칠린, 한국만 32건 공격…대기업·중견기업 노려
RaaS·AI 결합으로 공격 자동화·대량화 진행
[강민지 제작] 일러스트
4일 연합뉴스가 안랩의 차세대 위협 인텔리전스 플랫폼 티아이피(TIP)로부터 입수한 보고서에 따르면 지난해 한국 기업이 랜섬웨어 그룹으로부터 공격받은 건수는 56건으로 전년(16건) 대비 3.5배였다.
보고서에 따르면 연도별 공격 건수는 2021년 1건, 2022년 3건, 2023년 17건으로 급격하게 증가하고 있다.
안랩이 최근 1년 간 (2024년 11월∼2025년 10월) 발생한 랜섬웨어 공격을 산업군별로 분석한 결과 금융업과 보험업이 32건(53.3%)으로 가장 높은 비율을 차지했다.
제조업은 13건(21.6%)으로 두 번째로 높은 비율을 차지했으며, 정보통신업의 경우 6건(10%)으로 세 번째로 높았다.
같은 기간 랜섬웨어 그룹별 공격 산업군을 분류한 결과 랜섬웨어 그룹 칠린(Qilin)이 금융업과 보험업을 대상으로 32건의 공격을 시도했다. 칠린은 이 밖에도 건설업 2건, 정보통신업 제조업 1건 등 공격을 했다.
랜섬웨어 그룹 건라(Gunra)는 같은 기간 제조업 2건, 금융업과 보험업 1건 등 모두 3건의 공격을 했다.
랜섬허브(RansomHub)는 제조업에 공격 3건을, 언더그라운드도 제조업에 공격 2건을 했다.
보고서는 높은 매출액을 기록하는 대기업과 중견기업이 빈번하게 공격 대상이 됐으며 이는 이들의 경제적 가치가 높기 때문일 가능성이 있다고 설명했다.
최근 들어 랜섬웨어 그룹의 공격이 급격히 증가한 원인은 무엇일까.
보고서는 서비스형 랜섬웨어 모델(RaaS)의 확산과 인공지능(AI)의 발전을 주된 원인으로 분석했다.
RaaS 모델의 확산으로 기존 랜섬웨어 코드의 재활용이 쉬워졌고, 경험 있는 계열사 인력이 다른 그룹으로 이동하면서 기술이 전파됐다.
이에 더해 AI가 RaaS 활동을 지원하면서 랜섬웨어의 진입 장벽을 낮추는 역할을 했다고 안랩은 진단했다.
이 밖에 랜섬웨어 그룹의 전략이 바뀐 점 역시 유효하다.
과거 대형 랜섬웨어 그룹은 고액의 몸값을 노리는 전략을 채택했지만, 법 집행 기관의 단속을 피하기 위해 유럽이나 북미의 대기업보다 아시아의 중소기업을 대상으로 공격을 확대하는 양상이 나타났다.
안랩은 한국과 아시아 지역이 랜섬웨어 피해의 중심지로 떠오르고 있다고 봤다.
보고서에 따르면 2023년 아시아 태평양 지역의 랜섬웨어 공격은 전년 대비 29%나 증가했다.
아시아 지역은 핵심 부품과 소재의 주요 생산 기지로 해당 지역의 기업을 공격하면 글로벌 전체에 큰 파급효과를 미칠 수 있는 점도 랜섬웨어 그룹이 공격 대상으로 삼은 이유로 꼽혔다.
또한 아시아 지역은 유럽이나 북미에 비해 국가 간 사법 공조의 제약과 법 집행 역량의 편차로 랜섬웨어 그룹에 비교적 리스크가 작다고 보고서는 분석했다.
안랩은 향후 한국 기업을 대상으로 한 랜섬웨어 공격의 위험성이 커질 수 있다고 전망했다.
RaaS 모델이 확산하고 건라 등 신종 랜섬웨어 그룹이 지속해 성장하면서 공격이 다변화, 대량화되고 있기 때문이다.
이에 안랩은 한국 기업이 '제로 트러스트'(Zero Trust) 보안 원칙을 수립해야 한다고 촉구했다.
제로 트러스트는 신뢰할 수 없는 모든 요소에 대한 통제를 의미한다.
안랩은 "제로 트러스트 환경을 실현하고 엔드포인트(네트워크에 연결돼 정보를 교환하는 모든 기기) 단의 의심 행위를 실시간으로 탐지하고 이를 확장해 전체 영역에서 위협을 통합적으로 분석해야 한다"라고 말했다.
이어 "활발한 랜섬웨어 그룹의 공격 전술, 기술, 침해 지표를 사전에 파악하는 위협 인텔리전스를 활용해 방어 태세를 갖춰야 한다"라고 강조했다.
built@yna.co.kr