 다크웹 거래소와 익명 커뮤니티

다크웹 내 시장에서는 암호화된 커뮤니티(예: Tor, I2P)를 통해 가짜 신분증, 크레딧카드, 탈취된 정보 등이 거래되며, 대부분 암호화폐로 결제됩니다.

• AlphaBay, Hydra → 범죄 수익의 집결지 역할
• LockBit, Conti 등도 자체 유출사이트와 몸값 결제용 토르 포털 운영
• “출금 대행자” 또는 “법정화폐로 환전해주는 브로커” 존재

---

3.5 실물화 전환 방식

① 현금화 전략

• 현금 출금 대행 서비스 (개인간 거래 또는 소형 거래소)
• 사설 환전상, 범죄 은닉 계좌
• ‘선불카드’ 또는 기프트카드 구매 후 재판매

② 고정 자산 전환

• 가상화폐로 부동산, 차량, 명품 시계 등 고가 물품 매입
• 중남미, 동유럽 등에서 무기명 거래 허용 국가를 활용
• 일부 국가는 가상화폐 세금 부과가 없어, 합법적 수익으로 위장 가능

---

3.6 국제 감시와 대응

• FATF(자금세탁방지기구)는 2021년부터 암호화폐 ‘트래블 룰’ 적용 요구
• 미국, EU는 믹서와 DEX 브리지 대상 규제 강화 중
• Chainalysis, Elliptic 등 기업은 의심 주소 블랙리스트 관리
• 하지만 규제 공백과 범죄자의 기술 진화로 완전 차단은 어려움

---

4. 사이버 범죄의 서비스화 구조

4.1 RaaS – Ransomware-as-a-Service

개념

RaaS는 랜섬웨어를 서비스 형태로 판매하거나 배포하는 구조입니다.
전문 지식이 없는 공격자도 쉽게 참여할 수 있어 사이버 범죄 시장의 폭발적 확장에 기여했습니다.

구성 요소

• 개발자 팀: 암호화 알고리즘, UI, 결제 모듈 등 설계
• 어필리에이트: 공격 실행 및 감염자 확보 담당
• 지원 시스템: 피해자 전용 포털, 자동화된 협상 챗봇, 백화점식 랜섬웨어 제품 구성

대표 플랫폼

• LockBit, BlackCat(=ALPHV), Avaddon, REvil 등
• 일부 조직은 자체 브랜드 로고, 내부 커뮤니티, 설명서까지 운영

수익 분배

• 일반적으로 70~80%는 배포자에게, 나머지는 플랫폼 운영자에게
• 고정 요금제(월 구독), 커미션 기반, 맞춤형 계약 등 다양한 과금 모델 존재

---

4.2 Phishing-as-a-Service (PhaaS)

개념

피싱 공격 키트를 만들어 제공하는 서비스 형태로, 이메일·SMS·SNS 등을 통한 피싱 페이지 생성 도구를 제공합니다.

구성

• 템플릿 제공: 은행, 페이팔, 마이크로소프트 등 UI 복제본
• 자동화 도구: 메일 발송, 링크 생성, 쿠키 탈취 등
• 애널리틱스: 접속 수, 클릭률, 정보 수집 내역 통계 대시보드 제공

대표 사례

• 16shop, BulletProofLink 등
• 보안 업체들이 발견한 PhaaS 키트 중 다수가 정기 결제 형태로 배포됨

---

4.3 Malware-as-a-Service (MaaS)

개념

트로이목마, 키로거, RAT(Remote Access Tool), 인포스틸러 등을 서비스로 제공

기능

• 사용자 PC 제어
• 암호/쿠키 탈취
• 브라우저 세션 복제
• 은행 로그인 감시

대표 제품

• AZORult, RedLine Stealer, Emotet
• 관리자 콘솔을 SaaS 형태로 제공 → 피해 내역 실시간 확인 가능

---

4.4 DDoS-for-Hire & Exploit-as-a-Service

DDoS-for-Hire

• 사용자가 요금을 지불하고 특정 사이트 대상 트래픽 공격을 요청
• ‘Booter’ 혹은 ‘Stresser’ 서비스로 알려져 있음
• 클라우드 호스팅을 사용해 트래픽 우회

Exploit-as-a-Service

• 취약점 기반 공격 도구를 단기 임대 형태로 판매
• SaaS 플랫폼 형태로 취약점 목록, 사용법, 패치 회피 기능까지 제공

---

H3: 4.5 범죄형 SaaS 시장의 특징 요약

구분	설명	대표 조직/도구
RaaS	랜섬웨어 배포 플랫폼	LockBit, Conti, BlackCat
PhaaS	피싱 키트와 도구 제공	16shop, EvilProxy
MaaS	악성코드 제공 및 분석 기능 포함	RedLine, AZORult
DDoS-for-Hire	공격 서비스 대행	WebStresser, BooterX
EaaS	취약점 공격 자동화 도구	Nuclear Exploit Kit 등

---

4.6 산업화된 범죄 모델의 위험성

• 접근성 확대: 비전문가도 클릭 몇 번이면 공격 가능
• 중개 시장 형성: 각자 기능을 맡아 협력하는 분업 시스템
• 정기 수익화: 월 단위 결제 구조로 안정적 수익 기반 마련
• 보안 대응 한계: 공격 기법의 자동화로 탐지 우회 가능성 증가

---

5. 사이버 범죄 대응 체계 – 국제 수사와 처벌의 현실

---

5.1 사이버 범죄 추적의 기술적 원리

사이버 범죄 수사는 일반 범죄보다 복잡합니다. 익명성, 국경 없는 인터넷 환경, 암호화 기술 때문에 추적은 다음과 같은 전문 기술을 요구합니다.

주요 추적 기법:

• 디지털 포렌식: 하드디스크, 메모리, 네트워크 로그 등 분석
• OSINT (공개 정보 수집): 해킹 포럼, 다크웹 게시판, SNS 추적
• 트랜잭션 분석: 블록체인 기반 암호화폐 이동 경로 추적 (Chainalysis, Elliptic 등)
• TTP(전술·기술·절차) 식별: 특정 조직의 고유 공격 패턴과 코드를 기반으로 활동 추적
• C2 서버 위치 추적: 명령·제어 서버 IP, 도메인 등록 정보 확인

📌 예시: FBI는 DarkSide의 비트코인 지갑 주소를 추적해 Colonial Pipeline 몸값 중 약 63%를 회수함.

---

5.2 국가별 수사 및 법적 대응 체계

미국

• FBI Cyber Division, CISA, NSA, Secret Service 협업
• Computer Fraud and Abuse Act(CFAA) 적용
• 사이버 범죄자에 대해 최대 징역 20년형까지 가능

EU

• Europol EC3 (European Cybercrime Centre)
• INTERPOL, 국가 간 수배, 공조 수사 강화
• GDPR 및 NIS 지침을 위반하는 사이버 공격은 별도 형사처벌 가능

한국

• 경찰청 사이버범죄수사과, 국가정보원, KISA
• 정보통신망법, 개인정보보호법, 형법(컴퓨터 등 사용 사기죄 등) 적용
• 최근엔 디지털 증거 압수수색 역량 강화 중

---

5.3 국제 협력: 협약과 기구

부다페스트 협약 (Budapest Convention)

• 사이버 범죄 대응 최초의 국제 협약 (2001년)
• 67개국 이상 참여, 증거 공유·공동 수사·사법 협력 가능
• 그러나 중국, 러시아 등은 비참여 → 글로벌 수사 공조의 한계 발생

INTERPOL Cybercrime Directorate

• 사이버 범죄자에 대한 국제 수배, 증거 공유, 통합 정보 분석
• 최근 ‘Operation HAECHI’ 시리즈를 통해 수백 건의 사이버 사기 조직 검거

제3국 경유 서버 문제

• 범죄자는 중간 경유지로 법률 취약국의 호스팅 서비스를 이용함
• 국가 간 소환, 압수 수색, 체포가 현실적으로 어려움

---

H3: 5.4 실제 검거 사례 분석

조직	국가	수사 방식	결과
REvil	러시아	FSB 자국 내 검거	조직 해산 일부 성공
Emotet	일본 포함 8개국 공조	인프라 동시 폐쇄	감염 네트워크 차단
Hive	미국 주도	내부 침투 후 인프라 장악	1,300개 피해 예방
LockBit 조력자	우크라이나	FBI 수배 후 체포	송환 대기 중
AlphaBay 운영자	태국	다국적 수사 후 검거	사망으로 수사 종료

---

5.5 수사·처벌의 한계

• 익명성: VPN, Tor, Monero 등으로 행위자 추적 극히 어려움
• 국경 문제: 특정 국가는 협약 미가입, 범죄인 인도 거부
• 사법권 충돌: 동일 범죄에 대해 다수 국가가 서로 다른 법 적용
• 기술 우위: 수사당국보다 더 빠르게 진화하는 해커 조직 기술력
• 자금 추적 한계: 믹서, 체인호핑, NFT 등으로 경로 단절

---

5.6 개선을 위한 제안

• 글로벌 추적 시스템 통합 (Chainalysis + 국제 공조)
• 사이버 범죄 전담 국제재판소 설립 필요성 논의
• 공급망 보안 국제 인증 체계 개발 및 의무화 필요
• 가상자산 규제 프레임워크 통일 (FATF Travel Rule 실질 적용)

---

FAQ – 사이버 범죄 경제에 대한 자주 묻는 질문

결론 – 사이버 범죄의 경제, 현대 사회의 보이지 않는 전쟁터

사이버 범죄는 단순한 불법 행위를 넘어, 글로벌 경제 구조와 위협 수준을 바꾸고 있는 실체화된 산업입니다.
해커들은 더 이상 기술자 한 명이 아닌, 조직화된 경제 주체로서 기능하며, 고도화된 도구와 분업 구조를 통해 지속적인 수익 창출을 가능하게 만들었습니다.

이번 콘텐츠를 통해 다음과 같은 사실을 확인할 수 있었습니다:

• 해커는 다양한 서비스 기반 모델(RaaS, PhaaS 등)을 통해 범죄를 “상품화”하고 있습니다.
• 암호화폐, 다크웹, 믹서 기술은 자금 흐름을 은닉하며 범죄 수익의 현금화를 가능하게 합니다.
• 국제 사회는 일부 성과를 내고 있으나, 기술적 진화 속도에 비해 대응이 늦습니다.

사이버 범죄는 특정 국가의 문제가 아닌, 글로벌 협력이 필요한 보편적 위협 요소입니다.
개인, 기업, 정부 모두가 지속적인 경계와 기술 투자가 필요한 시점이며, 사이버 공간의 경제적 범죄 구조를 이해하는 것이 보안의 출발점이 되어야 합니다.

함께보면 좋을 사이버보안 시리즈

• 사이버보안 입문하기: 내 정보를 지키는 첫 걸음
• 사이버보안이란 무엇인가? 기초부터 알아보는 개념 정리
• 사이버보안: 암호화 기술? 데이터 보호의 핵심 기술
• 사이버 공격의 유형: 해킹, 피싱, 멀웨어, DDoS 등
• 개인 사이버보안: 나만의 보안을 지키는 10가지 방법
• 기업을 위한 사이버보안: 작은 기업도 할 수 있는 기본 보안 전략
• 사이버 보안: 제로트러스트? 내부도 신뢰하지 않는 보안 모델

신뢰할만 한 참고 자료

• Wikipedia – Ransomware as a Service 개요
• arXiv – 해커의 사회공학 및 SNS 기반 수익 구조 논문 (2023)
• Microsoft – 랜섬웨어 서비스 산업의 구조 분석 블로그