더 젠틀맨 랜섬웨어가 문어발처럼 번지는 이유: 웜형 자가확산과 RaaS 계열사 네트워크의 결합

2026년 6월 11일 더 해커뉴스(The Hacker News)는 더 젠틀맨(The Gentlemen) 랜섬웨어가 웜처럼 자가 확산되는 능력을 갖추고 있으며 478명의 피해자를 자처한다고 보도했다. 본稿는 공개된 위협 인텔리전스와 제휴 네트워크 정황을 바탕으로, 이 위협이 기존의 단일 패밀리 개념을 넘어 RaaS 생태계 전반으로 확산된 현상으로 해석될 필요가 있음을 진단한다.

1. 사건 개요: 더 젠틀맨이 478명을 자처한 배경

더 젠틀맨은 2026년 상반기를 기점으로 자가 확산 기능을 내장한 랜섬웨어로 급부상한 위협 행위자다. 본인이 운영하는 유출 사이트(dark web leak site)에 478명의 피해자 명단을 게시한 것은 단순한 허세가 아니라, 다중 갈취 모델에서 유출 압박의 신뢰도를 높이기 위한 의도된 공표로 판단된다. 감염 대상 산업과 지리적 분포에 대한 정확한 통계는 아직 공개되지 않았으나, 의료·제조·공공 분야가 우선적 표적이라는 보도가 나오고 있다.

더 젠틀맨 위협 핵심 지표 요약

항목	내용
주장 피해자 수	478명
확산 메커니즘	웜형 자가확산(원격 서비스·SMB 악용 추정)
수익화 모델	암호화 + 데이터 유출 압박(double extortion)
언급 계열사	Tenacious Mantis(LockBit), Pestilent Mantis(Qilin), Venomous Mantis(Medusa)
1차 출처	The Hacker News(2026-06-11)

2. 더 젠틀맨의 기술적 특징: 웜형 자가확산과 다중 갈취

2-1. 웜형 확산 메커니즘 분석

전통적 랜섬웨어는 피싱 메일이나 드라이브 바이 다운로드 등 단일 침투 경로에 의존했지만, 더 젠틀맨은 한 번 침투한 내부망에서 SMB(서버 메시지 블록), 원격 데스크톱 프로토콜(RDP), 취약한 VPN 게이트웨이 등을 자동 스캔해 횡적 이동(lateral movement)을 반복하는 것으로 보인다. 이는 2017년 워너크라이(WannaCry)가 활용한 이터널블루(EternalBlue) 기반 확산 패턴과 일부 유사점이 있으나, 더 젠틀맨이 동일 익스플로잇을 사용한다는 직접 증거는 공개되지 않았다.

2-2. 이중 갈취와 데이터 유출 압박 전략

암호화만으로는 협박력이 약해지자 공격자는 사전 데이터 유출(exfiltration)을 병행한다. 유출된 데이터가 협상 카드 역할을 하기 때문에 감염 초기 단계에서부터 탐지되어야 손실을 줄일 수 있으며, 백업이 무결하게 보존되어도 유출 사실 자체가 GDPR·개인정보보호법 위반 리스크로 연결된다. 더 젠틀맨은 협상 초기 단계에서 유출 데이터 샘플을 공개 게시해 기업의 평판 손상을 가속화하는 것으로 보고된다.

3. RaaS 계열사 생태계: LockBit·Qilin·Medusa와의 연결고리

3-1. Tenacious Mantis에서 Pestilent Mantis까지 계열 흐름

더 젠틀맨의 운영 주체가 과거 Tenacious Mantis(LockBit 계열), Pestilent Mantis(Qilin 계열) 코드명을 사용한 정황이 위협 인텔리전스 커뮤니티에서 공유되고 있다. 이는 단일 인물이 여러 브랜드로 이동하며 활동하는 모습이 아니라, RaaS 제휴 프로그램 간 인적 이동성과 코드 재사용을 보여주는 사례로 해석된다. 제휴 운영자(affiliate) 입장에서 가장 수익성이 높은 프로그램을 선택하는 것은 자연스러운 행위이며, 그 결과 동일 코드명이 여러 랜섬웨어 패밀리 사이에서 재사용되는 현상이 관측되는 것으로 보인다.

3-2. Venomous Mantis와의 코드 및 인프라 유사성

Medusa 계열인 Venomous Mantis와의 연계는 단순 코드 재사용을 넘어 C2(명령 제어) 인프라와 암호화폐 지갑 주소의 유사성으로 뒷받침된다. 블리핑컴퓨터는 authorities dismantle ‘AudiA6’ ransomware crypto-laundering service 보도를 통해 랜섬웨어 수익이 세탁되는 경로가 점점 정교해지고 있음을 지적한 바 있으며, 더 젠틀맨 역시 유사한 자금 흐름을 사용할 가능성은 충분해 보인다. 이는 랜섬웨어 위협을 단일 악성코드 관점이 아닌 금융 사기 인프라 관점에서도 바라봐야 함을 시사한다.

4. 공급망·금융적 위험: 암호화폐 세탁과 수익 흐름

RaaS 모델에서 제휴 운영자는 감염 성공 시에만 수익을 분배받기 때문에, 감염 건수를 늘릴 유인이 매우 강하다. 웜형 자가확산은 이러한 인센티브 구조와 정확히 맞아떨어진다. 수익은 모네로(XMR)나 토르 체인(TRON) 기반의 USDT로 전환된 뒤 믹서·체인 호핑·피아트 환전을 거쳐 세탁되는 흐름이 일반적이며, AudiA6 사례에서 확인된 것처럼 일부 세탁 서비스는 법 집행망의 적발을 받기도 한다. 그럼에도 새로운 세탁 서비스는 빠르게 등장하기 때문에, 자금 흐름 차단을 위해서는 거래소·핀테크企业与의 실시간 정보 공유가 필수로 요구된다.

5. 피해 패턴과 산업별 영향

현재까지 공개된 478명의 피해자 목록은 일부 익명화되어 있어 정확한 산업 분포는 단정하기 어렵다. 다만 공개된 표본 분석에 따르면 다음과 같은 경향이 관측된다.

• 중소·중견 제조업: 레거시 OT 시스템과 구버전 VPN의 비중이 높아 초기 침투면이 넓은 것으로 보인다.
• 의료·바이오 분야: 환자 데이터의 민감도가 높아 유출 압박에 더 쉽게屈服하는 경향이 있다.
• 공공·교육 부문: 예산과 인력 부족으로 패치 주기가 길어져 재감염 위험이 누적된다.

이 분포는 RaaS 계열이 표적으로 삼는 산업군과 거의 일치하며, 더 젠틀맨의 활동 영역이 기존 RaaS 생태계의 시장 점유율을 빠르게 잠식하고 있음을 방증한다.

6. 기업 및 공공조직을 위한 대응 권고

6-1. 탐지 규칙 및 네트워크 분할 권고

웜형 확산은 횡적 이동 탐지 없이는 통제할 수 없다. SMB·RDP 트래픽 이상 징후, 평소와 다른 계정으로의 대량 파일 접근, 그리고 백신이 정의하지 않은 신규 변종의 실행 흔적을 EDR(엔드포인트 탐지 및 대응) 솔루션에서 집중 모니터링해야 한다. 동시에 VLAN(가상 근거리 통신망)·마이크로 세그멘테이션을 적용해 한 구역 감염이 전체 망으로 번지지 않도록 설계해야 한다.

6-2. 백업·패치·권한 통제 강화

3-2-2-1 백업 원칙(3-2-1 혹은 3-2-1-1-0)에 따라 오프라인·불변 백업을 최소 한 부 이상 확보하고, 복원 훈련을 정기적으로 수행해야 한다. SMB·RDP 관련 취약점은 패치 발표 즉시 적용하고, 더 이상 사용하지 않는 계정과 과도한 권한은 주기적으로 정리해 최소 권한 원칙을 지켜야 한다.

6-3. 위협 인텔리전스 공유와 제휴 모니터링

단일 조직의 시야로는 RaaS 계열사 간 이동을 추적하기 어렵다. ISAC(정보 공유 분석 센터), CERT, 그리고 신뢰할 수 있는 위협 인텔리전스 제공업체와 IOC(침해 지표)를 실시간으로 교환해야 하며, 자사가 직접 거래하는 제휴 프로그램(예: MSP(관리 서비스 제공업체)·SaaS 벤더)의 보안 감사도 정기적으로 수행해야 한다. 더 젠틀맨 사례가 보여주듯, 위협 행위자는 가장 약한 공급사슬 노드를 우회해 침투한다.

요약 및 향후 전망

더 젠틀맨 랜섬웨어는 단일 악성코드가 아니라, 웜형 확산 기술과 RaaS 계열사 네트워크가 결합된 생태계적 위협으로 보는 것이 타당하다. 478명이라는 피해자 수 자체보다 더 중요한 시사점은, 공격자 인적 자원이 여러 브랜드로 이동하며 가용 침투면을 극대화한다는 점이다. 이에 대응하기 위해서는 기술적 차단과 함께 위협 인텔리전스 공유, 자금 흐름 추적, 공급망 거버넌스를 통합한 다층 방어 전략이 요구된다.

참고 출처:
– The Hacker News – The Gentlemen Ransomware Claims 478 Victims, Can Spread Like a Worm
– Bleeping Computer – Authorities dismantle ‘AudiA6’ ransomware crypto-laundering service

#더젠틀맨 #랜섬웨어 #웜형자가확산 #RaaS #LockBit #Qilin #Medusa #TenaciousMantis #PestilentMantis #VenomousMantis #이중갈취 #위협인텔리전스 #랜섬웨어공급망 #다중갈취 #랜섬웨어대응