신디케이트와 다크웹, 사이버 용병 시장

한상훈·2025년 5월 11일
범죄보안해킹

graygate

목록 보기
3/3

원글 링크: 신디케이트

신디케이트라는 단어는 여러 의미를 가진다. 노동 분야에서는 labor syndicates라는 표현으로 노동조합을 뜻하고, 범죄 세계에서는 crime syndicates라 하여 조직 범죄 집단을 의미한다. 보편적으로는 조직화된 집단을 가리키지만, 한국어로 굳이 바꾸자면 공통의 목표와 이익을 나누는 ‘이익 연합체’ 정도가 가장 유사할 것이다.

목적 달성을 위한 모임이라는 점에서는 카르텔과 비슷하지만, 신디케이트는 분명히 다르다. 카르텔은 담합을 통해 독점 구조를 만들며 경쟁을 피하는 방식으로 완성된다. 예를 들어, 마약 카르텔은 서로 경쟁하는 것이 아니라 서로 합의해 가격이나 판매 영역을 나눈다. 국제 석유 시장에서는 OPEC과 같은 생산량 조절 카르텔도 존재한다. 경쟁을 최소화하고 함께 가격이나 생산량을 조정해 최대 수익을 노리는 방식이다.

반면 신디케이트는 공동의 목표를 달성하기 위해 만들어진다. 목적이 달성된 뒤에는 붕괴될 가능성도 크다. 범죄 조직 신디케이트를 예로 들면, 시장 지배적인 1위 조직을 치기 위해 2, 3위 조직이 손잡고 신디케이트를 결성할 수 있다. 이들이 1위를 무너뜨리고 나면, 그때부터는 서로가 새 1위를 차지하기 위해 싸우게 된다. 이 과정에서 신디케이트는 목적 달성 후 자연스럽게 와해된다.

물론 이 두 개념을 엄격하게 분리할 필요는 없다. 카르텔이 신디케이트가 될 수 있고, 신디케이트가 카르텔화될 수 있다. 상황에 따라 경계는 흐려진다.

사이버 범죄 세계에서도 신디케이트는 자주 등장한다. 국제 해커 조직들은 보통 단일 조직처럼 보이지만, 때때로 힘을 합쳐 활동하거나 각자의 전문성을 나눠 일을 진행하기도 한다.

예를 들어, 실제 해킹을 통해 정보를 취득하거나 송금 시스템을 뚫는 조직이 있다면, 빼낸 돈을 세탁하는 역할은 주로 동남아나 아프리카, 중국 쪽의 조직들이 담당한다. 마지막으로 세탁된 자금을 현금화하는 조직이 또 따로 붙는다. 이렇게 세 과정이 서로 다른 조직의 느슨한 연결로 이어지다 보니 수사 과정에서는 추적이 어렵다.

대표적인 사례가 REvil과 Lazarus다. REvil은 러시아어권 랜섬웨어 조직으로, 공격 부문과 협상 부문, 수익 배분 부문이 철저히 분리된 신디케이트형 구조를 가졌다. 실제 공격은 하위 파트너들이 수행하고, 본 조직은 몸값 협상과 자금 분배를 담당했다.

반면 Lazarus는 북한 국적의 사이버 범죄 조직이지만, 필요에 따라 외부 세탁 조직이나 암호화폐 믹서 서비스와 협력해 거대한 범죄 신디케이트를 형성해왔다. 두 조직 모두 단일 체계처럼 보이지만, 내부적으로는 역할과 이익 분배가 명확히 구분된 구조로 움직인다.

이런 범죄 신디케이트를 무너뜨리는 것은 국가기관들의 주요 전략 목표다. 해외에서는 신디케이트를 해체하기 위해 ‘분할과 배제(Divide and Disrupt)’ 전략을 사용한다. 이 전략은 내부 조직 간 신뢰를 무너뜨리고, 금전적 흐름에 혼란을 주어 스스로 붕괴하게 만드는 방식이다.

미국 FBI와 DEA가 콜롬비아 칼리 카르텔(Cali Cartel)을 무너뜨린 사례가 대표적이다. 이들은 내부 조직원의 배신을 유도하고, 조직 간 통신망을 교란시켜 상호 신뢰를 붕괴시켰다. 신디케이트의 특징이 느슨한 연결망인 만큼, 연결선 하나가 잘리면 전체 구조가 도미노처럼 무너지게 된다.

사이버 범죄 수사에서도 비슷한 방식이 쓰인다. Operation Disruptor라는 국제 공조 작전에서는 다크웹 마켓을 운영하던 조직들을 하나씩 차단하고, 자금 세탁 루트를 동시다발적으로 공격해 신디케이트 전체를 와해시켰다. REvil의 경우도 러시아 내에서 정치적 압력과 동시에 내부 분열이 발생하면서 사실상 해체되었다. 내부 이익 분배 갈등이 터지고, 그 틈을 서방 수사기관들이 파고들었다. 결국 신디케이트가 유지되려면 서로의 리스크를 분산시키고, 합리적인 이익을 추구할 수 있는 구조가 되어야 한다.

바꿔 말하면, 이들의 신디케이트를 무너뜨리기 위해서는 내부 결속에 균열을 내거나, 서로의 손익계산서 숫자를 바꿔놓는 사건을 만들면 된다. 숫자 몇 개가 바뀌는 순간, 견고해 보이던 신디케이트도 와해되고, 결국 그들의 계획은 실패로 끝난다.

실크로드에서 하이드라까지

다크넷 마켓플레이스의 역사는 단순한 익명 거래의 기록이 아니다. 이는 디지털 범죄 신디케이트가 진화하고 분열하며 재통합하는 과정을 보여주는 현대 범죄사의 한 단면이다. 실크로드부터 하이드라에 이르기까지, 각 시대는 신디케이트의 논리가 어떻게 다크웹 경제를 지배했는지를 극명하게 드러낸다.

실크로드: 다크넷 마켓의 탄생 (2011~2013)

2011년, 로스 울브리히트(일명 "드레드 파이럿 로버츠")가 창시한 실크로드는 단순한 암시장을 넘어 최초의 조직화된 다크넷 신디케이트였다. 마약, 위조 문서, 해킹 도구가 거래되었으며, 울브리히트와 그의 핵심 팀은 분쟁 조정, 에스크로 서비스, 플랫폼 운영을 통해 신디케이트의 기반을 다졌다. 이 시스템은 전형적인 범죄 조직의 구조를 띄고 있다.

  • 전문화: 판매자는 공급에 집중, 플랫폼은 신뢰와 물류를 관리
  • 수익 분배: 거래 수수료는 운영자들에게 집중되며 경제적 유인 체계 구축

2013년까지 실크로드는 10만 명 이상의 사용자와 수백만 달러 규모의 비트코인 거래를 기록했다. 그러나 중앙집권적 구조는 결국 아킬레스건이 되었다. 2013년 10월, FBI의 서버 압수와 울브리히트 체포로 첫 번째 대규모 다크넷 신디케이트는 무너졌다.

마켓플레이스 전쟁: 분열과 재편 (2014~2017)

실크로드의 붕괴는 다크넷 경제의 종말이 아닌, 새로운 경쟁의 서막이었다. 실크로드 2.0, 아고라, 알파베이, 한사 등의 플랫폼이 등장하며 신디케이트 모델을 계승·발전시켰다. 이들은 기술적 진화를 통해 생존 전략을 강화했다.

  • 멀티시그(Multi-sig) 에스크로로 사기 방지
  • PGP 암호화를 통한 보안 강화
  • 평점 시스템을 활용한 비공식적 거버넌스 구축

이 시기의 다크넷은 마피아 조직이 영역을 나누는 듯한 양상을 보였다. 알파베이는 2017년 일일 거래액 60~80만 달러를 기록하며 최대 시장으로 부상했다. 그러나 국제적 수사 협력은 더욱 강력해졌다. 2017년 오퍼레이션 베이오넷(Operation Bayonet)으로 알파베이와 한사가 동시에 무너졌으며, 특히 한사를 미리 장악해 알파베이의 판매자들을 유인한 작전은 사이버 범죄 수사의 전환점이 되었다.

하이드라: 러시아 신디케이트의 도전 (2015~2022)

서구 시장들이 붕괴되는 동안, 하이드라는 동유럽을 기반으로 독보적인 모델을 구축했다. 2015년 출범한 하이드라는 기존 플랫폼과 차별화된 전략을 펼쳤다.

  • 지역 집중: 러시아·우크라이나 등 동유럽 시장에 특화
  • 데드드랍(Dead Drop) 시스템: 배송 대신 숨겨진 장소에서 물품을 수령하는 방식으로 추적 회피
  • 신디케이트적 운영: 판매자에 대한 엄격한 통제, 6%의 판매세 부과, 자체 암호화폐 세탁망 구축

하이드라는 단순한 마켓플레이스를 넘어 포괄적인 범죄 생태계로 성장했다. 2021년 기준, 러시아 다크넷 마약 시장의 90%를 장악하며 연간 13억 7천만 달러의 매출을 기록했다.

하이드라의 최후: 신디케이트 vs 국가 권력 (2022)

2022년 4월, 독일 당국은 미국과 협력해 하이드라의 서버와 2,500만 달러 상당의 비트코인을 압수했다. 기존 서구 플랫폼들이 기술적 결함으로 무너진 것과 달리, 하이드라는 지정학적 압박에 의해 붕괴되었다.

우크라이나 전쟁으로 러시아계 범죄 조직에 대한 국제적 감시가 강화

중앙집권적 구조가 오히려 일격에 붕괴하는 약점으로 작용

다크넷 신디케이트의 미래

실크로드부터 하이드라까지의 역사는 범죄 신디케이트의 생존 전략과 한계를 동시에 보여준다.

  • 분업화와 경제 체계로 효율성 극대화
  • 붕괴 요인: 내부의 배신, 과도한 중앙화, 국가 권력의 개입
  • 재탄생: 각 붕괴 이후 더 강력하고 분산된 신디케이트 출현

현재도 메가(Mega), 블랙스푸트(BlackSprut), OMG!OMG! 마켓 등의 플랫폼이 선배들의 실패를 교훈 삼아 진화 중이다. 다크넷은 단순한 암시장이 아닌, 지속적으로 적응하는 범죄 신디케이트의 생태계임을 증명해왔다. 국가의 감시가 강화될수록, 이들의 조직화와 기술적 진화는 더욱 정교해질 전망이다.

사이버 용병 시장

21세기 들어 범죄 신디케이트는 물리적 경계를 넘어 사이버 공간으로 확장됐다. 그러나 최근의 트렌드는 단순한 해커 범죄 조직화를 넘어섰다. 이른바 사이버 용병 시장 — 민간 해커 집단들이 신디케이트화되어 국가와 기업을 위해, 때로는 그들에 맞서 고용되는 구조가 존재한다.

초기 해커 집단: 이념과 범죄의 경계 (2000년대)

2000년대 초반의 해커 집단들은 이념적 성격과 범죄적 성격이 혼재돼 있었다. Anonymous, LulzSec, Cult of the Dead Cow 같은 그룹들은 정치적 해킹(핵티비즘)과 금전적 해킹을 동시에 수행했다. 그러나 이들은 비교적 느슨한 네트워크로, 일종의 해커 카르텔에 가까웠다.

신디케이트화의 전환점: REvil과 Conti의 모델 (2019~2022)

2019년 이후 등장한 REvil, Conti, DarkSide 같은 랜섬웨어 그룹들은 본격적으로 신디케이트화된 구조를 보였다. 이들은 단순 해킹을 넘어, RaaS (Ransomware-as-a-Service) 모델을 구축했다. 이 구조는 전통적 범죄 신디케이트의 역할 분업화, 수익 배분, 내부 거버넌스 모델과 완벽히 일치했다.


source: https://www.bankinfosecurity.com/killnet-a-21050

사이버 용병 시장의 부상 (2022~)

러시아-우크라이나 전쟁을 기점으로 해커 신디케이트들은 본격적으로 사이버 용병 시장으로 진화하기 시작했다.

  • Killnet: 러시아 친정부 성향의 해커 집단으로, NATO 국가들에 DDoS 공격
  • Lazarus Group: 북한 정부의 지시 아래 있지만, 때때로 금전적 해킹과 국가 사이버전 양쪽을 병행
  • APT-for-Hire 시장: 기업이나 국가가 민간 해커팀을 고용해 맞춤형 공격을 수행

이 구조는 기존의 신디케이트와 다르게, 국가-민간 경계가 흐려진 형태를 보인다. 사이버 용병들은 필요에 따라 누구에게든 고용될 수 있다.

  • 국가 정보기관 → 비공식 해커팀 고용 (deniable operation)
  • 범죄 조직 → 전문 해커를 일시 고용
  • 심지어 기업끼리 경쟁사를 대상으로 고용하는 사례 발생

기술 발전이 가져온 구조적 변화

  • Malware-as-a-Service: 누구나 저렴하게 해킹 툴을 임대 가능.
  • Initial Access Broker (IAB): 네트워크 침투권을 전문적으로 판매하는 신흥 신디케이트.
  • 크라우드 소싱 해킹: 포럼과 다크웹을 통해 대규모 협력 공격 수행.

이러한 기술적 구조는 해커 신디케이트들을 일시적, 유동적 용병화된 신디케이트로 만들었다.

붕괴와 대응 전략: 신디케이트 논리의 약점

역사적으로 모든 신디케이트는 다음과 같은 순간에 붕괴할 수 있었고 과거 사례는 다음과 같다.

  • 배신: 내부 고발자 출현 (예: Conti의 내부원 리크)
  • 국가 공격: 수사기관의 동시 타격 (예: REvil 서버 몰수)
  • 수익 분배 갈등: Affiliates와 본사 간 분쟁

따라서 사이버 용병 신디케이트도 이와 같은 내부적 균열이 가장 큰 리스크 포인트다. 실제로 2022년 이후 다수의 러시아 해커 그룹들은 서로 분열하고, 국가와의 관계 속에서 복잡한 역학을 보이고 있다.

Initial Access Broker(IAB) 신디케이트의 구조와 수익모델

사이버 범죄 생태계가 점점 복잡해지면서, 기존의 단일 해커 그룹 모델은 효율성을 잃었다. 그 틈을 파고든 것이 바로 Initial Access Broker (IAB) 신디케이트다. 이들은 해킹 세계에서 마치 도둑이 열쇠공에게 의뢰하듯 침입권을 전문적으로 거래하는 중간상인형 범죄 조직이다.

IAB란

  • Initial Access: 기업, 기관, 개인 네트워크에 최초로 침투할 수 있는 권한
  • Broker: 이를 수집해 다크웹 마켓이나 신디케이트 내에 판매하는 브로커 조직

과거엔 해커가 스스로 침입부터 금전화까지 모두 수행했지만, 오늘날엔 IAB가 침투권을 공급하고, 다른 전문 조직이 이를 활용해 랜섬웨어, 정보 탈취, 돈세탁을 수행하는 분업화 생태계가 형성됐다.

IAB 신디케이트의 구조

  • 스캐너 팀: VPN, RDP, Citrix 등 원격 접속 시스템의 취약점을 자동화 스캐닝. 대규모로 취약한 시스템 목록 확보
  • 침입자 팀: 수집된 취약 시스템에 직접 침입해, 초기 권한 획득. 종종 소규모 멀웨어를 심어 백도어 확보
  • 브로커(중앙 조직): 확보한 침입권을 다크웹 마켓에 게시. 랜섬웨어 그룹, 데이터 탈취 그룹, 국가 APT 팀에게 판매
  • 수익 분배: 스캐너와 침입자는 수익의 20~30%를 받고, 브로커가 나머지 70~80%를 가져감

수익모델

  • 1건당 거래가격: 기업 규모에 따라 $1,000 ~ $100,000
  • VIP 타겟 (은행, 의료기관, 정부기관)은 거래가격이 10배 이상.
  • 구독형 서비스: 일부 IAB는 특정 공격조직과 월 구독형 계약을 맺고, 지속적으로 접근권을 공급.

예시:

  • 2022년, 한 IAB는 미국 병원 6곳 접근권을 1건당 $50,000에 다크웹 포럼에서 거래.
  • 러시아어권 마켓에서는 5,000대 규모 기업 RDP 접근권을 일괄 판매하는 대형 거래도 빈번하다.

대표 IAB 신디케이트

  • Zebra210: 랜섬웨어 그룹에 고품질 침입권을 공급
  • Fxmsp: 2019년 FBI에 의해 적발된 IAB, 전 세계 135개 기업 네트워크 침입권 판매
  • Wicked Panda: 중국계로 알려진 IAB형 조직, 국가적 APT와 범죄용 침입권 양쪽 모두 거래

왜 IAB 모델이 부상했는가?

  • 리스크 분산: 해커 조직은 침입권만 팔고, 실제 공격 책임을 회피.
  • 속도 향상: 랜섬웨어 그룹은 IAB를 통해 이미 침투된 기업을 빠르게 구매, 공격 속도를 높임.
  • 분업 최적화: 침입, 공격, 돈세탁 각각 전문화.

수사기관의 대응과 붕괴 사례

  • Fxmsp 체포 (2019): 카자흐스탄 출신 브로커, FBI에 의해 기소. 내부 협력자의 배신으로 붕괴
  • Genesis Market 폐쇄 (2023): IAB형 거래소를 운영하던 다크웹 플랫폼, 인터폴과 FBI 공조로 폐쇄
  • Infraud Organization: 신용카드 침입권을 거래하던 IAB형 신디케이트, 다국적 작전으로 해체

오늘날 랜섬웨어 생태계, 정보 탈취 그룹, 사이버 용병 모두가 IAB를 통해 공격기회를 얻고 있다. 이들은 일종의 디지털 암거래소이자, 현대 신디케이트의 심장부라 할 수 있다.

profile
한상훈
서른살 때부터 포르쉐 타다 쫄딱 망한 사람
이전 포스트

NSO, Candiru, 그리고 해커 용병 기업

0개의 댓글