올해 1분기 글로벌 랜섬웨어 피해 2,575건, 전년比 122%↑

SK쉴더스, “ 의료·교육기관 겨냥한 랜섬웨어 공격 급증”

신규 그룹 ‘A1project’, 편의성 높은 공격 인프라 제공해 파트너 개별 공격 유도

전세계적으로 랜섬웨어 공격이 들끓고 있다. 최근에는 암호화뿐 아니라 탈취한 데이터를 유출하거나 다크웹에 게시해 협박, 신종 공격 수법으로 피해가 심각해지고 있다.

랜섬웨어는 컴퓨터나 서버의 파일을 암호화한 뒤, 복구를 대가로 금전을 요구하는 사이버 공격 수법이다. 

13일 SK쉴더스가 발표한 '2025년 1분기 KARA(Korean Anti Ransomware Alliance) 랜섬웨어 동향 보고서'에 따르면 2025년 1분기 전 세계 랜섬웨어 피해 건수는 총 2,575건으로 집계됐다. 이는 전년 동기(1,157건) 대비 122%, 직전 분기(1,899건) 대비 35% 증가한 수치다. 활동을 중단했던 주요 랜섬웨어 그룹들이 재등장하고, 다크웹에서 공격 도구 거래와 협업이 활발해지면서 피해가 확대된 것으로 분석된다.

특히 병원과 학교를 겨냥한 공격이 두드러졌다. 의료 부문 피해는 전년 동기 대비86%, 교육 부문은 160% 이상 급증했다. 과거에는 병원이나 학교 같은 공공 목적의 기관은 공격 대상에서 제외되거나 별도 협상 없이 복구키를 제공하는 경우가 많았지만, 최근에는 이들도 예외 없이 고액의 금전을 요구받는 사례가 늘고 있다.

대표 사례로 미국 캔자스주의 병원에서 22만 명 이상의 환자 정보가 유출됐고, 영국의 의료복지기관은 약 2.3TB에 달하는 민감 정보를 유출당한 뒤 200만 달러(약 28억원)를 요구받았다. 프랑스, 이탈리아, 미국 등지의 학교도 공격을 받아 등교 중단, 자격증명과 재무정보 유출 등 다양한 피해를 입었다.

 이처럼 의료·교육기관이 랜섬웨어에 감염되면 피해는 기관 내부에 국한되지 않고, 환자와 학생 등 일반 시민의 일상까지 위협받게 된다. 시스템 마비로 치료 지연, 수업 취소, 정보 유출 등이 발생할 수 있으며, 유출된 개인정보는 신원 도용, 사기, 보험 청구 등 2차 범죄로 악용될 가능성도 높다.

국가별로는 미국이 전체 피해의 절반 이상(50.4%)을 차지해 가장 많은 공격을 받았다. 캐나다와 영국이 그 뒤를 이었다. 산업별로는 제조업(25%)이 가장 많이 피해를 입었으며, 유통·무역·운송, 서비스, IT·웹·통신, 건설 등 다양한 분야가 타깃이 됐다.

올해 1분기 가장 활발히 활동한 랜섬웨어 그룹은 Clop이다. 이들은 미국 파일 전송 플랫폼 클레오(Cleo)의 취약점을 악용해 총 341건의 공격을 감행했다. 뒤를 이어 랜섬허브(RansomHub)가 232건, 아키라(Akira)가 220건, 바부비조카(Babuk-Bjorka) 그룹이 179건의 공격을 기록했다.

바북 랜섬웨어 그룹의 경우 2020년 12월 처음 등장해 북미와 유럽의 의료기관과 정부 기관을 공격하며 빠르게 확산된 랜섬웨어다. 윈도우뿐 아니라 NAS, ESXi 등 다양한 시스템을 노릴 수 있고, 내부 인트라넷과 같은 폐쇄망에서도 파일을 암호화할 수 있다.

최근까지도 바북의 소스코드를 기반으로 제작된 변종 랜섬웨어들이 계속 등장하고 다. 실제 침해 여부와 관계없이 데이터를 위조하거나 재활용해 협박하는 방식도 확인됐다. 바북은 여전히 기술적 위협성과 수법 확산 측면에서 주의가 필요한 랜섬웨어로 평가된다.

SK쉴더스는 ▲최신 보안 패치 적용 ▲내부 시스템 접근 제어 ▲이상 징후 모니터링 강화 등 선제적인 보안 관리 체계 구축이 필요하다고 강조했다. 또한, 실시간 탐지와 대응 ‘MDR(Managed Detection & Response)’ 서비스를 대안으로 제시했다.

김병무 SK쉴더스 사이버보안부문장(부사장)은 “미국을 포함한 전 세계적으로 병원과 학교 같은 공공 목적 시설까지 랜섬웨어 공격이 확산되는 등 사이버 위협이 더 이상 특정 산업에 국한되지 않고 사회 전반으로 번지고 있다”며, “국내 역시 의료·교육·공공 등 국민 생활과 밀접한 보안 리스크를 사전에 관리하고, 전문적인 대응 역량을 갖춰야 할 시점”이라고 밝혔다.

Related Materials

• 2024년 상반기 랜섬웨어 동향 특집 보고서 - S2W INC, 2024년
• 2023년 3차 사이버보안 대연합 보고서 - 한국정보보호산업협회, 2023년

랜섬웨어 조직, 금융권 공격 집중...금융정보 점검 ‘시급’

💡Editor Pick - 랜섬웨어 그룹의 금융기관 공격 - ’알카나(Arkana), 록빗(LockBit), 플레이(Play), 세이프페이(SafePay), 스톰아우스(Stormous) 랜섬웨어 그룹 - 고객 정보 유출로 인한 피해 가능성 11일 안랩이 발표한 ’2025년 5월 국내외 금융권 관련 보안 이슈‘에 따르면 ’알카나(Arkana), 록빗(LockBit), 플레이(Play), 세이프페이(SafePay), 스톰아우스(Stormous) 랜섬웨어 그룹은

The Tech EdgeCheifEditor

예스24, 랜섬웨어 감염 인정...개인정보위 조사 착수

💡Editor Pick - 예스24 랜섬웨어 감염 인정 - 데이터 유출, 유실 없으며 백업 통해 복구 진행 중 - 개인정보 위원회 및 경찰 조사 착수 예스24, ”현재 접속 오류는 랜섬웨어로 인한 장애” 지난 9일 새벽부터 시스템이 마비된 예스24가 랜섬웨어 공격을 받은 사실을 인정했다. 11일 예스24 측은 ”현재 접속 오류는 랜섬웨어로 인한

The Tech EdgeCheifEditor