메인 콘텐츠로 이동하기
  1. 보안 시사 분석/
  2. 2026/
  3. Week 02/

사이버보안 전문가들의 BlackCat 랜섬웨어 범죄 자백 사건

·5078 자·11 분
Security-Issues-Analysis 내부자위협 랜섬웨어 BlackCat ALPHV 사이버보안윤리 RaaS
목차

사이버보안 전문가들의 BlackCat 랜섬웨어 범죄 자백 사건 #

기사 정보 #

핵심 요약 #

사이버보안 기업 Sygnia와 DigitalMint의 인시던트 대응 전문가들이 자신들이 방어해야 할 BlackCat/ALPHV 랜섬웨어를 오히려 사용하여 미국 기업들을 공격하고 갈취한 혐의로 유죄를 인정했다. 두 명은 각각 최대 20년 징역형에 처할 수 있으며, 총 피해액은 950만 달러를 초과한다.

사건/이슈 배경 #

무슨 일이 일어났는가? #

2025년 12월 29일, 미국 플로리다주 연방법원에서 Ryan Goldberg(40세, 조지아주)와 Kevin Martin(36세, 텍사스주)이 “상거래 방해를 위한 갈취 공모죄(conspiracy to obstruct commerce by extortion)” 1건에 대해 유죄를 인정했다. 두 명 모두 2026년 3월 12일 선고를 받을 예정이며, 각각 최대 20년 징역형에 처할 수 있다.

이들은 2023년 4월부터 12월까지 이름이 공개되지 않은 제3의 공모자와 함께 미국 기업들을 대상으로 BlackCat(ALPHV로도 알려짐) 랜섬웨어 공격을 수행했다. 특히 충격적인 것은 이들의 직업이었다:

  • Ryan Goldberg: 사이버보안 회사 Sygnia의 인시던트 대응 관리자 (Incident Response Manager)
  • Kevin Martin: 사이버 위협 인텔리전스 및 인시던트 대응 기업 DigitalMint의 랜섬웨어 협상가 (Ransomware Negotiator)
  • 제3의 공모자 (신원 미공개): DigitalMint의 또 다른 랜섬웨어 협상가, 플로리다주 Land O’Lakes 거주

기소장에 따르면, “세 명 모두 사이버보안 업계에서 일했다. 즉, 컴퓨터 시스템을 피해로부터 보호하는 특별한 기술과 경험을 가지고 있었다. 바로 자신들이 피해자들에게 가하고 있던 유형의 피해로부터 말이다.”

이들은 BlackCat의 제휴 파트너(affiliate)로 활동하며, 받은 랜섬의 20%를 BlackCat 운영자에게 지불하고 나머지 80%를 3명이 나눠 가졌다. 한 피해자(플로리다 기반 의료 기기 회사)로부터 약 120만 달러의 비트코인을 갈취한 후, 이들은 암호화폐 믹서와 여러 지갑을 통해 자금을 세탁했다.

범죄 타임라인 #

  • 2023년 5월: 첫 공격 시작 (플로리다 의료 회사, 1,000만 달러 요구)
  • 2023년 4월~12월: 미국 전역의 최소 5개 기업 공격 (3개는 의료 기관)
  • 2023년 9월: FBI가 공모자 중 한 명을 급습했다는 정보를 Goldberg가 입수
  • 이후: Goldberg가 아내와 함께 파리로 도피
  • 2023년 9월 22일: Goldberg 체포
  • 2023년 10월 14일: Martin 체포
  • 2025년 10월 2일: 두 명에 대한 공식 기소
  • 2025년 12월 29일: 유죄 인정

누가 관련되었는가? #

  • 범죄자:

    • Ryan Clifford Goldberg (40세, 조지아주 Watkinsville) - Sygnia 前 인시던트 대응 관리자
    • Kevin Tyler Martin (36세, 텍사스주 Roanoke) - DigitalMint 前 랜섬웨어 협상가
    • 신원 미공개 공모자 (플로리다주 Land O’Lakes) - DigitalMint 前 랜섬웨어 협상가

  • 피해자: 미국 기업 최소 5개 (3개는 의료 기관), 총 피해액 950만 달러 초과

  • 관련 조직:

    • BlackCat/ALPHV: 2021년 11월 출현, 2023년 12월 FBI에 의해 중단되기 전까지 1,000개 이상 조직 공격, 총 3억 달러 이상 랜섬 수취. 2024년 Change Healthcare 공격 후 출구 사기(exit scam) 실행
    • Sygnia: 이스라엘 사이버보안 기업, Goldberg를 사건 인지 즉시 해고
    • DigitalMint: 시카고 기반 사이버 위협 인텔리전스 및 인시던트 대응 기업, 사건에 연루된 직원들 해고 및 법무부 수사 협조

원인 분석 #

기술적 원인 #

  1. BlackCat/ALPHV 랜섬웨어 사용:

    • Ransomware-as-a-Service (RaaS) 모델
    • 개발자는 랜섬웨어와 인프라 구축/유지
    • 제휴 파트너(affiliate)는 고가치 표적 공격 수행
    • 랜섬 수익을 80:20으로 분배 (제휴자:개발자)

  2. 전문적 지식 악용:

    • 인시던트 대응 전문가로서 피해 조직의 취약점을 정확히 파악할 수 있는 능력
    • 랜섬웨어 협상가로서 협상 심리와 최적 요구 금액 결정 능력
    • 법의학 조사와 탐지 기법에 대한 깊은 이해로 추적 회피 가능

  3. 자금 세탁:

    • 비트코인으로 랜섬 수취
    • 암호화폐 믹서(cryptocurrency mixer) 사용
    • 여러 지갑을 통한 자금 분산

관리적/절차적 원인 #

  1. 내부자 위협 탐지 실패:

    • Sygnia와 DigitalMint 모두 직원들의 이중 생활을 사전에 탐지하지 못함
    • 직원의 외부 활동이나 비정상적 금융 거래에 대한 모니터링 부재
    • 이해 충돌(conflict of interest) 관리 체계 미흡

  2. 고용 심사 및 지속적 모니터링:

    • 초기 고용 시 배경 조사가 충분했는지 불명확
    • 고용 후 지속적인 신뢰도 평가 부재

  3. 제휴 파트너 계정 획득:

    • 신원 미공개 공모자가 BlackCat의 제휴 계정을 획득한 과정이 명확히 공개되지 않음
    • 일반적으로 RaaS는 “초대제” 또는 다크웹 포럼을 통한 접근

인적 원인 #

  1. 금전적 동기:

    • Goldberg의 자백에 따르면, 부채에서 벗어나기 위해 범죄에 가담
    • 공모자가 “몇몇 회사를 랜섬"하여 돈을 벌자고 제안했을 때 동의

  2. 도덕적 해이:

    • 피해자를 보호해야 할 전문가로서의 윤리 의식 부재
    • 자신들이 방어해야 할 공격을 오히려 수행하는 이중성

  3. 공포와 지속:

    • Goldberg는 시작 후 종신형에 대한 두려움을 느꼈다고 진술
    • 그럼에도 2023년 9월 FBI 급습 정보를 입수한 후에도 도피를 시도하며 계속 은폐

영향 및 파급효과 #

직접적 영향 #

  1. 피해 조직:

    • 최소 5개 미국 기업 (3개는 의료 기관)
    • 서버 암호화로 인한 운영 중단
    • 총 피해액 950만 달러 초과 확인
    • 한 피해자는 120만 달러 지불

  2. BlackCat/ALPHV 운영:

    • 2021년 11월~2023년 12월: 1,000개 이상 조직 공격
    • 2023년 9월까지 최소 3억 달러 랜섬 수취
    • 2024년 Change Healthcare 공격: 2,200만 달러 랜섬, 1억 9,270만 명 데이터 유출 (미국 역사상 최대 의료 데이터 침해)

  3. 법적 처벌:

    • Goldberg와 Martin 각각 최대 20년 징역형
    • 2026년 3월 12일 선고 예정
    • 신원 미공개 공모자는 여전히 수사 중

간접적 영향 #

  1. 사이버보안 업계 신뢰도 저하:

    • “방패를 든 자가 칼을 휘두른” 사례
    • 고객들이 인시던트 대응 기업을 신뢰하기 어려워질 수 있음
    • 업계 전반의 평판 손상

  2. 내부자 위협에 대한 경각심 증대:

    • 사이버보안 전문가들도 위협 행위자가 될 수 있다는 인식
    • 업계 전반에 걸쳐 내부자 위협 탐지 및 예방 체계 강화 필요성 대두

  3. 고용 관행 재검토:

    • 사이버보안 기업들의 직원 심사 및 모니터링 강화 예상
    • 이해 충돌 정책 및 윤리 교육 강화

  4. 의료 부문 타겟팅:

    • FBI, CISA, HHS가 2024년 2월 공동 권고에서 BlackCat 제휴자들이 주로 미국 의료 부문을 표적으로 삼고 있다고 경고
    • 의료 기관의 랜섬웨어 대응 능력 강화 필요

예상 피해 규모 #

  • FBI가 2023년 12월 BlackCat 인프라 중단 시, 복호화 도구로 피해자들이 약 9,900만 달러의 랜섬 지불을 막았다고 추정
  • 미국 정부는 2024년 초부터 BlackCat 핵심 멤버 정보에 1,000만 달러 현상금 제시했지만, 아직 핵심 멤버에 대한 기소는 발표되지 않음

예방 및 대응 방안 #

사전 예방 방법 #

  1. 내부자 위협 프로그램 강화:

    • 직원의 비정상적 행동 탐지 (근무 시간 외 시스템 접근, 대량 데이터 다운로드 등)
    • 금융 거래 모니터링 (갑작스러운 부의 증가, 암호화폐 거래)
    • 정기적인 신뢰도 재평가
    • 익명 내부 고발 채널 운영

  2. 고용 및 인사 관리:

    • 철저한 배경 조사 (범죄 기록, 금융 상태, 이전 고용 기록)
    • 정기적인 윤리 교육 및 서약
    • 명확한 이해 충돌 정책 (외부 활동 신고 의무)
    • 직무 분리 원칙 (한 사람이 공격과 방어를 모두 담당하지 않도록)

  3. 기술적 통제:

    • 특권 계정 모니터링 (Privileged Access Management, PAM)
    • 사용자 및 엔터티 행동 분석 (UEBA)
    • 데이터 손실 방지 (DLP) 솔루션
    • 다중 인증 (MFA) 및 최소 권한 원칙

  4. 조직 문화:

    • 윤리적 행동을 보상하는 문화 조성
    • 재정적 어려움이 있는 직원을 위한 지원 프로그램
    • “무엇인가 이상하면 말하기(See Something, Say Something)” 문화

사고 발생 시 대응 방안 #

  1. 즉각 조치 (Sygnia와 DigitalMint 실제 조치):

    • 의심되는 직원 즉시 해고 및 시스템 접근 차단
    • 법 집행 기관에 완전히 협조
    • 영향받은 고객에게 투명하게 통지

  2. 포렌식 조사:

    • 내부 조사로 다른 연루자 파악
    • 고객 데이터나 시스템이 영향받았는지 확인
    • 침해 범위 및 타임라인 재구성

  3. 고객 보호:

    • 영향받은 고객 식별 및 통지
    • 필요시 신용 모니터링 등 피해 완화 서비스 제공
    • 추가 공격 가능성에 대한 경고

재발 방지 대책 #

  1. 업계 차원의 정보 공유:

    • 내부자 위협 사례 및 지표 공유
    • 업계 표준 및 모범 사례 개발
    • 정기적인 동료 검토 및 감사

  2. 규제 및 인증 강화:

    • 사이버보안 전문가 인증에 윤리 요건 추가
    • 정기적인 재인증 시 윤리 교육 의무화
    • 위반 시 자격 박탈

  3. 법적 억지력:

    • 이 사건은 내부자에 대한 강력한 처벌의 선례가 될 것
    • 최대 20년 징역형은 잠재적 범죄자에게 경고

  4. 고객 실사 강화:

    • 인시던트 대응 서비스를 이용하는 조직들도 제공자의 내부 통제를 검증
    • SOC 2, ISO 27001 등 인증뿐만 아니라 실제 내부자 위협 관리 체계 확인

개인 인사이트 #

배운 점 #

  1. “내부의 적"의 위험성: 외부 해커가 아닌, 시스템을 가장 잘 아는 내부자가 가장 큰 위협이 될 수 있다. Goldberg와 Martin은 인시던트 대응 전문가로서 피해 조직의 약점을 정확히 파악하고, 법의학 조사를 회피하는 방법을 알고 있었다. 이는 “특권적 지식의 무기화(weaponization of privileged knowledge)“라 할 수 있다.

  2. RaaS 모델의 진입 장벽 하락: BlackCat/ALPHV 같은 RaaS 모델은 기술적 전문성이 낮은 범죄자도 정교한 랜섬웨어 공격을 수행할 수 있게 한다. 개발자는 도구를 제공하고, 제휴자는 표적을 찾고 공격을 실행하는 분업이 범죄의 산업화를 촉진한다. 이 사건의 피고인들은 이미 기술적 전문성을 갖추고 있었으므로, RaaS는 단지 인프라와 익명성을 제공했다.

  3. 의료 부문의 취약성: 5개 피해 조직 중 3개가 의료 기관이었다는 점은 우연이 아니다. 의료 기관은 (1) 환자 생명과 직결되어 다운타임을 견디기 어렵고, (2) 민감한 건강 정보를 대량 보유하며, (3) 상대적으로 보안 투자가 부족한 경우가 많다. BlackCat은 Change Healthcare 공격에서도 이를 입증했다.

  4. 윤리적 붕괴의 과정: Goldberg의 자백은 흥미로운 심리적 과정을 보여준다. 처음에는 부채 해결을 위해 시작했지만, 이후 종신형에 대한 두려움을 느끼면서도 멈추지 못했다. 그리고 FBI 급습 정보를 듣고 파리로 도피까지 시도했다. 이는 범죄가 점진적으로 escalate하는 패턴을 보여준다. 작은 윤리적 타협이 큰 범죄로 이어질 수 있다.

  5. 회사의 연루 여부: DigitalMint와 Sygnia 모두 직원들의 행위를 강력히 비난하고 “회사의 인지나 승인 없이” 이루어졌다고 밝혔다. 이는 두 가지를 시사한다: (1) 회사들이 실제로 몰랐거나, (2) 법적 책임을 회피하기 위한 입장이다. 어느 쪽이든, 이런 일이 발생했다는 것 자체가 내부 통제의 실패를 의미한다.

  6. FBI의 BlackCat 중단: FBI가 2023년 12월 BlackCat의 서버를 침해하여 활동을 모니터링하고 복호화 도구를 만들었다는 것은 인상적이다. 그러나 BlackCat은 2024년 초 Change Healthcare를 공격한 후 2,200만 달러를 받고 출구 사기를 실행했다. 이는 법 집행 기관의 노력에도 불구하고 랜섬웨어 그룹이 빠르게 적응하고 진화한다는 것을 보여준다.

  7. 신원 미공개 공모자: 세 번째 공모자가 아직 기소되지 않았다는 점은 흥미롭다. 이 사람이 BlackCat 제휴 계정을 획득했고, Goldberg를 모집했으며, FBI 급습 정보를 경고했다. 아마도 FBI와 협조하여 증언하는 대가로 면책을 받았거나, 아직 체포되지 않았을 가능성이 있다.

느낀 점 #

이 사건은 사이버보안 업계에 충격파를 던졌을 것이다. “의사가 환자를 독살한다” 또는 “경호원이 의뢰인을 공격한다"와 같은 근본적 신뢰 배반이기 때문이다. 사이버보안 전문가들은 조직의 가장 민감한 정보에 접근하고, 가장 취약한 부분을 알고 있으며, 공격자의 사고방식을 이해한다. 바로 이런 지식이 무기가 되었을 때, 피해는 막대하다.

특히 우려되는 것은 이것이 “빙산의 일각"일 수 있다는 점이다. Goldberg와 Martin은 체포되었지만, 얼마나 많은 사이버보안 전문가들이 이중 생활을 하고 있을까? 2025년 7월 DigitalMint의 또 다른 협상가가 수사받고 있다는 보도가 있었다. 이 사건과 관련이 있는지는 불명확하지만, 패턴이 있을 수 있음을 시사한다.

또한 이 사건은 “전문가 윤리"의 중요성을 재조명한다. 의사에게 히포크라테스 선서가 있듯이, 사이버보안 전문가에게도 명확한 윤리 강령과 그에 대한 책임이 필요하다. 단순히 기술적 능력만이 아니라 도덕적 품성도 자격 요건이 되어야 한다.

마지막으로, 이 사건은 “내부자 위협"이 단순히 불만을 품은 직원이나 실수하는 직원의 문제가 아니라는 것을 보여준다. 고도로 숙련되고, 전략적으로 사고하며, 장기간에 걸쳐 활동하는 악의적 내부자도 있다. 이들을 탐지하고 예방하는 것은 기술적 문제를 넘어 조직 문화, 윤리, 심리의 문제이기도 하다. 사이버보안은 결국 “사람"의 문제다.

관련 자료 #

  • BlackCat/ALPHV: 2021년 11월 출현, RaaS 모델, 2023년 12월 FBI 중단, 2024년 3월 출구 사기
  • Change Healthcare 공격: 2,200만 달러 랜섬, 1억 9,270만 명 데이터 유출 (미국 역사상 최대 의료 침해)
  • FBI 복호화 도구: 2023년 12월, 약 9,900만 달러 랜섬 지불 방지
  • 미국 정부 현상금: BlackCat 핵심 멤버 정보에 1,000만 달러
  • Sygnia: 이스라엘 사이버보안 기업
  • DigitalMint: 시카고 기반 사이버 위협 인텔리전스 및 인시던트 대응 기업

분석일: 2026-01-11
키워드: #내부자위협 #랜섬웨어 #BlackCat #ALPHV #사이버보안윤리 #RaaS