랜섬웨어 공격 1년 새 25% 급증…사상 최고치 기록

최근 1년 새 랜섬웨어 공격이 25% 급증한 것으로 나타났다. 국내 금융권을 비롯해 해외에서도 피해가 발생하고 있는 만큼 기업과 기관은 랜섬웨어 피해 예방에 각별히 신경써야 한다.

랜섬웨어, 신규 해커 그룹 41개 등장...생태계 파편화
글로벌 보안 기업 멀웨어바이트(Malwarebytes)가 발표한 보고서에 따르면, 2024년 7월부터 2025년 6월까지 전 세계 랜섬웨어 공격이 전년 대비 25% 늘어나며 사상 최고치를 기록했다.

특히 지난 2월에는 한 달 새 1천 건이 넘는 공격이 발생해 월간 기준 최대치를 경신했다.신규 해커 그룹 41개가 등장하는 등 랜섬웨어 생태계가 더욱 파편화되는 양상을 보였다. 전체 공격의 47%는 미국에서 발생했다. 올해 들어 처음으로 42개국에서 공격이 보고되면서 위협이 글로벌로 확산되고 있다.

의료기관 집중 타격…환자 사망까지 발생
랜섬웨어 공격은 특히 의료 부문을 주요 표적으로 삼았다. 영국에서는 검사 기관 시노비스(Synnovis)가 공격을 받아 혈액 검사 지연 사태가 발생했고, 랜섬웨어로 인한 최초의 공식 환자 사망 사례도 보고됐다.

미국에선 프레더릭 헬스 시스템(Frederick Health System)과 맥라렌 헬스 케어(McLaren Health Care)가 해커의 공격을 받아 170만명 이상 환자의 민감한 의료 데이터가 유출되며 심각한 피해가 확인됐다.

'이득'만 된다면...옆집 랜섬웨어 조직도 공격
이처럼 랜섬웨어 조직이 급증하며 전세계를 타깃으로 기승을 부리고 있다. 이것도 모자라 랜섬웨어 조직은 서로 해킹하며 견제한다. 세계적으로 악명 높은 랜섬웨어 조직인 LockBit이 지난 5월 내부 데이터 유출 사고를 겪었다. 당시 락빗의 다크웹 운영자 패널이 변조됐으며, "범죄는 나쁘다(CRIME IS BAD)"는 문구와 함께 MySQL 데이터베이스 덤프 파일 다운로드 링크가 게시된 바 있다.

공개된 데이터베이스에는 20개의 테이블이 포함돼 있다. 이 중 'btc_addresses' 테이블에는 59,975개의 비트코인 주소가 기록돼 있다. 'builds' 테이블에는 공격 대상 기업의 이름과 함께 각 빌드의 공개 키가 포함돼 있다. 'builds_configurations' 테이블에는 각 빌드에 사용된 구성 정보가 담겨 있다. 특히 'chats' 테이블에는 2024년 12월 19일부터 2025년 4월 29일까지 피해자와의 협상 메시지 4,442건이 저장되어 있다.

또한 'users' 테이블에는 75명의 운영자 및 제휴자의 계정 정보가 포함돼 있다. 일부 비밀번호는 'Weekendlover69', 'MovingBricks69420', 'Lockbitproud231' 등 평문으로 저장돼 있었다. 보안 연구원 Michael Gillespie 는 이러한 비밀번호 저장 방식의 위험성을 지적했다.

락빗의 운영자로 알려진 'LockBitSupp'는 Tox 메신저를 통해 이번 침해 사실을 인정했다. 그러나 개인 키 유출이나 데이터 손실은 없었다고 주장했다. 데이터베이스 덤프 생성 시점과 협상 메시지의 마지막 기록일을 고려할 때, 데이터 유출은 4월 29일경 발생한 것으로 추정된다.

이처럼 랜섬웨어 조직은 어떤 이유에서건 이득을 위해서라면 피도 눈물도 없이 공격한다. 이득은 랜섬웨어 조직을 왕성하게 활동하게 하는 원동력이다. 올해만 해도 국내 기업의 랜섬웨어 감염 소식이 끊임 없이 보도됐다. 알려지지 않은 기업까지 포함하면 수두룩하단 얘기다. 이건 역으로 말하면 피해 기업이 그동안 랜섬웨어 조직과 협상한 결과란 뜻이기도 하다. 랜섬웨어 조직이 활개를 치는 이유다.

익명의 보안 전문가는 "그동안 수많은 랜섬웨어 피해 기업들이 제때 신고하지 않고 암암리에 협상해 일군 자업자득인 격"이라며 "물론 허술한 보안도 문제지만 중요한 건 협박 수법이 먹혔기 때문에 사고가 반복되는 것"이라고 지적했다.

Related Materials

• UK to lead crackdown on cyber criminals with ransomware measures - GOV.UK, 2025년
• Ransomware - United States Department of State, 2025년
• Gunra Ransomware’s Double‑Extortion Playbook and Global Impact - GBHackers, 2025년
• Gunra Ransomware Detection: New Threat Targets Various Sectors - SOC Prime, 2025년

랜섬웨어 발전사...이중 협박 넘어 사중 협박

💡Editor’s Pick - 이중 협박의 시대도 안 끝났는데 등장한 사중 협박 - 이중 협박 + 디도스 + 지인 괴롭히기 = 사중 협박 - 인공지능과 핵티비즘과의 결합도 눈에 띄어 랜섬웨어 공격자들 사이에서 이중 협박 전략이 유행한 것도 벌써 수년 째다. 아직도 유효하긴 하지만 새로울 것은 없다. 그런데 보안 업체 아카마이(Akamai)가 ‘사중 협박’

The Tech Edge문가용 기자

[단독] 웰컴금융 그룹 자회사, 랜섬웨어 감염...다크웹에 공개

💡Editor’s Pick - 웰컴금융그룹 자회사 지난 7월 랜섬웨어 감염 - 랜섬웨어 조직 퀼린, 17일 다크웹에 웰릭스캐피탈 샘플 정보 공개 웰컴금융그룹의 자회사 중 한 곳이 랜섬웨어 공격을 받은 것으로 확인됐다. 이러한 가운데 웰컴금융그룹 자회사 중 한 곳 데이터가 다크웹에 올라온 정황이 포착됐다. 랜섬웨어 조직 퀼린(Qilin)은 전세계를 타깃으로 랜섬웨어 공격을

The Tech EdgeCheifEditor

[단독] “Gunra 랜섬웨어 조직, SGI서울보증 데이터 13.2TB 갖고 있어”

💡Editor Pick - 4일 해커, 서울보증보험 데이터 13.2테라바이터 분량 보유 주장 - 데이터 분석 인력 부족하다며 분석 인력 모집에 나서 - 실제 SGI서울보증 데이터 공개 여부 관심...모니터링 및 추적해야 GUNRA 랜섬웨어 조직이 자신이 운영하는 다크웹에 SGI서울보증 데이터를 보유하고 있단 글을 올렸다. 해커 주장이 사실이라면 SGI서울보증을 Gunra랜섬웨어에 감염시킨 해킹

The Tech EdgeCheifEditor