사이버 범죄 포럼이 VECT 랜섬웨어에 대한 열광으로 떠들썩했습니다. 2025년 12월 데뷔, 공급망 파괴범으로 악명 높은 TeamPCP와 BreachForums와의 파트너십. 명성 확인도 없이 제휴업체들에게 시스템 접근 권한을 넘겼다고 합니다. 기대는? 윈도우, 리눅스, ESXi는 물론이고 곧 등장할 클라우드 락커까지 노리는, 세련되고 크로스 플랫폼을 지원하는 강력한 무기였죠.
하지만 체크포인트 리서치가 내부를 들여다본 결과, 판도가 완전히 뒤집혔습니다. VECT 2.0은 대용량 파일을 암호화하는 대신, 통째로 날려버립니다.
VECT의 암호화, 무엇이 문제인가?
핵심은 libsodium의 일반 ChaCha20-IETF 암호화 방식입니다. Poly1305 MAC나 무결성 검증 기능이 빠졌는데, 공개된 보고서들은 이를 AEAD(Authenticated Encryption with Associated Data)라 잘못 칭했습니다. 아닙니다. 더 심각한 것은, 131,072 바이트(128KB) 이상의 파일 처리 시, 코드가 네 개의 덩어리로 분할된 후 난스(nonce)를 생성하지만, 이 중 세 개를 버린다는 것입니다. 매번요. 복구? 공격자조차 불가능합니다.
“모든 세 가지 플랫폼(윈도우, 리눅스, ESXi) 변형에 걸쳐 동일한 암호화 구현의 치명적인 결함은, 131,072 바이트(128KB)를 초과하는 모든 파일에 대해 네 개의 복호화 난스 중 세 개를 버립니다. 공격자를 포함한 누구도 완전한 복구는 불가능합니다.”
이는 체크포인트가 공개된 모든 버전에 대한 분석 결과 내놓은 판단입니다. 엔터프라이즈 VM, 데이터베이스, 백업 등 용량이 큰 데이터는 영원히 사라지는 셈입니다. 작은 설정 파일이야 암호화된다고 칩시다. 하지만 누구도 그런 짜잘한 데이터 때문에 몸값을 내진 않겠죠.
이 문제는 특정 플랫폼에 국한된 것이 아닙니다. Windows PE64, Linux ELF64, ESXi ELF64 모두 이 결함 있는 엔진을 공유합니다. 하나의 C++ 코드베이스에서 이식되었으며, 하드코딩된 임계값이 박혀 있습니다. –fast, –medium, –secure 같은 플래그? 파싱은 되지만 무시됩니다. 속도 모드는요? 허상일 뿐입니다.
게다가 버그는 계속 쌓입니다. 스스로를 제거하는 난독화, 접근할 수 없는 안티 분석 코드, 성능 향상 대신 저하시키는 스레드 스케줄러. 겉으로는 전문가처럼 보이지만, 속은 아마추어 수준입니다.
왜 공유 코드베이스가 VECT를 모든 플랫폼에서 실패하게 만드는가?
랜섬웨어 개발자들은 크로스 플랫폼 호환성을 좋아합니다. 코드를 재사용해서 더 많은 타겟을 노릴 수 있으니까요. VECT의 세 가지 플랫폼은 libsodium 정적 링크, 커맨드라인 플래그, 측면 이동(lateral movement), 동일한 출력 형식을 활용합니다. 이론적으로는 똑똑하죠.
하지만 여기서 중요한 변화가 생깁니다. 이러한 통일성이 실패의 파급력을 증폭시킨다는 것입니다. 하나의 난스 처리 오류가 모든 곳으로 퍼져나갑니다. 암호화 코어에 플랫폼별 수정이 없습니다. 마치 동일한 결함 있는 설계도로 함대를 건조하는 것과 같습니다. 한 번의 리콜로 모두 침몰하죠.
체크포인트는 BreachForums를 통해 빌더 접근 권한을 얻었습니다. 윈도우, 리눅스, ESXi 페이로드를 생성했죠. 결과는 같습니다. 동일한 네 덩어리 분할 논리, 동일한 임계값, 동일한 쓰레기 같은 난스 시계태엽 같습니다.
이 배경에는 아이러니가 깔려 있습니다. VECT는 TeamPCP의 Trivy, KICS, LiteLLM, Telnyx 주입 공격 직후인 2026년 1월에 첫 피해자를 주장했습니다. BreachForums 게시물은 제휴를 자랑하며 포럼 사용자들에게 자유로운 사용을 약속했습니다. 유출 사이트? 단 두 명의 피해자, 그것도 모두 해당 공급망 공격과 관련 있었습니다. 야심 찬 마케팅이었지만, 결과는 빈약했죠.
2026년 2월, 버전 2.0이 나왔습니다. 자신들은 C++로 처음부터 다시 만들었다고 자랑했습니다. 클라우드 락커를 퀴즈를 통해 암시했지만, 현재 제공되는 패널에는 여전히 데이터 유출 도구가 없습니다.
VECT의 과장 광고, 단순한 랜섬웨어 쇼인가?
파트너십을 보세요. TeamPCP의 공급망 공격이 시선을 사로잡았고, VECT는 그 파도를 탔습니다. BreachForums와의 계약은 접근을 민주화했습니다. 모든 사용자가 제휴업체가 될 수 있죠. 심사도, 수수료도 없습니다. 대담하죠.
하지만 피해자는 단 두 명? 이건 규모의 경제가 아닙니다. 와이퍼 결함이 그 이유를 설명합니다. VM 디스크나 데이터베이스를 건드리면, 펑! 복호화 도구 판매도 없습니다. 피해자는 당신을 외면합니다. 현금 흐름이 마릅니다.
독특한 통찰: 이는 WannaCry의 백도어 실수를 떠올리게 합니다. 기억하시나요? Shadow Brokers가 EternalBlue를 유출했고, 북한의 장난감이 우연히 킬 스위치 도메인을 남겼죠. 전 세계적인 혼란은 확실했지만, 자체적인 파괴로 무력화되었습니다. VECT의 난스 파괴는 킬 스위치는 아니지만, 같은 맥락입니다. 설계자들이 스스로의 무기를 망가뜨린 거죠. 예상? 제휴업체들은 빠르게 이탈할 겁니다. 포럼에서 소문이 퍼지면서 RaaS 업계의 이탈률이 치솟을 겁니다. VECT는 과대 광고된 작전들의 무덤에 합류할 것입니다.
홍보성 문구는 이를 정교하다고 부릅니다. 체크포인트는 이를 벗겨냈습니다. 잘못 식별된 암호, 무시된 플래그, 성능을 저해하는 스케줄러. 껍데기가 무너집니다.
연구 보고서의 표는 플랫폼을 요약합니다:
| 속성 | 윈도우 | 리눅스 | ESXi |
|---|---|---|---|
| 아키텍처 | PE64 (x86-64) | ELF64 (x86-64) | ELF64 (x86-64) |
| 툴체인 | MinGW-w64 / C++ | GCC / C++ | GCC / C++ |
| 암호화 라이브러리 | libsodium (정적 |
더 깊은 분석이 그 이유를 드러냅니다. RaaS 압력솥: 멀티 플랫폼을 서둘러 개발하고, 구석을 자릅니다. libsodium의 강력함을 오용했습니다. 인증 없는 순수 ChaCha20은 이런 문제를 야기합니다. 난스 재사용? 실제로는 재앙적입니다. 128KB 임계값에서 이는 실제 데이터에 대한 와이퍼입니다.
방어자들이 승리합니다. VECT의 아티팩트(정적 libsodium 문자열, 플래그 패턴)를 발견하고 웃으십시오. 복호화 도구가 없다는 것은 지불할 동기가 없다는 뜻입니다. 하지만 변화는? 랜섬웨어가 안정성을 향해 진화하는 것이 버그로 인해 암호화기가 지우개로 변질될 때 실패합니다.
이것이 엔터프라이즈 방어에 무엇을 의미하는가?
ESXi 타겟팅은 위험을 높입니다. 하이퍼바이저 공격은 연쇄적으로 발생합니다. 하지만 이 결함이 이를 평준화합니다. 사고 조사팀: 빌더 서명을 추적하고, 부분적 암호화(작은 파일은 intact)를 모니터링하십시오.
공격자들이 방향을 바꿀까요? 아마도. 하지만 신뢰는 erosion됩니다. 제휴업체들은 검증된 도구를 요구합니다. VECT의 유출 사이트 침체는 문제를 시사합니다.
아키텍처적 힌트: 단일 엔진 이식은 감사보다 속도를 우선시합니다. 미래의 RaaS는? 분리된 플랫폼이나 더 철저한 테스트를 예상해야 합니다. 아니면 더 많은 실패를 겪을 것입니다.
위협 요약 주시: 클라우드 락커가 출시된다면, 같은 엔진을 사용할까요? 재앙이 기다리고 있습니다.
🧬 관련 인사이트
자주 묻는 질문
VECT 랜섬웨어란 무엇인가요? VECT는 2025년 12월에 출시된 RaaS 작전으로, BreachForums 제휴업체를 통해 윈도우, 리눅스, ESXi 페이로드를 제공합니다.
VECT가 대용량 파일을 복호화하지 못하는 이유는 무엇인가요? 128KB 이상의 파일에 대해 복호화 난스를 버리는 버그가 있으며, 모든 변형에 걸쳐 ChaCha20 구현에서 결함 있는 4개 덩어리 논리를 사용합니다.
이 결함에도 불구하고 VECT는 여전히 위협적인가요? 작은 파일은 제대로 암호화되지만, 중요한 데이터는 영구적으로 삭제되어 대부분의 타겟에 대한 몸값 요구의 실효성을 크게 떨어뜨립니다.
