랜섬웨어 위협, 일상생활까지 침투... SK쉴더스 2분기 동향 보고서 발표
SK쉴더스가 2025년 2분기 KARA 랜섬웨어 동향 보고서를 27일 발간했습니다. 이번 보고서는 전 세계 랜섬웨어 피해 현황과 주요 그룹의 활동 양상, 특히 INC 랜섬웨어의 고도화된 위협을 심층 분석한 내용을 담고 있습니다.
보고서에 따르면, 2025년 2분기 전 세계 랜섬웨어 피해는 1,556건으로 집계되었습니다. 이는 전년 동기 대비 17% 증가한 수치이지만, 1분기와 비교하면 40% 감소한 것입니다.
SK쉴더스는 이러한 감소세가 Clop, RansomHub 등 대형 랜섬웨어 그룹의 일시적 활동 중단에 따른 현상일 뿐, 전반적인 위협 수준은 여전히 심각한 상태라고 분석했습니다.
2분기에는 특히 Qilin 랜섬웨어 그룹의 활동이 두드러졌는데요. 기존 RansomHub 그룹의 일부 공격자들이 Qilin으로 이동한 것으로 추정됩니다.
실제로 RansomHub 중단 이후 Qilin의 월평균 피해 건수는 35건에서 70건으로 약 두 배 증가했습니다.
이 외에도 Cisco와 SonicWall VPN 취약점을 노린 Akira, 방화벽과 윈도우 취약점을 연계 공격한 Play 랜섬웨어 그룹이 활발히 활동했으며, Gunra, Devman, Nova 등 신생 그룹도 등장하며 위협이 다양화되고 있습니다.
소비자 직결 서비스와 의료기관 타격... 사회적 혼란 우려
특히 주목할 점은 일상생활과 직결된 B2C 서비스 분야의 피해가 집중적으로 발생했다는 것입니다.
지난 5월에는 공학 및 과학 계산 소프트웨어인 매트랩과 시뮬링크의 개발사 매스웍스가 랜섬웨어 공격을 받아 클라우드 센터 등 주요 플랫폼이 장기간 마비되었습니다. 이로 인해 전 세계 연구자, 엔지니어, 학생들의 라이선스 인증과 소프트웨어 활용에 큰 차질이 빚어졌습니다.
8월에는 국내 최대 인터넷 서점 예스24가 두 달 만에 재차 랜섬웨어 공격을 받아 도서 검색·주문, 전자책 열람, 공연 티켓 예매 등 주요 서비스가 전면 마비되면서 대규모 소비자 피해가 발생했습니다.
헬스케어 분야 역시 랜섬웨어 공격의 주요 표적이 되었습니다.
미국의 신장 치료 전문기업 다비타와 케터링 헬스, 코버넌트 헬스 등 주요 의료기관이 공격을 받아 진료 지연과 환자 정보 유출 피해를 입었습니다.
독일, 대만, 아랍에미리트 등 해외 병원에서도 유사한 공격이 이어졌으며, 미국 맥라렌 헬스케어는 작년 발생한 공격으로 74만 명 환자의 개인정보가 유출된 사실이 뒤늦게 밝혀졌습니다. 이러한 상황에 미국 연방수사국과 사이버 보안 및 인프라 보안국, 보건복지부는 지난 7월 의료기관 공격 급증에 대한 주의보를 발령했습니다.
공공 서비스 영역도 랜섬웨어 공격의 영향을 받았습니다.
미국 테네시주 보안관실, 텍사스주 애빌린 시, 오클라호마주 더런트 시 등 지방정부와 사법기관이 공격을 받아 행정과 치안 시스템이 중단되면서 주민들의 불편이 가중되었습니다. 이는 랜섬웨어 위협이 기업을 넘어 국민 생활 전반으로 확산되고 있음을 보여주는 사례입니다.
INC 랜섬웨어의 고도화된 위협과 대응 방안
SK쉴더스의 보고서는 INC 랜섬웨어 그룹의 고도화된 위협에도 주목했습니다.
INC는 지난 2023년 등장 이후 의료, 제조, 공공기관 등 운영 연속성이 중요한 산업군을 집중적으로 공격해왔습니다.
이 그룹은 RaaS 모델을 기반으로 운영되어, 공격자가 직접 랜섬웨어를 개발하지 않아도 손쉽게 공격을 실행할 수 있도록 지원하고 있습니다.
특히 우려되는 점은 INC 랜섬웨어 그룹의 소스코드가 다크웹에서 판매되고 있다는 정황이 확인된 것입니다.
이로 인해 유사 랜섬웨어 제작과 변종 확산 가능성이 커지고 있으며, 위협이 특정 그룹에 국한되지 않고 새로운 범죄 주체의 등장으로 이어질 수 있다는 점에서 보안 업계의 우려가 커지고 있습니다.
SK쉴더스는 이러한 위협에 대응하기 위해 신속한 보안 패치, 내부 접근 권한 관리, 행위 기반 이상 징후 감시 강화 등 선제적 대응 체계가 필요하다고 강조했습니다. 특히 실시간 탐지와 즉각 대응이 가능한 MDR 서비스를 고도화된 랜섬웨어 대응의 핵심 대안으로 제시했습니다.
MDR은 해킹 사고 발생 시 SK쉴더스의 보안 전문가가 즉시 대응해 원인 분석, 감염 차단, 복구까지 원스톱으로 지원하는 서비스입니다.
'구독형' 제공돼 초기 비용 부담 ↓... "중소기업 도입 용이"
구독형으로 제공되어 초기 비용 부담이 적고, 보안 인력과 예산이 부족한 중소기업과 기관도 쉽게 도입할 수 있다는 장점이 있습니다.
김병무 SK쉴더스 사이버보안부문장(부사장)은 "랜섬웨어 공격이 소비자와 밀접한 서비스와 공공기관으로까지 확산되며 일상 생활을 직접적으로 위협하고 있다"며, "이 같은 산업군의 서비스 중단은 곧 사회적 혼란으로 이어질 수 있는 만큼, 실시간 탐지와 대응이 가능한 SK쉴더스의 MDR을 통해 위협에 선제적으로 대비하길 바란다"고 밝혔습니다.
한편, SK쉴더스는 국내 최초 민간 랜섬웨어 대응 협의체 'KARA'를 주도하고 있으며, 'EQST Insight' 등 사이버보안 보고서를 통해 보안 지식 공유와 피해 확산 방지 활동을 지속하고 있습니다. 이번 보고서는 SK쉴더스 공식 홈페이지에서 무료로 확인할 수 있습니다.