# 독일 경찰, GandCrab·REvil 랜섬웨어 조직의 러시아인 수장 실명 공개

> Clean Markdown view of GeekNews topic #28291. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=28291](https://news.hada.io/topic?id=28291)
- GeekNews Markdown: [https://news.hada.io/topic/28291.md](https://news.hada.io/topic/28291.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-04-08T04:36:36+09:00
- Updated: 2026-04-08T04:36:36+09:00
- Original source: [krebsonsecurity.com](https://krebsonsecurity.com/2026/04/germany-doxes-unkn-head-of-ru-ransomware-gangs-revil-gandcrab/)
- Points: 1
- Comments: 1

## Topic Body

- 독일 연방범죄수사청이 러시아 국적의 **다닐 막시모비치 슈추킨**을 GandCrab과 REvil 랜섬웨어 조직의 수장으로 지목하며 실명을 공개함
- 슈추킨은 ‘**UNKN(UNKNOWN)**’이라는 닉네임으로 활동하며, 피해자에게 두 차례 돈을 요구하는 **이중 갈취 방식**을 도입한 핵심 인물로 알려짐
- GandCrab은 2018년 등장해 **제휴 모델**을 통해 약 20억 달러를 갈취한 뒤 종료되었고, 이후 REvil이 등장해 **대형 기업을 표적**으로 삼음
- 미국 법무부는 슈추킨 명의의 **암호화폐 계좌 압류**를 요청했으며, 독일 당국은 그가 러시아 크라스노다르에 거주 중일 가능성이 높다고 발표함
- REvil은 **업무 외주화와 하위 생태계**를 갖춘 산업형 범죄 구조로 발전했으나, 2021년 **Kaseya 해킹 사건** 이후 FBI의 개입으로 붕괴됨

---

### 독일, 러시아 랜섬웨어 조직 GandCrab·REvil의 수장 ‘UNKN’ 실명 공개
- **독일 연방범죄수사청(BKA)** 은 러시아 국적의 **다닐 막시모비치 슈추킨(Daniil Maksimovich Shchukin)** 을 GandCrab과 REvil 랜섬웨어 조직의 수장으로 지목
  - 슈추킨은 2019~2021년 사이 독일 내에서 최소 130건의 **컴퓨터 파괴 및 협박 행위**를 주도한 혐의
  - 또 다른 러시아인 **아나톨리 세르게비치 크라브추크(Anatoly Sergeevitsch Kravchuk)** 와 함께 약 200만 유로를 갈취하고, 총 3,500만 유로 이상의 경제적 피해를 초래한 것으로 조사됨
- BKA는 슈추킨이 **‘UNKN’(또는 UNKNOWN)** 이라는 닉네임으로 활동하며, **이중 갈취(double extortion)** 방식을 도입한 핵심 인물이라고 발표
  - 피해자는 암호 해제 키를 받기 위해 한 번, 탈취된 데이터를 공개하지 않게 하기 위해 또 한 번 돈을 지불해야 했음
  - GandCrab과 REvil은 전 세계적으로 활동한 **대형 랜섬웨어 네트워크**로 평가됨

### GandCrab과 REvil의 형성과 진화
- **GandCrab 랜섬웨어**는 2018년 1월 등장해, 해커들에게 기업 계정 침투만으로도 수익을 배분하는 **제휴(affiliate) 모델**을 운영
  - 개발팀은 보안업체의 대응을 피하기 위해 다섯 차례 주요 버전을 배포하며 기능을 지속적으로 개선
  - 2019년 5월, 약 20억 달러를 갈취한 뒤 활동 종료를 선언하며 “악행으로도 무사히 부자가 될 수 있다”는 메시지를 남김
- GandCrab 종료 직후 **REvil 랜섬웨어**가 등장
  - ‘UNKNOWN’이라는 사용자가 러시아 범죄 포럼에 100만 달러를 예치하며 신뢰를 확보했고, 이는 GandCrab의 재편으로 간주됨
  - REvil은 **대형 기업과 보험 가입 조직**을 주요 표적으로 삼아 막대한 몸값을 요구하는 **‘빅게임 헌팅’ 전략**으로 발전

### 슈추킨의 신원 및 국제 수사
- 미국 법무부는 2023년 2월, REvil 활동 수익이 담긴 **암호화폐 계좌 압류**를 요청하며 슈추킨의 이름을 명시
  - 해당 지갑에는 약 **31만7천 달러 상당의 암호화폐**가 포함되어 있었음
- BKA는 슈추킨이 **러시아 크라스노다르** 출신이며 현재도 그곳에 거주 중일 가능성이 높다고 발표
  - “해외 체류 중일 가능성이 있으며, 여행 활동도 배제할 수 없다”고 명시

### REvil의 조직 운영과 산업화된 범죄 구조
- **Renee Dudley**와 **Daniel Golden**의 저서 *The Ransomware Hunting Team*에 따르면, REvil은 합법 기업처럼 **업무 외주화와 재투자(reinvestment)** 를 통해 효율을 극대화
  - 개발자는 품질 향상에 집중하고, 외부 업체가 **웹 디자인·로지스틱스·암호화 서비스** 등을 담당
  - **‘크립터’ 제공자**, **‘초기 접근 브로커’**, **비트코인 세탁 서비스** 등 다양한 하위 생태계가 형성되어 범죄 산업이 확장됨

### 주요 사건과 몰락
- 2021년 7월 4일 주말, REvil은 미국 IT 관리업체 **Kaseya**를 해킹해 1,500여 고객사에 피해를 입힘
  - FBI는 이미 REvil 서버에 침투해 있었으나 작전 노출을 피하기 위해 즉시 개입하지 못했다고 발표
  - 이후 FBI가 **무료 복호화 키**를 공개하면서 REvil은 사실상 붕괴됨

### 추가 단서와 신원 확인
- 사이버 인텔리전스 기업 **Intel 471**의 포럼 분석 결과, 슈추킨은 과거 **‘Ger0in’** 이라는 이름으로 봇넷 운영 및 악성코드 설치 서비스를 판매한 기록이 있음
  - Ger0in은 2010~2011년 활동했으며, UNKNOWN과의 직접적 연결은 확인되지 않음
- **Pimeyes 이미지 비교 사이트**를 통해 BKA가 공개한 사진과 2023년 **크라스노다르 생일 파티 사진**의 인물이 동일 시계를 착용한 것으로 일치
- 2023년 독일 **CCC(Chaos Communication Congress)** 회의에서도 슈추킨이 REvil 리더로 언급된 **영어 더빙 오디오**가 공개됨

## Comments



### Comment 54875

- Author: neo
- Created: 2026-04-08T04:36:36+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47660954) 
- 몇 년 전 이미 **CCC 소속 해커들**이 이 인물 중 한 명의 신원을 밝혔다는 이야기를 들었음  
  업데이트에 언급된 내용처럼 [CCC 발표 영상](https://media.ccc.de/v/37c3-12134-hirne_hacken_hackback_edit...)에서도 다뤄졌음  
  수사기관이 이걸 독자적으로 알아낸 건지, 아니면 이미 방어에 참여했던 해커들에게 도움을 요청한 건지 궁금해짐
  - 나는 이 주제에 깊이 있진 않지만, 일반적으로 **CCC와 BND(독일 정보기관)** 사이에는 따뜻한 관계가 아님  
    특히 BND가 독일 시민을 감시한 사건 이후로는 더 그렇고, 역사적으로도 갈등이 있었음  
    그래서 해커가 BND와 협력하면 동료 해커들 사이에서 신뢰를 잃을 위험이 있음
  - **Linus Neumann**도 최근 [Logbuch Netzpolitik 팟캐스트 에피소드](https://logbuch-netzpolitik.de/lnp550-wes-brot-ich-ess-des-l...)에서 왜 지금 이런 일이 벌어지는지 의아해했음  
    그들 역시 공식적으로 연락받은 적이 없다고 함

- **Spiegel**이 최근 이 사건에 대한 [영상 리포트](https://www.youtube.com/watch?v=HuwRrqM6H1M)를 올렸음

- 누군가를 ‘가장 수배자 명단’에 올리는 게 **도싱(doxing)** 인가 하는 의문이 듦  
  공식 설명에는 “Daniil Maksimovich Shchukin이 기업과 공공기관을 상대로 한 **랜섬웨어 협박** 혐의로 국제 수배 중”이라고 되어 있음
  - 나는 이 표현이 불편함. ‘도싱’은 원래 **부정적인 의미**로, 잘못이 없는 사람의 신상을 공개할 때 쓰는 말임  
    여기서는 ‘accuse’나 ‘unmask’가 더 정확한 표현이라고 생각함
  - 언어가 변하면서 요즘은 ‘도싱’이 단순히 **개인정보를 동의 없이 공개하는 행위**로 쓰이는 듯함
  - 미국이 이미 **3년 전**에 그를 특정했다는 얘기도 있음
  - 이 논리를 이해하기 어렵다고 느낌. GDPR을 너무 진지하게 받아들이는 것 같음 (농담임)
  - 만약 단순히 ‘UNKN’을 수배 명단에 올렸다면 도싱이 아니겠지만, ‘UNKN’을 실제 이름과 연결했기 때문에 도싱으로 볼 수 있음

- “익명의 협박범의 이름을 공개했다”는 게 왜 도싱인지 모르겠음  
  기사에 주소나 가족 정보, 연락처가 포함된 것도 아닌데, 단지 “체포 대상자”를 밝힌 것뿐임
  - 요즘 ‘도싱’의 의미가 **‘당사자 동의 없이 정보 공개’** 로 확장된 것 같음  
    문제는 이런 공개로 인해 주변 사람들이 그를 **범죄자나 부자 이웃**으로 인식하면서 절도나 협박 시도가 생길 수 있다는 점임  
    실제로 도싱된 사이버 범죄자를 협박하려고 **정보기관 사칭**까지 한 사례도 있었음
  - 게다가 “독일이 원한다”는 말 자체가 별로 영향력 있어 보이지 않음

- 사람들은 ‘도싱’이라는 단어의 의미에 너무 매달리는 것 같음  
  **익명 해킹 커뮤니티**에서는 누군가의 **OPSEC(보안 운영)** 을 노출하는 행위 자체가 도싱으로 간주됨  
  일부는 ‘풀 디스클로저’ 방식으로 모든 OPSEC 실패를 즉시 공개함  
  그렇지 않으면 누군가 그 정보를 쌓아두고 나중에 협박용으로 쓰는 일이 생기기 때문임

- ‘doxxes’가 올바른 철자라고 생각함. ‘doxes’는 발음상 ‘도크시즈’처럼 들려 어색함  
  몇십 년 전만 해도 이런 **헤드라인 자체가 난해한 말장난**처럼 들렸을 것임

- 언제부터 **공식 수배자 명단에 올리는 것**이 도싱이 된 건지 모르겠음  
  정보가 내려가길 원하면 법정에 출석하면 되는 일임