신규 공격자 증가와 기존 랜섬웨어 기업 간 협력 관계가 랜섬웨어 공격 증가의 주요 배경이라는 분석이 제기됐다. 연말 휴가 시즌을 앞두고 공격이 더 확대될 것으로 전망된다.
가을철 악성 활동 증가 흐름과 랜섬웨어 기업 간 연합이 겹치면서, 9월 대비 10월 공격 건수가 41% 증가했다. NCC 그룹(NCC Group)에 따르면 칠린(Qilin)이 10월 전체 594건 중 170건(29%)을 기록하며 가장 활발한 랜섬웨어 기업으로 나타났다.
시노비(Sinobi)와 아키라(Akira)가 뒤를 이어 각각 15% 비중을 기록하며 2025년 10월 활동량 상위 세 기업을 형성했다.
이번 증가세는 4~8월 동안 비교적 안정적이던 공격 건수 추세를 벗어나는 변화다. 4~6월 사이에는 오히려 감소 흐름도 있었다. 북반구 여름이 끝나는 시점부터 공격이 다시 증가하기 시작하며, 9월에는 전월 대비 28% 증가했다. NCC 그룹은 이 상승세가 10월 공격 급증으로 이어졌다고 분석했다.
10월 증가세는 연말이 전통적으로 사이버 범죄 활동이 가장 활발한 시기라는 점을 보여준다. NCC 그룹은 “4분기는 블랙프라이데이, 사이버먼데이, 크리스마스 등으로 소비 지출이 정점을 찍으며 사이버 위협 행위자에게 공격 기회가 가장 많은 시기”라고 설명했다.
NCC 그룹의 통계는 각 랜섬웨어 기업이 운영하는 정보 유출 사이트를 모니터링한 결과다. 10월 594건 중 산업 부문이 28%(167건)으로 가장 많은 피해를 입었다. 소비재 부문(자동차·유통·레저 포함)은 124건, 헬스케어 부문은 64건이었다. 지역별로는 북미가 전체 공격의 62%를 차지해 피해가 가장 컸고, 유럽이 17%, 아시아가 9%로 뒤를 이었다.
가이드포인트 시큐리티(Guidepoint Security)의 연간 조사에 따르면 활성 랜섬웨어 기업 수는 전년 대비 57% 증가했다. 동시에 피해자 수는 2024년 4분기 이후 분기당 약 1,500~1,600건 수준에서 유지되고 있다.
랜섬웨어 기업 간 연합 : ‘악의 축’ 형성
10월 랜섬웨어 공격 증가에는 신규 기업 등장과 더불어 기존 기업 간 연합이 중요한 역할을 했다.
예를 들어, 새롭게 재출범한 록빗(LockBit) 5.0은 드래곤포스(DragonForce)와 칠린(Qilin) 등 주요 랜섬웨어-서비스(RaaS) 기업과 연대했다. 이 연합은 공격 도구, 인프라, 전술 공유를 통해 공격 효율을 높인다.
NCC 그룹은 “록빗·드래곤포스·칠린 연합은 기술 전문성·자원·인프라가 결합된 대규모 랜섬웨어 네트워크를 형성하며, 기업과 수사기관의 대응을 복잡하게 만든다”라고 분석했다. 아직 연합 공격 사례는 공식 확인되지 않았지만, 이 같은 느슨한 협력 구조는 제휴 공격자를 끌어들이는 수단으로 활용될 가능성이 크다.
NCC 그룹은 “이 파트너십은 2024년 법 집행 교란 이후 록빗의 명성을 회복하고, 제휴 공격자에게 여전히 영향력 있고 운영 능력을 갖춘 기업임을 보여주려는 목적도 있다”라고 덧붙였다.
한편 신규 기업 더 젠틀멘(The Gentlemen)은 헬스케어·금융 서비스·IT 기업 등을 대상으로 21건의 공격을 주장하며 위협 지형에 등장했다.
NCC 그룹은 “최근 랜섬웨어 기업과 변종이 증가하는 주요 배경은 사이버 범죄 진입 장벽이 크게 낮아졌기 때문이다. 랜섬웨어 빌더가 유출·배포되면서 기술 수준이 낮은 공격자도 충분한 공격 능력을 확보하게 됐다”라고 분석했다.
법 집행 노린 랜섬웨어 기업의 전술 변화
래피드7(Rapid7)의 최신 분기 조사에 따르면 최근 결성된 연합이 랜섬웨어 활동 증가를 이끄는 가운데, 정교한 갈취 방식, 이중 갈취, 제로데이 활용 등 전술 혁신도 공격 증가의 원인으로 나타났다.
이번 분기에는 활성 랜섬웨어 기업이 88개로, 2분기 65개·1분기 76개에서 증가했다. 변화 속도가 매우 빠른 위협 환경이 확인된 셈이다.
래피드7은 칠린, 세이프페이(SafePay), 월드릭스(WorldLeaks) 등이 비즈니스 서비스·제조·헬스케어 산업을 집중 공격한 연합의 중심에 있었다고 밝혔다.
이들 기업은 파일리스 공격, 단일 갈취(암호화 없이 데이터만 탈취), 제휴 공격자 지원 서비스(숙련 공격자가 초보 공격자를 위한 금전 협상까지 수행) 등 새로운 전술을 실험하고 있다.
사이버 갈취 대응 기업 코브웨어(Coveware)는 원격 접속 탈취, 피싱·사회공학, 소프트웨어 취약점 악용이 주요 침입 경로이지만 이 경계가 점점 흐려지고 있다고 분석했다.
코브웨어는 “공격자는 직접 계정에 로그인하기보다, 타인을 속여 접근 권한을 생성하게 만드는 방식을 활용한다. SaaS 지원팀 사칭이나 헬프데스크 절차 악용을 통한 OAuth 권한 탈취 사례는 인간 신뢰가 기술 침투 경로로 활용될 수 있음을 보여준다”라고 설명했다.
VPN·클라우드 게이트웨이·SaaS 연동 기반 자격 증명 침해는 여전히 랜섬웨어의 주요 침입 벡터로 작동했다.
코브웨어의 2025년 3분기 조사에서는 아키라(Akira)와 칠린(Qilin)이 가장 활발한 랜섬웨어 변종으로 나타났다. 일부 기업은 데이터 탈취만 수행하는 모델로 전환하는 움직임도 보이고 있다.
보안 점검과 대응 체계 강화 필요
NCC 그룹 위협 인텔리전스 책임자 매트 헐은 올해 200개 이상의 랜섬웨어 변종이 확인됐다고 밝혔다.
헐은 “랜섬웨어 활동이 가속화되고 대형 공격이 경제·운영 전반에 혼란을 초래하는 상황에서 보안 강화가 무엇보다 필요하다. 지금이 보안 체계를 점검하고 사고 대응 계획을 검증해야 할 시점이다”라고 강조했다.
또한 “능동 모니터링, 임직원 보안 인식 제고, 안전한 백업 체계가 연말 위협 증가기에 대비하는 핵심 요소”라고 전했다.
dl-itworldkorea@foundryco.com
John Leyden editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.