정부&글로벌 기업 랜섬웨어 공격 급증

- 퀼린, 압도적 공격 활동으로 최상위 랜섬웨어 그룹 등극
- 랜섬허브 활동 중단 후 대규모 계열사 이동, 새로운 공격 전술 도입 결과
- 정부기관과 고가치 글로벌 기업 타깃 집중 공격
2025년 6월, 랜섬웨어 생태계는 퀼린(Qilin)의 압도적 활동량과 고가치 타깃 집중 공격이라는 새로운 패턴을 보였다.
안랩이 발표한 '2025년 6월 딥웹 & 다크웹 동향보고서'에 따르면 퀼린이 다른 모든 그룹을 압도하며 가장 많은 피해자를 게시해 최상위 그룹으로 자리잡았다. 이는 랜섬허브(RansomHub) 활동 중단 이후 대규모 계열사 이동과 함께 새로운 공격 전술을 도입한 결과로 분석된다.
특히 주목할 만한 변화는 정부기관에 대한 공격 급증이다. 미국 지방정부, 콜롬비아·아랍에미리트·프랑스 정부기관이 연이어 공격받았다. 이는 금전적 동기를 넘어 정치적·전략적 의도를 시사한다. 또한 글로벌 브랜드 기업들을 노리는 새로운 타깃팅 전략이 등장했다.
신규 랜섬웨어 그룹의 급증도 두드러졌다. Team XXX, Warlock, Global, W.A., Kawa4096 등 다수의 새로운 그룹이 등장했다. RaaS 시장의 급격한 재편을 보여준다. 가장 큰 변화는 친이란 핵티비스트 APTiran이 이스라엘 핵심 인프라 대상으로 랜섬웨어 공격을 감행, 지정학적 동기와 랜섬웨어가 결합된 새로운 위협 양상이 등장했다. 전체적으로 랜섬웨어 공격은 기존 금전적 동기에서 정치적·전략적 목적까지 확장되는 다각화 추세를 보이고 있다.
주요 랜섬웨어 그룹 동향
Qilin
6월 가장 활발한 활동을 보인 그룹으로, 주요 이슈에서 압도적인 활동량을 기록하며 다른 모든 랜섬웨어 그룹을 압도했다. 특히 다양한 고가치 타깃을 체계적으로 공격하는 정교한 전략을 보여줬다.
스페인 자치도시 M***, 미국 의료기관 C*** Health, 미국·영국·일본 소재 다국적 기업들, 미국 자동차 부품 제조기업 G*** Engineering Inc., 싱가포르 오일필드 장비 제조업체 R*** Engineering Pte Ltd, 미국 시 정부 B*** City 등을 연이어 공격했다.
정부기관, 의료기관, 제조업, 에너지 분야를 가리지 않는 전방위 공격 패턴이 특징이며, 이는 RansomHub 계열사들의 대규모 이동으로 인한 역량 강화의 결과로 분석된다.
Akira
지속적이고 체계적인 활동을 보이며 고가치 제조업체와 에너지 기업을 집중 표적화했다. 일본 대형 의류 체인 H*** Holdings, 미국 석유가스 기업 M*** Corporation, 독일 제조기업 S***, 스위스 금융서비스 기업 A*** Financial, 미국 자동차 조명 제조기업 N*** Lighting을 공격했다. 글로벌 공급망 핵심 기업을 노리는 전략적 접근이 두드러지며, 특히 제조업 분야서 공격 역량이 강화되고 있다.
Lynx
통신보험 전문기업과 석유화학 대기업을 표적화하며 특화된 공격 패턴을 보였다. 미국 통신보험 전문기업 T*** Group, 태국 석유화학 기업 S*** Co. Ltd., 칠레 국립종합대학 University of Chile를 공격했다. 특히 에너지 인프라와 교육기관에 대한 공격이 증가하는 추세를 보이고 있다.
Gunra
정부기관과 의료기관을 우선 표적화하는 명확한 전략을 보였다. 콜롬비아 정부기관 J*** Policial, 아랍에미리트 병원 A*** Hospital Dubai를 공격하여 중남미와 중동 지역의 핵심 인프라를 노리는 지역적 확장을 시도하고 있다.
기타 주요 그룹들
RHYSIDA는 독일 개발협력 단체 W***와 중국 에너지 기업 C*** 미국법인을 공격하여 비영리 부문과 에너지 분야로 확장했다. Anubis는 프랑스 테마파크 운영기업 D*** Paris를 공격하여 글로벌 브랜드 타깃팅 전략을 보여주었다. Arkana는 미국 글로벌 티켓 유통기업 T***aster를 공격하여 엔터테인먼트 산업의 핵심 인프라를 노리는 새로운 패턴을 시연했다.
신규 그룹들
Kawa4096는 Akira와 유사한 DLS 디자인을 채택하며 등장했고, Team XXX, Warlock, Global, W.A. 등이 연이어 등장해 RaaS 시장의 급격한 재편을 보여주었다. 특히 이들 신규 그룹들은 기존 그룹들의 인력과 기술을 흡수하여 빠른 성장을 추진하고 있으며, RansomHub 공백을 메우려는 적극적인 움직임을 보이고 있다.
(3) 산업별 피해 동향
정부 및 공공기관 분야
6월 가장 두드러진 변화는 정부기관에 대한 공격 급증이다. 미국 지방정부 기관, W, C가 연이어 공격받았으며, 콜롬비아 정부기관 J, 아랍에미리트 정부기관 A, 프랑스 교육부 M이 피해를 입었다. 이러한 정부기관 집중 공격은 단순한 금전적 동기를 넘어선 정치적·전략적 의도를 시사하며, 공공 서비스 중단을 통한 사회적 압박을 가하는 새로운 전술로 분석된다.
제조업 분야
일본 의류 제조업체, 미국 석유가스 탐사업체, 독일 제조기업, 미국 자동차 부품 제조기업, 미국 자동차 조명 제조기업, 싱가포르 오일필드 장비 제조업체 등이 공격 받았다. 글로벌 공급망 핵심 기업들을 노리는 전략 접근이 지속되고 있으며, 특히 자동차 관련 제조업체 피해가 집중돼 공급망 교란 효과를 노린 것으로 분석된다.
의료 및 헬스케어 부문
미국 의료기관 M과 Covenant Health, 아랍에미리트 병원 A가 공격받았다. 환자 치료에 직접적인 영향을 미치는 생명 관련 인프라에 대한 공격이 지속되고 있어, 의료 서비스 연속성과 환자 안전에 대한 심각한 우려가 제기되고 있다.
고가치 브랜드 기업
글로벌 브랜드 기업들을 노리는 새로운 타깃팅 전략이 등장했다. 이들 기업은 브랜드 가치가 높고 고객 기반이 광범위해 몸값 지급 압박과 브랜드 이미지 손상이라는 이중 효과를 노리는 것으로 분석된다. 특히 엔터테인먼트 산업의 핵심 인프라를 표적화함으로써 대중에게 미치는 영향력을 극대화하려는 의도가 엿보인다.
Related Materials
- Chinese Hacked US Telecom a Year Before Known Wireless Breaches - Bloomberg, 2025-06-04
- US adds 9th telcom to list of companies hacked by Chinese-backed Salt Typhoon - Reuters, 2024-12-27
- White House official: 8 US telecom providers hacked by Chinese - CNN, 2024-12-04
- China's Hacking of US Telecoms: Officials Name More Victims - BankInfoSecurity, 2025-02-03
- 2024 United States telecommunications hack - Wikipedia, 2024-08-27
- Chinese hackers used broad telco access to geolocate and record calls - Politico, 2024-12-27

