Akira 랜섬웨어 분석
악성코드 분석 2026-03-31
Akira 랜섬웨어
Conti의 계보를 잇는 2025년 글로벌 랜섬웨어 피해 2위의 RaaS 그룹
1) 개요
Akira 랜섬웨어는 2023년 3월 처음 등장한 이후 RaaS
모델로
급격히 성장하여,
2025년
한 해에만 776개의
피해 조직을 기록했으며 Qilin에
이어 전 세계 랜섬웨어
피해 2위를
차지한 고위협
그룹이다.
2024년에는
연간 총 272건의
공격을 주장했는데,
이를
2025년과
비교하면 매우 가파른 성장세를 보이고 있음을 확인할 수 있다. 2025년
9월
기준 Akira의
누적 수익은 약 2억
4천
400만
달러로 확인되며,
Akira는
해체된 Conti
랜섬웨어와의
코드 및 전술적 연관성을 보이는 것이 다수의 연구에서 확인되었다.
의료 분야에 대한 Akira의
위협은 지속적으로 확대되고있는데,
Health-ISAC의
CSO인
Errol
Weiss에
따르면 2023년
이후 최소 24건의
의료 분야를 대상으로 한 Akira의
공격을 추적했다고 밝혔다.
의료기관은
운영 중단에 대한 압박이 크고,
환자
데이터 및 의료연구 정보 등 이중 갈취에 활용 가능한 고가치 정보를 다수 보유하고 있어 Akira의
주요 공격 대상으로 분류된다.
<그림 1> Akira의 다크웹 유출 사이트
Akira의 초기 침투 전략의 핵심은 MFA가
적용되지 않은 VPN
제품의
취약점 악용이다.
Cisco ASA의
CVE-2020-3259,
CVE-2023-20269, SonicWall의
CVE-2024-40766
등
엣지
디바이스 취약점을 주로 활용한다.
특히
2025년
7월부터는
SonicWall
SSL VPN에
대한 대규모 캠페인을 전개하며 공격 건수가 급증했다. VPN 취약점
외에도 초기 접근 브로커로부터 자격증명을 구매하는 등 다양한 벡터를 병행 활용한다.
Akira의 전략적 차별점은,
피해자에게
선제적 랜섬
요구나 지불 안내를 일절 남기지 않고,
피해자가
먼저 전용 Tor
협상
채널에 접속해야만 요구 금액을 확인할 수 있는 독특한 압박 방식을 사용하고 있다는 점이다.
협상
과정에서는 데이터 부분 공개,
전화를
통한 직접 압박 등 다층적 갈취 수단을 병행하며,
일부
침해 사례에서는 초기 접근 이후 불과 2시간
이내에 데이터 탈취를 완료할 만큼 빠른 공격 템포를 보이기도 한다.
주목할 만한 전략적 전환으로 직접 진료기관보다 의료기기 제조업체·의료용품
공급업체·EHR
플랫폼
등 의료 공급망
사업체를 우선 표적으로 삼는 경향이 뚜렷해졌다.
이는
공급망
침투를 통해 대형 의료 네트워크로의 접근 통로를 확보하는 동시에, 상대적으로 보안 성숙도가 낮은 중소형 사업체를 경유해 파급
효과를 극대화하려는 의도로 분석된다.
<그림 2> Akira 공격 흐름도 (출처 : Qualys)
2) 피해 사례
Fieldtex
Products Inc.
○
개요
Fieldtex
Products,
Inc.는
미국 뉴욕주
로체스터에
본사를 둔 의료 공급 이행 전문 기업으로,
의료
및 군사 분야용
맞춤형 케이스 위탁 제조,
E-First Aid Supplies 브랜드를
통한 구급,
의료용품
유통,
Medicare Advantage 가입자를
대상으로 한 건강급여
프로그램 운영을 한다.
2025년
8월
19일경,
공격자가
Fieldtex의
컴퓨터 시스템에 무단으로 접근하여 OTC
건강급여
프로그램 관련 파일에 접근 및 탈취했으며 Akira
랜섬웨어
그룹은 2025년
11월
5일
자신들의 다크웹
유출 사이트에 Fieldtex의
E-First
Aid Supplies 사업부를
피해자로 등록하고 14GB
이상의
데이터를 탈취했다고 주장했다.
○
경과
2025년 8월 19일 시스템 내 이상 활동을 인지한 즉시 Fieldtex는
네트워크를 격리하고 포렌식
전문업체를 투입해 조사에 착수했다.
2025년
11월
20일에
Fieldtex
공식
웹사이트에 침해보고서가 게시되었다.
○
피해
규모
미국 보건복지부에 따르면 총 274,363명의
개인정보 침해가 확인되었으며,
유출
가능 데이터에는 성명,
주소,
생년월일,
성별,
건강보험
회원 ID
번호,
보험
플랜명,
유효
기간이 포함된다.
사회보장번호
및 금융 정보는 침해 범위에 포함되지 않은 것으로 확인되었다.
<그림 3> Comparitech의 Fieldtex 피해 보도 (출처 : comparitech.com)
Consolidated Sterilizer Systems
○
개요
Consolidated Sterilizer Systems는
1946년
메사추세츠주
보스턴에서 설립된 미국 유일의 독립 증기 멸균기(Steam
Sterilizer) 및
오토클레이브(Autoclave)
전문
제조사로,
현재
메사추세츠주
Billerica에
소재한다.
○
경과
2025년 12월 5일에 Akira의 다크웹 유출 사이트에 게시된 글 이외에 Consolidated
Sterilizer Systems의
공식 입장이나 침해 통지는 현재까지 공개되지 않았다. 공격 벡터나 랜섬
요구 금액,
시스템
암호화 여부 등도 미확인 상태이다.
다크웹
포스팅 내용에는 랜섬
금액이나 지불 기한이 명시되어 있지 않으며,
시스템
암호화보다는 데이터 탈취 후 공개 협박을 하는 방식의 공격으로 분석된다.
○
피해
규모
Akira의 주장에 따르면 약 10GB의
데이터가 탈취되었으며,
탈취
데이터에는 임직원 개인 신분증(여권,
운전면허증),
전화번호,
주소,
의료
기록,
재무
문서,
계약서
및 협약서,
기타
기밀 파일이 포함된 것으로 알려졌다.
Consolidated
Sterilizer Systems가
의료 멸균 장비의 제조사라는
점에서,
엔지니어링
설계 문서나 규제 준수 파일이 포함될 경우 단순 재정적 피해를 넘어 의료 공급망 전반의 안전 및 규제 리스크로 이어질 수 있다.
<그림 4> Consolidated Sterilizer Systems의 Akira 다크웹 유출 사이트 등재
United Hospital Supply
○
개요
United Hospital Supply는
미국에 소재한 병원 의료용품 공급업체로,
미국
내 병원 및 의료기관을 대상으로 의료 소모품과 장비를 공급하는 의료 공급망의
핵심 중간 사업자이다.
2026년
2월
5일에
Akira
그룹은
자신들의 다크웹
유출 사이트에 United
Hospital Supply를
피해자로 등재하고 약 39GB의
기업 데이터를 곧 공개하겠다며 위협했다.
○
경과
2026년 2월 5일 시점에서 Akira가
다크웹
유출 사이트에 게시한 것이 확인된 유일한 정보이며, 피해 기업의 공식 입장이나 대외적인 침해 통지는 공개된 바가
없다.
구체적인
침투 경로,
공격
날짜,
암호화
수행 여부,
랜섬
요구 금액 등의 세부 사항 역시 명확하지 않다.
따라서
시스템 암호화보다는 데이터 탈취 후 공개 협박을 하는 방식의 공격으로 분석된다.
○
피해
규모
Akira는 약 39GB의 데이터를 탈취했다고 주장하며,
임직원
정보,
W-9 양식
(미국
세금 신고 관련 서류),
프로젝트
관련 문서,
재무
데이터,
계약서
및 협약서,
고객
정보,
비밀유지협약
등이 포함된 것으로 알려졌다.
병원
납품 네트워크의 공급자라는 사업 특성상,
탈취된
고객 정보에는 의료기관 관련 정보가 포함되어 공급망
전체로의 2차
피해 확산 가능성이 존재한다.
<그림 5> United Hospital Supply의 Akira 다크웹 유출 사이트 등재
3) Akira 공격기법 분석
명령줄 인자 파싱
Akira는 실행 시 가장 먼저 타임스탬프 기반 로그 파일을 초기화한 뒤,
GetCommandLineW()로
커맨드라인
문자열을 취득하고 CommandLineToArgvW()로
인자 배열을 구성하여 내부 파싱
구조체에 저장한다.
이는
RaaS
모델에서
어필리에이트(affiliate)가
피해 환경에 맞게 공격 범위와 속도를 세밀하게 조정할 수 있도록 설계된 구조이다. --encryption_percent는
파일의 일부만 암호화하고 나머지를 건너뜀으로써,
파일을
사용 불가능한 상태로 만들면서 처리 속도는 극대화하는 핵심 파라미터이다.
| 플래그 | 기능 |
|---|---|
| -p, --encryption_path | 암호화 대상 경로 직접 지정 (미지정 시 전체 드라이브) |
| -s, --share_file | 네트워크 공유 경로 목록 파일 지정 |
| -n, --encryption_percent | 부분 암호화 비율 지정 (기본값 : 50%) |
| -e, --exclude | 암호화 제외 경로 및 확장자 추가 지정 |
| -l | 로컬 드라이브 전용 모드 활성화 |
| --localonly | 네트워크 드라이브 암호화 완전 제외 |
드라이브 열거 및 경로 분류
명령줄 인자 파싱이 완료되면 내부 함수가 시스템의 논리 드라이브를 열거하여 40바이트
구조체 배열에 저장한다.
각
경로는 GetDriveTypeW()와
PathIsNetworkPathW()를
통해 세 가지 유형 코드로 분류된다.
-localonly
플래그가
활성화된 경우 각 드라이브 엔트리의 네트워크 플래그를 확인하여 원격 경로를 건너뛴다.
보호 프로세스 목록 수집
암호화 시작 전 WTSEnumerateProcessesW()로
현재 세션의 전체 프로세스를 열거하고,
전역
참조 목록과 대조하여 이후 파일 잠금 해제 시 건너뛸 보호 대상 PID를 수집한다.
일반
랜섬웨어의
프로세스 킬 리스트 방식과 달리 Conti의
코드베이스를 계승하여,
중요
시스템 프로세스가 의도치 않게 종료되는 것을 방지하는 구조이다. 수집된 PID는 이후 Restart Manager 기반
잠금 해제 단계에서 건너뛸 대상을 판별하는 데 사용된다.
<그림 6> 현재 프로세스 열거
VSS 삭제
Windows는
파일의 이전 버전을 자동으로 백업하는 볼륨 섀도우
복사본(VSS)
기능을
제공한다.
Akira는
랜섬웨어
피해를 입은 조직이 VSS를
통해 파일을 복원하는 것을 막기 위해 암호화 전 VSS를 삭제한다.
Akira는
vssadmin
delete shadows 등
시그니처
탐지를 우회하기 위해 PowerShell
WMI 방식을
채택했으며,
명령문
자체를 바이트 단위로 난독화하여
정적 분석을 방해한다.
<그림 7> 난독화된 명령문 일부 및 복호화 로직
<그림 7>의 로직을 따라 복호화를 진행하면 VSS 삭제에 실제 사용하는 명령은 powershell.exe -Command "Get-WmiObject Win32_ShadowCopy | Remove-WmiObject“ 이다.
암호화 컨텍스트 초기화
Akira는 파일을 암호화하기 위해 두 가지 암호화 알고리즘을 함께
사용하는 하이브리드
암호화 구조를 채택한다.
실제
파일 내용을 암호화하는 데에는 ChaCha20
스트림
암호가 사용된다.
ChaCha20은
처리 속도가 빠르고 대용량 파일 암호화에 적합한 대칭키 알고리즘이다.
그러나
대칭키
방식은 암호화에 사용한 키를 피해자가 알아낼 수 있으면 복호화가 가능하다는 문제가 있다. 이를 막기 위해 Akira는
파일 암호화에 사용한 ChaCha20
키를
RSA
공개키로
한 번 더 암호화하여 파일 말미에 저장한다.
RSA 공개키는 바이너리 내부에 하드코딩
되어있어 누구나 확인할 수 있지만,
이
공개키로 암호화된 데이터는 공격자만 보유한 RSA
개인키가
있어야 복호화할
수 있다.
결국
피해자는 파일 안에 저장된 ChaCha20
키를
꺼낼 수 없기 때문에 공격자로부터 개인키를
받지 않는 한 파일 복호화가 수학적으로 불가능하다.
<그림 8> 하드코딩 된 RSA 공개키 중 일부
암호화 컨텍스트 초기화 과정에서 이 구조의 설정에 실패하면 “Init crypto failed!” 로그를 남기고 즉시 실행을 종료한다. 이는 잘못된 키 구조로 암호화를 진행하여 복호화 불가능한 상황이 생기는 것을 방지하는 설계로, 공격자 입장에서 랜섬 협상의 전제조건인 복호화 가능성을 스스로 보장하기 위한 로직이다.
<그림 9> 복호화 가능성 보장 로직
스레드풀 구성
Akira는 암호화 속도를 최대화하기 위해 여러 파일을 동시에 병렬로
처리한다.
이를
위해 GetSystemInfo()로
피해 시스템의 CPU
코어
수를 먼저 확인하고 그 수에 비례하여 작업 스레드를 세 그룹으로 나눈다. 코어 수가 4개
이하인 저사양
환경에서는 코어 수를 2배로
부풀려 계산하며,
단일
코어 환경에서도 최소 2로
보정한다.
이는
코어가 적은 환경에서도 암호화 속도가 지나치게 느려지는 것을 방지하는 설계이다.
<그림 10> CPU 코어 기반 스레드풀 분배 로직
작업 스레드 세 그룹의 역할은 다음과 같이 나눈다. 디렉토리 구조를 탐색하여 암호화할 파일 목록을 수집하는 폴더 파서 30%, 드라이브 최상위부터 탐색을 시작하는 진입점 역할을 하는 루트 파서 10%, 수집된 파일을 실제로 암호화하는 핵심 스레드 60%로 구성된다.
파일 탐색 및 잠금 해제
Akira는 C++ STL의
directory_iterator를
사용하여 대상 경로의 파일과 폴더를 하나씩 순회한다. 각 항목이 폴더인지 파일인지를 확인하여 분류하고 ‘.’과
‘..’
엔트리는
실제 암호화 대상이 아니므로 명시적으로 건너뛴다.
파일을
암호화하려면 먼저 해당 파일을 열어서 쓰기 권한을 얻어야 한다. 그러나 SQL Server, Veeam,
Exchange 등
데이터베이스·백업
관련
프로그램들은 실행 중에 자신이 사용하는 파일을 잠금 상태로 유지한다. 이를 해결하기 위해 Akira는
Windows
Restart Manager API를
활용한다.
Restart Manager는
Windows
Update 설치
시 재부팅 없이 실행 중인 프로그램을 안전하게 재시작하기
위한 기능이나,
Akira는
이를 악의적으로 활용하여 파일 잠금을 해제하는 데 사용한다.
Akira는 먼저 RmStartSession()으로
Restart
Manager 세션을
열고,
RmRegisterResources()로
열기에 실패한 파일을 등록한다.
그러면
RmGetList()가
그 파일을 현재 잠그고 있는 프로세스 목록을 반환하고 Akira는 각 프로세스의 PID를
검사하여 자기 자신의 PID이거나
앞서 WTSEnumerateProcessesW()로
수집해둔
보호 목록에 있는 PID일
경우 건너뛴다.
이
두 조건에 해당하지 않는 프로세스는 RmShutdown()으로
종료하고,
이후
RmEndSession()으로
세션을 닫은 뒤 파일 열기를 다시 시도한다.
TerminateProcess()
직접
호출 없이 Restart
Manager를
통해 프로세스를 종료하는 방식은 Conti
코드베이스에서
계승된 구조이다.
<그림 11> Restart Manager 세션 일부
파일 제외 목록 확인
그 후 Akira는 파일 암호화 전 세 개의 전역 제외 목록을 순차 검사한다.
우선
제외할 확장자를
검사한다.
이미
.akira
확장자를
가진 파일을 제외하여 이중 암호화를 방지하려는 설계가 확인된다. 또한 .exe, .dll,
.sys 등의
확장자가 제외된다.
그
다음으로 우선순위로 설정할 확장자를
검사한다.
고가치
파일들에 대해 우선적으로 암호화를 진행한다.
마지막으로
파일명을 검사하는데,
akira_readme
등
랜섬노트나
시스템 파일 등을 보호하기 위함이다.
<그림 12> 하드코딩 된 Akira 확장자 및 랜섬노트 문자열
랜섬노트 드롭
디렉토리 순회 중 aAkiraReadmeTxt("akira_readme.txt")
문자열을
현재 경로에 조합하여 랜섬노트
경로를 생성한다.
존재
여부를 사전 확인하여 중복 생성을 방지하며,
해당
디렉토리의 파일 암호화 이전에 먼저 드롭된다.
<그림 13> Akira의 랜섬노트
파일 암호화
모든 제외 목록 검사를 통과한 파일은 실제 암호화 단계로 진입한다.
Akira의
파일 암호화는 단일 함수에서 즉시 수행되는 것이 아니라, 스레드풀의 워커 스레드가 동시에 각자 맡은 파일을 병렬로 암호화하는
구조이며,
각
워커 스레드는 224바이트 크기의 작업 아이템 구조체를 하나씩 할당받으며,
이
구조체 안에는 암호화할 파일의 경로,
제외
목록 검사 결과 플래그,
RSA 공개키
컨텍스트,
암호화
비율,
로컬
전용 여부 등 암호화에 필요한 모든 정보가 패킹되어
있다.
암호화 실행 단계에서 내부 암호화 함수를 호출하여 ChaCha20
암호화를
수행한다.
암호화는
--encryption_percent
기본값
50에
따라 파일 전체가 아닌 절반만 수행한다.
파일의
절반만 암호화해도 해당 파일은 정상적으로 열리지 않아 사용이 불가능해지며, 전체 암호화 대비 처리 속도를 두 배 이상 높일 수 있다.
암호화가
완료된 파일에는 .akira
확장자가
추가된다.
암호화가 완료되면 스레드풀의 처리 중인 작업 수를 감소시키고,
대기
중인 디스패처에
신호를 전송한다.
큐가
가득 찼을 때 멈춰 있던 디스패처가
이 신호를 받아 다음 파일의 암호화 작업을 새로 큐에 투입한다. 이 구조 덕분에 수천 개의 파일이 한번에 메모리에 올라오지 않고,
스레드풀의
처리 용량에 맞게 순차적으로 병렬 암호화가 진행된다. 이 사이클이 모든 대상 파일에 대해 반복되며,
모든
스레드가 완료되면 경과 시간을 로그에 기록하고 종료한다.
<그림 14> Akira에 의해 암호화된 파일들
4) 결론
Akira는 2023년 3월 등장 이후,
해체된 Conti
랜섬웨어의
코드 구조와 운영 방식을 계승하면서도 독자적인 진화를 거듭해온 고위협 RaaS 그룹이다. Akira는
커맨드라인
인자로 암호화 범위와 비율을 세밀하게 제어하는 RaaS
친화적
설계,
WMI 기반
VSS
삭제
명령을 난독화
배열로 은닉하는 정교한 안티 포렌식
기법,
Windows Restart Manager API를 활용한 파일 잠금 해제 방식,
CPU 코어
수에 비례한 다중 스레드풀
구성과 파이프라인 병렬 암호화,
그리고
RSA
공개키로
ChaCha20
세션
키를 보호하는 하이브리드
암호화 구조를 사용한다.
2025년 한 해 Akira는
전 세계 랜섬웨어
피해 2위(776개
조직)을
기록했으며,
의료
부문에 대한 Akira의
위협은 증가하고 있는데,
의료기기
제조업체·의료용품
공급업체·EHR
플랫폼
등 의료 공급망
사업체 대상 공격이 전년 대비 3배
이상 증가했다.
특히
CISA·FBI·HHS는
2025년
11월
Akira를
핵심 인프라에 대한 '임박한
위협(Imminent
Threat)'으로
공식 규정하고 세 번째 합동 경고를 발행했다.
일부 침해 사례에서 Akira는
초기 접근
후 2시간
이내에 데이터 탈취를 완료할 만큼 공격 속도도 빨라지고 있다. Conti에서
Akira로
이어지는 코드 계승과 지속적인 페이로드 진화는
사법 기관의
개입에도 불구하고 이 위협이 단기간에 소멸하지 않을 것임을 시사한다. 이에 따라 MFA가
적용되지 않은 VPN
제품의
신속한 패치,
네트워크
세분화,
오프라인
백업 유지,
그리고
Restart
Manager 레지스트리
경로(SOFTWARE\Microsoft\RestartManager)
모니터링을
포함한 사전 예방적 보안 태세를 갖추어야 한다.
5) IOCs
SHA256
87b4020bcd3fad1f5711e6801ca269ef5852256eeaf350f4dde2dc46c576262d
2c7aeac07ce7f03b74952e0e243bd52f2bfa60fadc92dd71a6a1fee2d14cdd77
988776358d0e45a4907dc1f4906a916f1b3595a31fa44d8e04e563a32557eb42
d2fd0654710c27dcf37b6c1437880020824e161dd0bf28e3a133ed777242a0ca
dcfa2800754e5722acf94987bb03e814edcb9acebda37df6da1987bf48e5b05e
3298d203c2acb68c474e5fdad8379181890b4403d6491c523c13730129be3f75
0ee1d284ed663073872012c7bde7fac5ca1121403f1a5d2d5411317df282796c
URL
http://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
http://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
최재희
- 위협분석센터
- jh.choi4@piolink.com
