'랜섬웨어 동향 보고서' 발표...‘비암호화’ 기반 협박 공격의 증가 랜섬웨어 그룹의 포스트 양자 암호 도입, 텔레그램 채널 지속적 활용
카스퍼스키(지사장 이효은)는 6월 4일, 5월 12일 ‘국제 안티-랜섬웨어 데이(International Anti-Ransomware Day)’을 기념하여, 2025년을 특징짓는 랜섬웨어 트렌드와 2026년 위협 환경 전망을 담은 ‘랜섬웨어 동향 보고서’를 발표했다.
카스퍼스키 시큐리티 네트워크(Kaspersky Security Network)에 따르면, 2025년 랜섬웨어 공격이 탐지된 조직 비율은 라틴아메리카(8.13%)가 가장 높았으며, 이어 아시아·태평양(7.89%), 아프리카(7.62%), 중동(7.27%), 독립국가연합(CIS, 5.91%), 유럽(3.82%) 순으로 나타났다.
보고서는 ‘비암호화’ 기반 협박 공격의 증가, 랜섬웨어 그룹의 포스트 양자 암호 도입, 그리고 탈취된 데이터 및 계정 정보를 유통하기 위한 텔레그램 채널의 지속적인 활용을 주요 특징으로 지목했다.
업체 측에 따르면, 2025년 랜섬웨어 공격을 받은 조직 비율은 2024년 대비 소폭 감소했다 하지만, 공격자들이 공격을 산업화하고 침투 과정을 자동화하며 단순한 시스템 암호화보다 민감 정보 탈취 및 유출에 집중하면서 사용자 위험은 여전히 높은 수준을 유지하고 있다.
텔레그램 채널과 다크웹 포럼은 랜섬웨어 공격을 통해 확보된 데이터를 포함한 탈취 데이터와 접근 권한을 유통·판매하는 주요 플랫폼으로 지속 활용되고 있다. 랜섬웨어 서비스 홍보 및 업데이트 공유 기능도 수행했던 주요 지하 포럼 RAMP는 2026년 1월 당국에 의해 폐쇄됐다. 또한 데이터 유출 및 탈취 정보를 공유하던 또 다른 지하 포럼 LeakBase 역시 2026년 3월 폐쇄됐다. 다만 법 집행 기관이 다크웹 플랫폼과 데이터 유출 사이트를 지속적으로 차단하고 있음에도 유사한 플랫폼은 계속해서 등장할 가능성이 있다고 업체 측은 전했다.
2025년 주요 트렌드 중 하나는 EDR(엔드포인트 탐지 및 대응: Endpoint Detection and Response) ‘킬러’ 도구의 확산이다. 이는 악성코드 실행 전에 엔드포인트 보안 솔루션을 무력화하도록 설계된 도구로, 공격 과정의 표준 구성 요소로 자리 잡으며 더욱 정교하고 체계적인 침투를 가능하게 한다는 것이다.
또한 일부 랜섬웨어 계열이 포스트 양자 암호 표준을 채택하는 사례가 확인됐다. 이는 향후 양자 컴퓨팅 환경에서도 해독이 어려운 암호 방식을 활용하려는 움직임으로, 이전부터 예측된 변화이며 향후 위협 수준을 더욱 높일 수 있는 요소로 평가된다.
IAB(Initial Access Broker)라 불리는 초기 접근 권한 중개자(브로커)의 역할도 확대되고 있다. 이들은 침해된 기업 시스템 접근 권한을 다크웹 포럼이나 메시징 플랫폼을 통해 판매하는 사이버 범죄 중개자다. 특히 원격 접속 제어가 가능한 RDWeb 포털이 주요 공격 대상이 되면서, ‘Access-as-a-Service(접근(액세스) 기능을 클라우드 기반 서비스로 제공)’ 형태의 공격 산업화가 가속화되고 있다. 이에 따라 랜섬웨어 공격 진입 장벽은 더욱 낮아지고 있다는 설명이다.
Active groups
2025년 데이터 유출 사이트(Data Leak Site, DLS) 기준으로 가장 활발하게 활동한 랜섬웨어 그룹은 Qilin으로 나타났으며, RansomHub 운영 중단 이후 주요 Ransomware-as-a-Service 운영자로 부상했다. Clop은 두 번째, Akira는 세 번째로 활동이 활발한 그룹으로 확인됐다.
각 랜섬웨어 그룹의 피해자 비중은 데이터 유출 사이트(DLS)를 기준으로 2025년 전체 피해자 대비 비율로 집계됐다.
2025년에는 일부 주요 랜섬웨어 그룹이 활동을 중단했지만, 새로운 공격 그룹도 빠르게 등장하고 있다. 2026년에는 ‘Gentlemen’ 그룹이 빠른 성장과 체계적인 운영, 데이터 중심 협박 전략을 바탕으로 주요 신규 위협으로 부상할 것으로 예상된다.
이 그룹은 기존 주요 랜섬웨어 조직과 연관된 공격자들이 포함됐을 가능성도 있다. Gentlemen은 기존의 무작위적이고 소음이 큰 공격 방식에서 벗어나, 민감 정보 탈취와 평판 및 규제 압박을 활용하는 비즈니스형(extortion model) 공격으로의 전환을 보여주는 대표 사례라고 업체 측은 밝혔다.
카스퍼스키 파비오 아솔리니 GReAT(Global Research and Analysis Team) 수석 보안 연구원은 “랜섬웨어는 이제 탈취한 데이터를 수익화하고, 보안 방어 체계를 무력화하며, 공격을 대규모로 확장하는 방향으로 고도로 조직화된 생태계로 진화했다”며, “공격자들은 정상적인 도구를 공격에 활용하고 원격 접근 인프라를 악용하는 한편, 예상보다 빠르게 포스트 양자 암호(Post-quantum cryptography) 기술까지 도입하고 있다”고 밝혔다.
이어, “Anti-Ransomware Day는 이러한 랜섬웨어 위협에 대한 글로벌 인식을 높이고, 효과적인 예방 및 대응 모범 사례를 확산하는 데 목적이 있다”며, “이에 따라 사용자와 기업은 다계층 방어 체계를 구축하고, 안정적인 백업을 마련하며, 사이버 보안 인식을 강화해 위협에 대비할 필요가 있다”라고 말했다.
카스퍼스키 이효은 한국지사장은 “한국의 공공기관과 기업은 갈수록 고도화·산업화되는 랜섬웨어 공격에 직면하고 있으며, 공격 방식 또한 기존의 시스템 암호화 중심에서 데이터 탈취와 평판을 이용한 협박 형태로 변화하고 있다”며, “이로 인해 금융과 헬스케어 등 주요 산업 전반에 걸쳐 위험이 크게 확대되고 있다. 또한 공격자들은 정상적인 도구와 원격 접근 경로를 활용해 탐지를 회피하고 있어, 방어의 난이도 역시 점점 높아지고 있다”고 밝혔다.
이어, “이제 기업은 단편적인 보안 전략에서 벗어나 엔드포인트, 백업, 위협 인텔리전스를 통합한 다계층 방어 체계를 구축하고, 임직원의 보안 인식을 지속적으로 강화할 필요가 있다”라고 말했다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
