민감정보가 랜섬웨어 공격의 주요 표적이 되면서, 위협이 한층 더 가까워졌습니다. 최근 예스24는 복호화 키를 요구하는 해킹 공격으로 서비스 운영 자체가 마비되어 고객 대응과 배송까지 모두 중단되는 피해를 겪고 있습니다. 2025년 1분기 동안 확인된 랜섬웨어 피해 사례는 2,575건으로 2024년 동일한 시기 대비 약 122%, 2024년 4분기 대비 약 35% 증가했습니다. 공격자들은 민감정보를 다크웹에 유포하겠다는 협박까지 이어 나가고 있어, 기업의 보안 체계 정비가 시급한 상황입니다. 단 한 번의 공격으로 모든 업무 시스템이 멈출 수 있는 랜섬웨어 공격, 복구보다 중요한 것은 사전에 예방하는 것입니다. 이를 위해서는 최신 랜섬웨어 동향을 파악하고, 공격 기법의 변화를 이해하는 것이 무엇보다 중요합니다. 오늘은 KARA 랜섬웨어 동향 보고서를 바탕으로, 2025년 1분기 주요 랜섬웨어 트렌드를 알아보겠습니다.

‍

‍

◼︎ 2025년 1분기 랜섬웨어 트렌드

‍

1) 고성능 GPU를 통한 랜섬웨어 복호화 키 크랙

출처: Freepik

복호화 키는 더 이상 해커만이 가진 무기가 아닐 수 있습니다. 최근 고성능 GPU를 활용해 Akira 랜섬웨어 리눅스 변종의 암호화를 일부 해제한 연구 결과가 보고되며, 보안 실무자들 사이에서 주목받고 있습니다. Akira는 나노초 단위의 타임스탬프 시드를 사용하고, SHA-256 해싱 1,500회 반복과 RSA-4096 암호화를 적용하는 구조로 되어 있어 사실상 복호화가 불가능한 것으로 알려져 있었습니다.

하지만 2025년 3월, 시스템 로그와 파일 메타데이터를 활용한 시드 추정과 클라우드 기반 RTX 4090 GPU 16대 병렬 연산을 통해 약 10시간 만에 복호화 키를 찾아냈는데요. 이는 특정 조건에서 랜섬웨어 복구가 가능하다는 것을 의미합니다.

민감정보가 유출된 랜섬웨어 피해 사례는 대부분 추가 협박으로 이어지는 만큼, 암호화 원리의 이해와 위협 탐지 전략이 병행되어야만 실질적인 방어가 가능합니다.

‍

2) 피해가 증가한 분야

올해 1분기 랜섬웨어 공격은 민감정보를 정밀하게 노리고, 이후 랜섬웨어 복구를 미끼로 협박을 이어가는 이중 갈취 방식을 꾸준히 사용하고 있습니다. 시스템을 복구하는 것만으로 해결되는 문제가 아니기 때문에, 기업에서는 초기 대응 전략부터 재정비해야 하는 상황입니다.

랜섬웨어 복구 여부와 관계없이 탈취된 데이터는 외부로 유출될 수 있고, 이로 인해 발생하는 신뢰 하락이나 법적 책임은 복구 이후에도 계속 영향을 미치게 됩니다. 지금부터는 랜섬웨어 피해 사례를 바탕으로, 기업이 가장 먼저 대비해야 할 위협이 어떤 분야에서 발생하고 있는지 살펴보겠습니다.

✅ 의료기관은 민감정보탈취의 최전선에 놓여 있습니다.

병원과 의료기관은 여전히 랜섬웨어 조직의 주요 공격 대상입니다. 환자 진료기록, 건강보험 정보 등 민감한 정보가 대량으로 저장되어 있다는 특성상, 해커들이 집중적으로 노리는 분야이기도 합니다.

실제로 Medusa, Rhysida, Qillin 등의 랜섬웨어 조직은 미국과 유럽,태평양 지역의 의료기관을 공격해 수십만 건의 환자 정보를 탈취했고, 데이터 유출을 빌미로 거액을 요구했습니다. 일부는 이미 다크웹에 환자 정보를 유출시킨 정황도 포착됐습니다.

✅ 교육기관 보안, 지금 이대로 괜찮을까요?

2025년 1분기 동안 교육 기관을 대상으로 한 랜섬웨어 공격이 증가했습니다. 영국의 Blacon High School, 미국의 Riverdale Country School 등 여러 학교들이 랜섬웨어 조직에 의해 공격받아 학생과 교직원의 개인정보가 대거 유출되었습니다. 전체 랜섬웨어 공격이 증가함에 따라, 상대적으로 보안이 취약한 의료기관과 교육기관이 주요 표적이 되고 있습니다.

✅ 통신사의 보안 체계도 뚫렸습니다.

국가 기반 인프라의 중요한 주축인 통신사도 랜섬웨어로 인해 피해를 보고 있습니다. 프랑스의 Orange, 브라질의 Hypernova Telecom, 미국의 Wide Open West 등 주요 글로벌 통신기업들이 연이어 공격당하며 직접적인 타격을 받았으며, 수십만 건에 이르는 고객 계정과 결제 정보를 해커들에게 탈취당했습니다. 랜섬웨어 조직은 데이터를 빌미로 금전적인 요구를 이어가고 있습니다.

‍

3) 취약점 이용한 공격

출처: Unsplash

보안 패치 설치를 미루면 랜섬웨어에 감염될 수 있다는 경고는 꾸준히 제기되어 왔습니다. 올해 역시 실제로 보안 패치를 적용하지 않은 시스템이 랜섬웨어에 감염되는 사례가 발생했습니다. ‘Mora_001’이라는 랜섬웨어 그룹은 Fortinet 방화벽의 알려진 취약점을 집요하게 파고들어 시스템에 침투했습니다. 관리자 권한을 탈취한 뒤 내부 데이터를 유출하고 랜섬웨어를 배포하며 흔적까지 지우는 수법을 단계적으로 실행했습니다. Cleo, VLTrader 등 파일 전송 솔루션을 노린 유사 공격도 지난 분기에 이어 연달아 이어졌습니다. 한 번의 보안 패치 미비가 기업 전체 보안을 위협하는 통로가 된 셈입니다.

‍

‍

◼︎ 신규 랜섬웨어 및 그룹 활동

‍

1) 신규/변종 랜섬웨어 그룹

출처: Freepik

올해 들어, 정체를 알 수 없는 신규 및 변종 랜섬웨어 조직이 등장하고 있습니다. 기존 그룹의 명칭을 바꿔 활동을 재개하는 리브랜딩 사례가 있는가 하면, 아예 새로운 수익 모델을 내세워 공격을 시작한 그룹도 확인됐습니다. 특히 피해 기업의 민감정보를 공개하는 다크웹 유출 사이트를 직접 개설하거나, RaaS공격 파트너를 모집하는 등 공격 활동을 본격화하는 사례가 증가하고 있습니다.

‍

✅ Kraken

Kraken은 기존 HelloKitty(또는 HelloGookie) 랜섬웨어 그룹이 2025년 1월부터 이름을 바꿔 새롭게 활동을 시작한 사례입니다. 최근에는 미국과 폴란드 등의 국가에서 새로운 피해 사례가 보고되었고, 과거 Cisco에서 탈취한 민감 정보가 일부 포함된 것으로 알려졌습니다.

‍

✅ Morpheus

Morpheus는 2025년 1월 처음 등장한 신규 그룹으로, 다크웹 유출 플랫폼을 운영하며 지금까지 3건의 피해 사례를 게시했습니다. 첫 유출 데이터가 2024년 12월에 공격이 이루어진 것으로 나타나, 피해 공개 시점과 실제 공격 시점 사이의 시간 차가 있다는 것을 알 수 있습니다.

✅ GDLockerSec

GDLockerSec는 지난 1월 Amazon의 클라우드 컴퓨팅 서비스인 AWS의 침해 데이터를 포함한 5건의 침해 데이터를 공개하며 활동을 시작한 랜섬웨어 그룹입니다. 이들은 약 9GB 분량의 데이터를 탈취했다고 주장하지만, 실제로 공개된 내용은 Kaggle의 공개 데이터 세트와 동일하여 허위 데이터를 사용했다는 의혹이 제기되었습니다.

✅ A1project

A1project는 Windows, Linux, ESXi 등 여러 운영체제를 동시에 겨냥하는 멀티플랫폼 암호화 기능을 갖춘 랜섬웨어입니다. 파트너를 모집해 RaaS(Ransomware-as-a-Service) 모델로 운영되며, 민감한 데이터 유출 채널과 전용 유출 사이트까지 직접 제공하고 있는 점이 특징입니다.

✅ Babuk-Bjorka (Babuk2k)

Babuk-Bjorka는 과거 Babuk 계열과 이름은 유사하나, 직접적인 연관성은 확인되지 않았습니다. 이 그룹이 공개한 66건의 랜섬웨어 피해 사례 중 일부가 Funkscez, LockBit,RansomHub 등 다른 조직에서 유출했던 데이터와 동일해 실제 공격 여부가 불분명합니다.

‍

✅ Anubis

Anubis는 2025년 2월에 처음 등장한 그룹으로, RaaS뿐만 아니라 내부 권한 판매와 데이터 협박서비스까지 포함한 전략을 구사합니다. 협상 전 민감정보를 공개하지 않은 채 심리적 압박을 가하고, 피해 데이터를 다크웹에 공개했습니다. RaaS 파트너에게 20% 수수료를 제공하며 구조화된 서비스 모델을 운영하고 있습니다.

‍

2) Babuk Ransomware 그룹

Babuk랜섬웨어는 2020년 말 처음 모습을 드러낸 이후, 유럽의 중소기업을 중심으로 활동하기 시작해 빠르게 공격 대상을 넓혀갔습니다. 활동 초기에는 랜섬웨어를 이용해 직접 공격을 수행했지만, 이후 RaaS 형태로 모델을 구축해 활동 반경을 넓혔습니다. 그러나 2021년 6월, Babuk의 빌더 프로그램이 외부에 유출되면서 상황은 크게 바뀌었습니다. 누구든지 RaaS를 통하지 않고도 Babuk의 코드를 변형·배포할 수 있게 되면서, 다양한 파생형 변종과 새로운 랜섬웨어 피해 사례가 급속도로 퍼지기 시작했습니다. 이 빌더에는 Windows, ESXi, linux 환경을 동시에 노릴 수 있는 공격 코드가 포함돼 있어, 윈도우뿐만 아닌 다양한 운영체제를 노리는 랜섬웨어 공격이 증가했습니다.

이어 2021년 9월에는 러시아계 해킹 포럼을 통해 사용자인 dyadko2020이 Babuk 전체 소스코드를 다크웹에 공개하면서 파장은 더욱 커졌습니다. 해당 소스에는 암호화 알고리즘, 키 생성기, 바이너리 빌더까지 포함돼 있었고, 이후 여러 공격자들이 이를 기반으로 자체 랜섬웨어를 제작하거나 기존 기능을 변형·강화한 새로운 위협을 양산하는 계기가 되었습니다.

‍

25년 1분기 KARA 랜섬웨어 동향 보고서 더 읽어보기

‍

‍

◼︎ 원스톱으로 대응할 수 있는 SK쉴더스의 컨설팅을 만나보세요!

보안담당자라면 항상 긴장의 끈을 놓을 수 없습니다. 1분기 통계에 따르면, 병원과 학교를 겨냥한 랜섬웨어 공격이 각각 86%, 160% 이상 증가했고, 환경부·국방부 등 공공기관까지 공격 리스트에 이름을 올리고 있을 정도라고 하는데요. SK쉴더스 랜섬웨어 대응센터는 위협이 발생하기 전부터 감지하고 침해사고 발생 시 실시간 대응은 물론, 복구 컨설팅까지 원스톱으로 지원합니다. 현장에서 실질적으로 도움이 되는 보안 전략, 지금 점검해 보세요.

(1) 사전 점검

데이터 백업 보안 상태를 빠르게 진단해 랜섬웨어 위협을 사전에 진단합니다. 모의해킹을 통해 랜섬웨어 대응 수준을 평가하고, 실제 상황을 대비한 모의훈련 서비스도 제공합니다.

‍

(2) 위협 탐지

기존 구축된 솔루션과 연계하여 보안 취약점을 진단하고, 네트워크 및 이메일을 통한 위협과 백업 시스템에 대한 침입 여부도 함께 탐지합니다.

‍

(3) 대응 및 복구

랜섬웨어 공격 발생 시, 전문 대응센터를 통해 선제 대응 방안을 제공하고, 사고 접수부터 데이터 복구까지의 모든 과정을 전문가가 지원합니다.

‍

‍

‍

[콘텐츠 내용 출처]

한국경제, 예스24 '먹통' 일주일 만에 대표 사과…1차 보상안 발표

SBS, "올 들어 4월까지 국내 기관·기업 랜섬웨어 공격 주장 9건"