5월 랜섬웨어 피해 484건

SK쉴더스, 신규 랜섬웨어 그룹 확산… 대학·공공·민간 공격에 보안 위기 고조

세계 최대 규모 랜섬웨어 그룹 록빗, 다크웹 유출 사이트 해킹 당해

SK쉴더스 "즉각 대응 가능한 보안 체계 필요"

최근 국내 모 대학교가 신규 랜섬웨어 그룹 ‘노바(Nova)’ 공격을 받아 포털 시스템 소스코드 및 내부 데이터를 탈취당한 정황이 드러났다. 다크웹을 통한 유출 협박이 수반된 정황도 포착되면서, 국내 역시 랜섬웨어의 직접적인 표적이 되고 있음이 재확인됐다.

19일 SK쉴더스가 발표한 사이버 위협 분석 보고서 ‘EQST Insight’ 6월호에 따르면 2025년 5월 한 달간 전 세계적으로 총 484건의 랜섬웨어 피해가 발생했다. 이는 전월(550건) 대비 약 12% 줄었지만, 주요 랜섬웨어의 소스코드 유출 등으로 변종과 신규 조직의 등장이 잇따르며, 공격 위험성은 여전히 크다는 분석이다.

특히 5월 초, 세계 최대 규모 랜섬웨어 조직 록빗(LockBit) 다크웹이 역해킹당하는 사건이 발생했다. 해커는 관리 패널까지 침입해 내부 데이터베이스 일부를 유출, 이 안에는 가상화폐 지갑 주소, 랜섬웨어 버전 정보, 제휴사 계정, 채팅 기록 등이 포함됐다.

4월 등장한 신규 랜섬웨어 그룹 데브맨(Devman)은 케냐 공공 연금 기구인 ‘NSSF Kenya’를 공격해 2.5TB 규모 데이터를 탈취를 주장했고, 필리핀 언론사 ‘GMA Network’의 서버를 암호화하는 등의 피해를 입혔다. 이들은 SNS(X, 구 트위터)를 통해 스크린샷과 협박 메시지를 공개하고, 450만달러(한화 약 61억원) 몸값 요구 등 협상 방식도 점차 고도화되고 있다.

5월 가장 활발하게 활동한 랜섬웨어 그룹은 세이프페이(SafePay)로, 총 72건 공격을 기록했다. 이들은 체코 공립 고등학교와 호주의 법률회사를 공격해 각각 30GB, 200GB 규모의 민감 데이터를 유출했다. 학생 정보와 법률 문서, 고객 자료 등이 다크웹에 공개됐다.

이외에도 ▲JGroup ▲Imncrew ▲WorldLeaks ▲Direwolf ▲DataCarry ▲Cyberex 등 신규 랜섬웨어 그룹 8곳 활동이 포차됐다. 이중 Cyberex는 기존 다크웹 사이트 대신 일반 채팅 플랫폼을 활용해 몸값 협상을 진행하는 이례적인 방식을 사용했다. 신규 조직인 인젝션팀(Injection Team)은 러시아 해킹 포럼에서 해킹·DDoS·피싱 서비스를 홍보하는 등 활동 반경을 넓히고 있다.

SK쉴더스 관계자는 “최근 랜섬웨어는 소스코드 유출로 인해 새로운 변종이 빠르게 생겨나고, 공격 수법도 예측하기 어려운 방향으로 바뀌고 있다”며, “국내 기업과 기관을 겨냥한 랜섬웨어 위협이 지속되는 상황에서, 실시간 탐지와 대응 쳬계 마련"을 당부했다.

Related Materials

• 2025년 5월 랜섬웨어 동향 보고서 - 안랩 ASEC, 2025년
• 2024년 5월 랜섬웨어 동향 보고서 - 안랩 ASEC, 2024년
• 2024년 2분기 랜섬웨어 동향 보고서 - 이산정보통신 ISARC, 2025년
• 2024년 4분기 랜섬웨어 피해 건수 총 1899건...전 분기 대비 44% 증가 - 데일리시큐, 2025년
• The 7 Most Active Ransomware Groups of 2024 - BlackFog, 2025년
• Ransomware Groups Report 2024 - Q3 - Cyberint, 2024년
• Dragos Industrial Ransomware Analysis: Q3 2024 - Dragos, 2025년
• Ransomware & Extortion Activity in 2024: A Year in Review - Analyst1, 2025년
• Ransomware Review: First Half of 2024 - Palo Alto Networks Unit 42, 2024년
• Q4 2024 Travelers' Cyber Threat Report: Key Ransomware Statistics - Corvus Insurance, 2025년
• BianLian Ransomware Group: 2024 Activity Analysis - Juniper Networks, 2024년
• Ransomware Attacks Increase 123% in 2 Years with 52 New Groups Emerging in 2024 - HIPAA Journal, 2025년

해커가 공개한 선문대 유출 정보, DB서버 암호 포함...개인정보 유출 농후

💡Editor Pick - Nova Hacker에 의한 선문대 랜섬웨어 공격/정보공개(2025.05.28) - 유출 정보 분석 결과 : 주요 서버 Credential에 의한 정보 유출 가능성 노바 해커 지난 5월28일 7GB 크기 선문대 자료 다운로드 받을 수 있도록 링크 공개 해커 공개 파일 중 DB서버 암호와 접속 정보 기록 발견...개인정보

The Tech EdgeCheifEditor

랜섬웨어 조직 ‘세이프페이’ 급부상

2025년 5월, 랜섬웨어 생태계는 리더십 교체와 새로운 그룹의 부상으로 격변기를 맞았다. 2024년 가장 활발한 행보를 보였던 랜섬허브(RansomHub)가 지난 4월, 인프라 다운 이후 공식적으로 활동을 중단하면서, 세이프페이(SafePay)가 약 58개 피해 기업을 공개하며 5월 가장 활발한 랜섬웨어 그룹으로 부상했다. 안랩이 발표한 ’2025년 5월 딥웹 & 다크웹 동향보고서’에 따르면 전체적으로

The Tech EdgeCheifEditor