크라우드스트라이크 “중국 지하 생태계·AI 랜섬웨어 확산, 아태지역 보안 위기 심화”

크라우드스트라이크(CrowdStrike)가 최근 발간한 ‘2025 아태지역 전자범죄 환경 보고서(2025 APJ eCrime Landscape Report)’에서 중국 지하 생태계의 부상과 인공지능(AI) 기반 랜섬웨어의 고도화를 올해 아시아·태평양 지역의 주요 위협 트렌드로 지목했다.

보고서에 따르면, 중국 정부의 인터넷 규제와 전자범죄 단속에도 불구하고 일부 온라인 마켓플레이스는 여전히 아태지역 내 사이버 범죄 활동의 중심지 역할을 하고 있다. 이른바 ‘지하 생태계’는 탈취된 계정 정보, 피싱 키트, 악성코드, 자금세탁 서비스 등을 거래하는 은신처로 기능하며, 수십억달러 규모의 불법 거래가 이뤄지고 있는 것으로 분석됐다.

특히 AI가 사이버 공격 체인 전반을 자동화하면서 공격자들은 더 빠르고 효율적으로 공격을 전개하고 있다. 사회공학 기반 피싱 공격부터 자동화된 악성코드 생성까지 AI의 활용 범위가 확대되며, 아태지역 고가치 기업을 겨냥한 ‘빅게임 헌팅’형 랜섬웨어 공격이 급증했다.

크라우드스트라이크는 보고서에서 장안, 자유성, 후이원 개런티 등 중국어권 지하 마켓플레이스가 여전히 활발히 운영되고 있다고 밝혔다. 이들은 클리어넷과 다크웹, 텔레그램 등 다양한 채널에서 익명성을 유지하며, 운영 보안(OPSEC)에 집중하고 있다. 특히 후이원 개런티의 경우 2025년 폐쇄되기 전까지 약 270억달러 규모의 불법 거래를 처리한 것으로 추정된다.

또한 AI 기반 ‘서비스형 랜섬웨어(RaaS)’ 공급업체 ‘킬섹’과 ‘펑크로커’는 AI로 생성된 악성코드를 활용해 120건 이상의 공격을 수행했다. 피해 기업만 763곳에 달했으며, 주요 공격 대상은 제조·기술·금융 서비스 산업으로 나타났다.

보고서는 중국어를 사용하는 공격자들이 일본 증권 플랫폼을 표적으로 한 계정 탈취(ATO) 공격을 벌이며, 탈취한 계정을 통해 중국 주식의 시세를 조작하는 ‘펌프앤덤프(pump-and-dump)’ 사기 행위를 벌인 사실도 지적했다. 이 과정에서 확보한 데이터는 장안 마켓플레이스 등 지하 포럼에 재판매된 것으로 확인됐다.

이 밖에도 불릿프루프 호스팅 업체 CDN클라우드, 피싱 서비스 제공업체 매지컬 캣(Magical Cat), 글로벌 스팸 발송 서비스 그레이브스 인터내셔널 SMS 등 전자범죄 인프라 제공업체들이 공격 산업화를 가속하고 있는 것으로 분석됐다.

중국어권 공격자들은 ‘원격 액세스 툴(RAT)’인 ChangemeRAT, ElseRAT, WhiteFoxRAT 등을 활용해 중국어 및 일본어 사용자를 지속적으로 공격하고 있으며, 검색엔진 최적화(SEO) 조작, 악성 광고, 주문서 위장 피싱 등을 통해 피해자를 유인하는 사례가 증가하고 있다.

애덤 마이어스 크라우드스트라이크 공격 대응 작전 총괄은 “공격자들은 활발한 지하 생태계와 복잡한 랜섬웨어 전략을 통해 아태지역에서 사이버 범죄를 산업화하고 있다”며 “AI로 제작된 악성코드를 활용해 이전보다 훨씬 빠르고 대규모로 공격을 전개하고 있다”고 말했다. 이어 “기업은 AI 기반 보안 솔루션과 인적 전문성, 통합 대응 역량을 결합한 방어 체계를 구축해야 한다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network