세계 최악 랜섬웨어 세대교체…'록빗' 누른 '킬린'

누적 공격 건수 2017건…작년 기점으로 1년 만에 공격 '5배 폭증'

컴퓨팅입력 :2026/07/16 16:38

랜섬웨어 조직 '킬린(Qilin)'이 역사상 최악의 사이버 범죄 조직이 됐다. 랜섬웨어가 성행하기 시작한 2023년부터 현재까지 집계한 누적 피해자 수가 가장 많았던 최대 랜섬웨어 조직 '록빗(LockBit)'을 넘어선 것이다.

16일 랜섬웨어 추적 사이트 랜섬웨어닷라이브에 따르면 랜섬웨어 조직이 운영하는 다크웹 전용 유출 사이트(DLS)에 업로드한 전 세계 누적 피해자 수가 킬린이 2017건으로 과거 가장 많은 피해자를 남겼던 록빗(LockBit 3.0, 2016건)을 넘어선 것으로 나타났다. 지난해부터 최다 공격 건수를 기록한 이후 올해에도 공격을 이어오면서 2000곳이 넘는 기업에 랜섬웨어 공격을 시도한 셈이다.

공격 건수 상위 10곳의 랜섬웨어 조직 통계. 킬린이 2017건으로 1위다.(사진=랜섬웨어닷라이브)

랜섬웨어는 기업 또는 기관의 내부 시스템에 침투해 중요 파일들을 암호화하고 이를 인질삼아 금전을 요구하는 '사이버 협박' 범죄다. 최근에는 암호화한 데이터를 빼돌리고, DLS에 업로드한 후 금전을 보내지 않으면 탈취한 모든 데이터를 공개하겠다는 식으로 이중 협박을 가한다.

인공지능(AI) 및 사이버보안 전문 기업 에스투더블유(S2W)가 분석한 내용에 따르면 킬린은 최소 2022년 5월부터 활동한 러시아계 랜섬웨어 조직이다. 서비스형 랜섬웨어(RaaS) 모델로 운영되고 있다. 킬린의 운영 멤버는 불법 해킹 포럼 '램프(RAMP) 포럼'에서 @Haise 라는 유저로 활동하고 있는 사람이 주축을 이룬 것으로 알려져 있다.

킬린이 전 세계에서 가장 위협적인 랜섬웨어로 부상한 시점은 2025년이다. 2024년까지만 해도 랜섬웨어 공격 건수는 186건에 그쳤으나, 지난해 연간 공격 건수가 1058건으로 5배 이상 급증했다. 올해에도 722곳의 전 세계 기업 및 기관을 공격해 모든 랜섬웨어 조직을 통틀어 가장 높은 공격 건수를 기록했다.

랜섬웨어 공격 그룹 '킬린'의 다크웹 사이트에 웰컴금융그룹 관련 정보가 공개돼 있다.(사진=킬린 다크웹 사이트 캡처)

킬린은 국내 기업과 기관에도 공격을 일삼았다. 국내 자산운용사 30여곳을 비롯해 웰컴금융그룹 계열사 웰릭스에프앤아이대부를 공격해 1테라바이트(TB)가 넘는 데이터를 탈취했다고 주장한 바 있다. 이 외에도 토목업체 유신, KT 알티미디어 등 기업을 공격했다. 심지어 마이크로소프트 분석에 따르면 북한 해킹 조직도 킬린의 랜섬웨어를 사용한 사례도 포착돼 위기감을 더하고 있다.

사이버보안 전문 기업 지니언스도 킬린 관련 분석 보고서를 통해 "킬린은 현재 랜섬웨어 생태계에서 가장 주목해야 할 위협 중 하나"라며 "기술적 완성도와 공격 규모·속도 측면에서도 급격히 성장하고 있다. 특히 단순 피해를 넘어 실질적인 운영 중단 및 데이터 유출 위협까지 병행하고 있으며, 한국, 일본을 포함한 아시아·태평양 지역 조직도 잠재적 타깃"이라고 진단한 바 있다.

관련기사

파이오링크도 보고서를 통해 "킬린은 처음 발견됐을 당시에는 단순 파일 암호화 도구에 불과했으나, 현재는 훨씬 정교한 형태로 진화했다"며 "다양한 방어 회피 기법을 사용하며, 악성행위를 원활하게 수행하기 위해 시스템을 안전모드로 재부팅 시키기도 한다. 또한 관리자 비밀번호를 강제로 변경해 정상 사용자의 로그인을 차단하고, 파일 복구 기능을 모두 무력화한 뒤 데이터를 탈취하는 방식을 병행하고 있다"고 설명했다.

이어 "킬린은 지난해 한국 기업을 가장 많이 공격한 랜섬웨어 조직이며, 지난달에도 국내 피해 사례가 확인됐다"며 "국내 기업을 대상으로 한 공격이 지속되고 있는 만큼 각별한 주의가 필요하며, 사전에 대응체계를 마련해두는 것이 중요하다"고 밝혔다.