Group-IB가 2026년 1월 15일에 발표한 보고서에 따르면, 새로운 랜섬웨어 변종인 DeadLock은 폴리곤 스마트 계약을 활용하여 매우 탄력적이고 추적하기 어려운 공격 인프라를 구축했습니다. 이 새로운 접근 방식은 탈중앙화 생태계에 중대한 새로운 보안 과제를 제기합니다.
사이버 보안 정보 회사 Group-IB는 2026년 1월 15일, DeadLock으로 알려진 랜섬웨어 계열이 폴리곤 스마트 계약을 악용하여 공격 인프라를 관리하고 있다고 밝혔습니다. 2025년 7월에 처음 등장한 이 악성웨어는 블록체인을 사용하여 프록시 서버의 주소를 저장하고 교체하는데, 이는 도메인 및 IP 주소 블랙리스트와 같은 기존 보안 조치에 대한 저항력을 높입니다.
서버 주소를 하드 코딩하는 대신, DeadLock의 코드는 특정 폴리곤 스마트 계약을 쿼리하여 현재 프록시 URL을 가져옵니다. 이 프록시는 피해자 컴퓨터와 공격자 간의 암호화된 통신을 용이하게 합니다. 전체 프로세스는 블록체인에 대한 읽기 전용 호출에 의존하며, 이는 트랜잭션을 생성하거나 가스 요금을 발생시키지 않아 표준 온체인 분석을 통해 통신을 모니터링하기 어렵게 만듭니다.
DeadLock이 사용하는 기술은 악성웨어 설계의 중요한 진화를 나타내며, 분산형 및 탄력적인 명령 및 제어(C2) 시스템을 만듭니다. 인프라 레지스트리를 공개 블록체인에 배치함으로써 공격자는 서버 위치를 필요에 따라 업데이트할 수 있어 제거 노력을 더욱 복잡하게 만듭니다. Group-IB의 연구는 단일 생성자 지갑에 연결된 여러 스마트 계약을 확인했으며, 이 온체인 인프라의 활발한 관리를 입증합니다.
DeadLock은 현재 낮은 볼륨의 위협으로 간주되지만, 스마트 계약의 혁신적인 사용은 다른 악성 행위자들에게 개념 증명 역할을 합니다. 보고서는 악성웨어 운영을 위한 공개 블록체인 남용이 증가할 가능성이 있으며, 이는 사이버 보안 방어자들이 온체인 및 오프체인 모두에서 작동하는 위협을 탐지하고 완화하기 위한 새로운 전략을 개발하도록 강요할 것이라고 경고합니다. 이러한 발전은 분산형 애플리케이션 및 기본 플랫폼에 대한 새로운 보안 위험 계층을 도입합니다.
