카스퍼스키, ‘2025 랜섬웨어 현황 보고서’ 발표

국제 안티 랜섬웨어 날 맞아 발표된 전세계 및 지역별 인사이트 제공

카스퍼스키(지사장 이효은)가 국제 안티 랜섬웨어 날을 맞아 전세계 및 지역별 랜섬웨어 현황을 조사한 연례 보고서인 ‘2025 랜섬웨어 현황 보고서’를 발표했다.

국제 안티 랜섬웨어 날은 2020년 5월 12일에 인터폴과 카스퍼스키의 협력하여 제정되었으며, 이는 2017년 5월 12일 전세계를 강타한 악명 높은 워너크라이(WannaCry) 랜섬웨어 공격일을 상기하기 위함이다. 이 날은 랜섬웨어가 초래하는 위협에 대한 글로벌 인식을 제고하고, 예방과 대응을 위한 최선의 방안을 홍보하는 데 목적이 있다.

카스퍼스키는 국제 안티 랜섬웨어 날에 글로벌 및 지역별 랜섬웨어 사이버 위협 지형의 변화에 관한 연례 보고서를 발표해왔다.

Kaspersky Security Network 분석 자료에 따르면, 중동, 아시아 태평양, 아프리카 지역이 랜섬웨어 공격을 받은 사용자 비율 면에서 가장 높은 것으로 나타났으며, 라틴 아메리카, CIS(The Commonwealth of Independent State), 유럽이 그 뒤를 이었다.

2023년에서 2024년 사이, 전 세계적으로 랜섬웨어 공격의 영향을 받은 사용자 비율은 0.02%p 상승하여 총 0.44%를 기록했다. 이 수치는 작아 보이지만, 랜섬웨어는 대량 유포보다는 주요 타겟에 집중하는 경향이 있어 전체 사건 수가 적은 것이 특징이다.

지역별 분석을 보자면, 중동 및 아시아 태평양 지역이 빠른 디지털 전환, 확대된 공격 표면, 보안 성숙도 격차로 인해 랜섬웨어 피해가 높게 나타났다. 특히, 인프라 및 운영 기술(OT)에 대한 공격이 활발한 신흥 국가들이 타겟이 되었다.

아프리카는 낮은 디지털화 수준과 경제적 제약으로 인해 주요 타겟이 작아 랜섬웨어가 상대적으로 작았으나, 남아프리카공화국과 나이지리아 등에서 디지털 경제 확장에 따라 제조, 금융, 정부 부문에서 공격이 증가 중이다. 다만, 사이버 보안 인식과 자원이 부족하여 여전히 취약한 상태다.

라틴 아메리카에서는 브라질, 아르헨티나, 칠레, 멕시코가 주요 타깃이었다. 제조, 정부, 농업, 에너지 및 유통과 같은 핵심 산업군이 주요 피해 대상이며, 낮은 몸값 요구와 경제 제약이 일부 공격자들을 억제하고 있으나, 디지털 수용 증가로 노출도는 커지고 있다.

CIS(The Commonwealth of Independent State)는 사용자 비율이 상대적으로 낮지만 Head Mare, Twelve 등 핵티비스트 그룹이 LockBit 3.0 등의 랜섬웨어를 사용하여 피해를 주고 있다. 제조, 정부, 소매 분야가 주요 타겟이며, 사이버 보안 역량 차이가 존재한다.

유럽은 지속적으로 공격 대상이지만, 강력한 사이버 보안 프레임워크와 규제 덕분에 일부 공격은 억제되고 있다. 제조, 농업, 교육 부문이 주 타겟이나, 성숙한 대응 시스템과 높은 인식 수준 덕분에 피해 규모는 제한적이다.

새롭게 떠오르는 랜섬웨어 동향은 다음과 같다.

◊AI 활용 랜섬웨어의 부상- 2024년 말 등장한 FunkSec은 AI 기술을 활용하여 기존의 Cl0p 및 RansomHub를 뛰어넘는 공격을 감행하며 주목받았다. RaaS(서비스형 랜섬웨어) 모델을 기반으로 운영되는 이 그룹은 이중 협박(Double Extortion, 데이터 암호화와 탈취 병행) 전술을 사용하여, 정부, 기술, 금융, 교육 부문을 중심으로 유럽과 아시아를 공격하였다. FunkSec의 랜섬웨어는 대형 언어 모델(LLM)로 생성된 AI 기반 코드와 주석을 포함하여 탐지를 어렵게 했으며, 일반적인 수백만 달러 요구와는 달리 저비용-고빈도 전략으로 운영되어 기술적 혁신을 선보였다.

◊RaaS 생태계 확장- RaaS 모델은 여전히 랜섬웨어의 핵심 구조로 자리 잡고 있으며, 2024년에는 RansomHub와 같은 플랫폼이 악성코드, 기술지원, 수익 공유 시스템을 제공하여 비숙련 공격자도 고급 공격 수행이 가능하게 되었다. 이는 새로운 랜섬웨어 그룹의 출현을 가속화시켰다.

◊비정형 취약점(exploiting unconventional vulnerabilities) 활용- Akira 갱단은 웹캠(use of a webcam)을 활용하여 EDR(엔드포인트 탐지 및 대응)을 우회한 사례처럼, 2025년에는 IoT 디바이스, 스마트 기기, 잘못 구성된 하드웨어 등 비정형 진입점을 노리는 경향이 커질 것으로 예상된다. 정찰, 측면 이동(Lateral Movement) 등 은밀한 기술을 통해 방어 체계를 피해 네트워크 내부로 침투하는 정밀 공격이 증가할 것으로 보인다.

◊사이버 범죄용 LLM과 RPA의 결합- 다크웹에서 판매되는 사이버 범죄용 LLM은 악성코드, 피싱, 사회공학 공격을 누구나 손쉽게 수행할 수 있도록 하고 있다. 여기에 RPA(로봇 프로세스 자동화)와 로우코드(LowCode) 도구의 확산은 AI 기반 드래그 앤 드롭 방식으로 공격 자동화까지 가능케 하여 랜섬웨어 위협의 대중화를 가속화시키고 있다.

카스퍼스키 이효은 한국지사장은 “한국의 사이버 보안 상황은 갈수록 심각해지고 있으며, 랜섬웨어 위협에 더욱 주의를 기울여야 한다. 2025년 1분기에는 한국 내 다수의 사이버 공격이 탐지되었으며, AI 기술이 악용된 사례도 확인되었다. 디지털 전환의 가속화로 공격 표면이 확대되고 있는 만큼, 엔드포인트 보호에서부터 실시간 모니터링, 오프라인 백업과 같은 전방위적 보안 기능을 제공하는 카스퍼스키의 전문 솔루션 활용을 권고한다. 또한, 직원들의 보안 인식 강화를 통해 민관이 함께 랜섬웨어 등 사이버 위협에 대응해야 한다”라고 말했다.

카스퍼스키 글로벌 리서치·분석팀 (Global Research and Analysis Team)의 드미트리 갈로프 러시아 및 CIS 리서치 센터장은 “오늘날 랜섬웨어는 전 세계 모든 규모의 기업에 있어 가장 심각한 사이버 위협이다. 특히 IoT, 스마트 기기, 오래되거나 오작동하는 하드웨어 등 감시가 소홀한 진입점을 악용하는 추세가 우려된다. 이제 최신 시스템 유지, 네트워크 분리, 실시간 모니터링, 강력한 백업, 사용자 교육까지 다단계의 통합 방어 전략을 수행하는 것이 반드시 필요하다”고 말했다.

카스퍼스키는 기업이 랜섬웨어로부터 스스로를 보호하기 위해 다음과 같은 모범 사례를 따를 것을 권장한다.

◊모든 엔드포인트에 랜섬웨어 보호 기능을 활성화하라

Kaspersky Anti-Ransomware Tool for Business는 무료로 제공되며, 컴퓨터 및 서버를 랜섬웨어와 기타 유형의 악성코드로부터 보호하고, 취약점(Exploit) 악용을 방지하며, 기존에 설치된 보안 솔루션과도 호환된다.

◊모든 기기에 설치된 소프트웨어를 항상 최신 상태로 유지하라

소프트웨어를 최신 상태로 유지해야 공격자가 취약점을 악용하여 네트워크에 침입하는 것을 방지할 수 있다.

◊방어 전략을 측면 이동(Lateral Movement) 및 인터넷으로의 데이터 유출(Data Exfiltration) 탐지에 집중하라

사이버 범죄자가 네트워크와 연결되는 것을 탐지할 수 있도록 아웃바운드 트래픽(Outgoing Traffic)을 특히 주의 깊게 모니터링 해야 한다. 또한, 침입자가 변조할 수 없는 오프라인 백업(Offline Backup)을 설정하고, 필요 시 신속히 접근할 수 있도록 준비해 두어야 한다.

◊APT(지능형 지속 위협) 방어 및 EDR(엔드포인트 탐지 및 대응) 솔루션을 설치하라

고급 위협 탐지, 조사 및 사고에 대한 적시 대응이 가능해지며, SOC(보안 운영 센터) 팀에는 최신 위협 인텔리전스(TI) 접근 권한을 제공하고, 정기적인 전문 교육으로 역량을 강화해야 한다. 이 모든 기능은 Kaspersky Expert Security framework 내에 포함되어 있다.

◊최신 위협 인텔리전스(Threat Intelligence) 정보를 사용하여, 위협 행위자가 사용하는 실제 전술, 기법, 절차(Procedures, TTPs)를 인지하고 대비하라

◊광범위한 위협으로부터 회사를 보호하기 위해, Kaspersky Next 제품군의 솔루션을 사용하라

이 제품군은 EDR 및 XDR 기반의 실시간 보호, 위협 가시성, 조사 및 대응 기능을 제공하며, 모든 규모와 산업의 기업에 적합하다. 현재 보안 필요성과 자원에 따라 적절한 제품 단계를 선택할 수 있으며, 보안 요구 사항 변화에 따라 손쉽게 다른 제품군으로 전환할 수 있다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★