지난해 랜섬웨어 공격 건수는 2024년 대비 소폭 감소했지만, 공격 방식 자체가 단순 시스템 암호화에서 민감 정보 탈취 및 유출에 집중되면서 위험은 더욱 고조됐다는 분석이 나왔다.
글로벌 보안 기업 카스퍼스키(한국지사장 이효은)는 4일 이같은 내용을 골자로 한 '랜섬웨어 동향 보고서'를 발표했다. 보고서는 지난해 랜섬웨어 트렌드와 올해 위협 환경 전망을 담았다.
랜섬웨어 공격은 조직 시스템에 침투해 데이터를 암호화하고 이를 풀어주는 대가로 금전을 요구하는 사이버 범죄 중 하나다. 랜섬웨어 공격자들은 최근 산업화되고 있으며, 조직별로 협박, 해킹, 탈취, 협상 등 분업 구조도 갖춘 것으로 알려졌다. 특히 데이터 암호화뿐 아니라 공격 과정에서 데이터를 빼가고 다크웹 마켓에서 탈취한 정보를 불법적으로 사고파는 행위도 관측되고 있다.
보고서는 "랜섬웨어 공격자들이 공격을 산업화하고 침투 과정을 자동화하며, 단순한 시스템 암호화보다 민감 정보 탈취 및 유출에 집중하면서 사용자 위험은 여전히 높은 수준을 유지하고 있다"고 분석했다.
이어 "텔레그램 채널과 다크웹 포럼은 랜섬웨어 공격을 통해 확보된 데이터를 포함한 탈취 데이터와 접근 권한을 유통·판매하는 주요 플랫폼으로 지속 활용되고 있다"며 "법 집행 기관이 다크웹 플랫폼과 데이터 유출 사이트를 지속적으로 차단하고 있음에도 유사한 플랫폼은 계속해서 등장할 가능성이 있다"고 강조했다.
지난해 다크웹 데이터 유출 사이트 기준으로 가장 활발한 활동을 기록한 랜섬웨어 조직은 '킬린(Qilin, 10.98%)'으로 조사됐다. 이어 '클롭(Cl0p, 10.16%)', '아키라(Akira, 9.87%)' 등 그룹이 전체 공격 비중에서 상위권을 차지했다.
보고서에 따르면 지난해 일부 주요 랜섬웨어 그룹이 활동을 중단했지만, 새로운 공격 그룹이 빠르게 등장하고 있는 추세다. 올해에는 '젠틀맨(Gentlemen)' 그룹이 빠른 성장과 체계적인 운영, 데이터 중심 협박 전략을 바탕으로 주목되는 신규 위협 행위자로 부상했다. 카스퍼스키는 기존 주요 랜섬웨어 조직과 연관된 공격자들이 포함됐을 가능성도 있다고 분석했다.
이 외에도 보고서에 따르면 지난해 랜섬웨어 공격자들의 주요 트렌드 중 하나는 엔드포인트 탐지 및 대응(EDR) 솔루션을 무력화하는 'EDR 킬러' 도구의 확산으로 꼽혔다. 이는 악성코드 실행 이전에 EDR 솔루션을 무력화하도록 설계된 도구로, 공격 과정의 표준 구성 요소로 자리잡으며 더욱 정교하고 체계적인 침투가 가능하도록 돕는다.
관련기사
- "랜섬웨어 공격, 협박 아닌 '탈취'가 목적"2026.05.21
- "랜섬웨어 위협, 국민·국가로 번졌다…전주기 대응 필요"2026.05.21
- [인터뷰] 랜섬웨어 기승에 떠오른 '사이버 복원력'…델 "통합 복구 체계로 시장 선도"2026.04.17
- 한국, 랜섬웨어 해커 공격 1분기 2배 이상 증가2026.04.10
한편 이효은 카스퍼스키 한국지사장은 "한국은 갈수록 고도화·산업화되는 랜섬웨어 공격에 직면하고 있으며, 공격 방식 또한 기존의 시스템 암호화 중심에서 데이터 탈취와 평판을 이용한 협박 형태로 변화하고 있다"며 "이로 인해 금융과 헬스케어 등 주요 산업 전반에 걸쳐 위험이 크게 확대되고 있다. 또한 공격자들은 정상적인 도구와 원격 접근 경로를 활용해 탐지를 회피하고 있어, 방어의 난이도 역시 점점 높아지고 있다"고 진단했다.
이 지사장은 이어 "이제 기업은 단편적인 보안 전략에서 벗어나 엔드포인트, 백업, 위협 인텔리전스를 통합한 다계층 방어 체계를 구축하고, 임직원의 보안 인식을 지속적으로 강화할 필요가 있다"고 강조했다.
