“2분기 글로벌 랜섬웨어 피해 1556건…신생그룹 위협 z커져”

올해 2분기 전 세계적으로 랜섬웨어 피해가 1556건 발생한 것으로 집계됐다.

SK쉴더스는 27일 이 같은 내용을 담은 '2025년 2분기 KARA 랜섬웨어 동향 보고서'를 발간했다.

올해 2분기 전 세계 랜섬웨어 피해 건수는 1556건으로 전년 동기 대비 17% 늘었다. 전분기(2575건)와 비교하면 40% 줄었다.

SK쉴더스는 “클롭(Clop)·랜섬허브(RansomHub) 등 대형 랜섬웨어 그룹의 활동 중단에 따른 일시적 현상일 뿐, 전반적 위협 수준은 여전히 심각하다”고 분석했다.

2분기엔 퀼린(Qilin) 랜섬웨어 그룹의 활동이 두드러졌다. 기존에 활발한 공격을 전개해온 RansomHub 그룹의 일부 공격자가 Qilin에 합류한 것으로 추정된다. 실제로 RansomHub 중단 이후 Qilin의 월평균 피해 건수는 기존 35건에서 70건으로 두 배 가까이 늘었다.

아울러 시스코(Cisco)·소닉월(SonicWall) 가상사설망(VPN) 취약점 노린 아키라(Akira), 방화벽과 윈도우 취약점을 연계해 공격한 플레이(Play) 랜섬웨어 등도 활발히 활동했다. 건라(Gunra), 데브맨(Devman), 노바(Nova) 등 신생 그룹도 등장하며 위협이 다변화되는 양상을 보였다.

인크(INC) 랜섬웨어 그룹의 고도화된 위협도 눈에 띈다. INC는 2023년 등장 이후 의료, 제조, 공공기관 등 운영 연속성이 끊기면 치명적 피해가 발생하는 산업군을 주요 타깃으로 삼았다.

INC는 서비스형 랜섬웨어(RaaS) 모델을 기반으로 운영되며, 공격자가 직접 랜섬웨어를 개발하지 않아도 손쉽게 공격을 실행할 수 있게 지원한다. 또 INC 랜섬웨어 그룹의 소스코드가 다크웹에서 판매된 정황이 확인되면서, 유사 랜섬웨어 제작과 변종 확산 가능성이 커지고 있다.

일상 생활과 직결되는 기업·소비자 간 거래(B2C) 서비스 피해가 집중 발생했으며, 헬스케어 분야와 공공서비스도 공격을 받았다.

SK쉴더스는 위협 대응 강화를 위해 △신속한 보안 패치 △내부 접근 권한 관리 △행위 기반 이상 징후 감시 강화 등 선제적 대응 체계가 필요하다고 강조하며, 실시간 탐지와 즉각 대응이 가능한 관리형탐지·대응(MDR) 서비스를 고도화된 랜섬웨어 대응의 핵심 대안으로 제시했다.

김병무 SK쉴더스 사이버보안부문장(부사장)은 “랜섬웨어 공격이 소비자와 밀접한 서비스와 공공기관으로까지 확산되며 일상 생활을 직접적으로 위협하고 있다”며 “이 같은 산업군의 서비스 중단은 곧 사회적 혼란으로 이어질 수 있는 만큼, 실시간 탐지와 대응이 가능한 SK쉴더스의 MDR을 통해 위협에 선제적으로 대비하길 바란다”고 밝혔다.