전세계 랜섬웨어 공격이 지난해 약 7200건 발생해 전년 대비 47% 증가한 것으로 나타났다. 반면 개별 기업이 실제 지급한 '몸값(협상가격)'은 전년 대비 절반 수준으로 감소했다. 공격은 늘었지만 개별 합의금은 낮아지는 흐름이다.
19일 글로벌 사이버 위협 분석 기관 레코디드퓨처(Recorded Future)에 따르면 2025년 랜섬웨어 공격은 공개 피해 신고와 다크웹 유출 게시물 등을 기반으로 집계된 사례만 약 7200건으로, 2024년(약 4900건) 대비 47% 증가했다.
반면 '단가'는 줄었다. 글로벌 보안기업 소포스(Sophos)는 랜섬웨어 공격자가 지난해 피해 기업에 요구한 금액(중간값)이 125만달러(약 18억800만원)로 전년 275만달러(약 39억7700만원) 대비 약 56% 감소했다고 밝혔다. 협상을 거쳐 실제 지급한 금액(중간값)도 지난해 100만달러(약 14억4600만원)로 2024년 200만달러(약 28억9100만원)에서 절반으로 줄었다.
블록체인 분석기업 체이널리시스(Chainalysis)에 따르면 랜섬웨어 암호화폐 지급 총액은 2024년 약 12억5000만달러(약 1조8200억원)에서 지난해 약 8억1000만달러(약 1조1720억원)로 감소했다. 지급 총액 기준으로도 전년 대비 약 35% 줄어든 셈이다.
랜섬웨어는 기업이나 개인의 컴퓨터 시스템에 침입해 파일을 암호화하거나 데이터를 빼낸 뒤, 이를 풀어주거나 공개하지 않는 대가로 금전을 요구하는 악성코드 기반 사이버 범죄다. '랜섬(ransom)'은 인질을 뜻하는 영어 단어다.
보안업계는 공격 건수 급증의 배경으로 구조 변화를 지목한다. 랜섬웨어 프로그램을 제작해 배포하는 조직과 이를 구매해 공격을 실행하는 조직이 분리된 형태가 확산됐다. 이 같은 분업 구조는 공격 참여 문턱을 낮추는 요인으로 작용했다.
보안 평판 분석 기업 비트사이트(Bitsight)는 지난해 4분기에만 신규 랜섬웨어 조직 6개가 다크웹 등에서 활동을 시작했다고 밝혔다. 국내 보안업체 안랩 ASEC도 지난해 53개 신규 랜섬웨어 그룹이 활동을 개시했다고 분석했다.
AI 기반 자동화 역시 영향을 미쳤다. 피싱 메일 작성, 취약점 탐색, 내부 확산 시나리오 작성 등이 자동화되면서 공격 비용이 낮아졌다. 소수 대형 표적을 노리기보다 다수 기업을 상대로 반복 공격하는 방식이 확산됐다는 분석이다.
독자들의 PICK!
공격자가 늘면서 한 번에 거액을 받기보다 여러 기업을 상대로 반복 공격해 빠르게 회수하는 방식이 확산됐다. 평균 몸값 하락은 그 결과라는 분석이다. 실제로 소포스 보고서에 따르면 500만달러(약 72억5000만원) 이상을 랜섬 합의금으로 지급한 피해 기업이 2024년 약 31%에서 2025년 약 20%로 감소했다. 고액 지급 사례가 줄면서 전체 지급액도 낮아진 것으로 풀이된다.
보안업계 관계자는 "공격이 쉬워지면서 시도 자체가 늘었다"며 "이제는 특정 기업만의 문제가 아니라 누구나 표적이 될 수 있는 환경이 됐다"고 말했다.
국내도 비슷한 흐름이다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 집계한 2025년 랜섬웨어 침해사고 신고는 274건으로 전년(195건) 대비 40.5% 증가했다. 공격 대상도 확대 추세다. 도서·전자책(e-book)과 공연 티켓을 판매하는 예스24가 랜섬웨어 공격을 받아 약 5일간 서비스가 마비되는 사례도 발생했다.
랜섬웨어를 막기 위해서는 기본적인 보안 체계 강화가 중요하다는 지적이다. 관리자 계정 분리와 다중인증(MFA) 적용은 필수다. 백업은 네트워크와 물리적으로 분리해야 한다. 랜섬웨어는 백업부터 노리기 때문이다. 내부 확산을 막기 위한 네트워크 구역 분리와 권한 최소화도 필요하다.
보안업계 관계자는 "랜섬웨어 공격을 완전히 막는 것보다 피해를 최소화하는 구조를 갖추는 것이 중요하다"며 "계정 관리와 백업 체계가 기업의 생존을 좌우한다"고 말했다.
