한국 기업 대상 랜섬웨어 56건 발생
금융·보험업 32건으로 절반 넘어
RaaS 확산·AI 악용으로 공격 가속화
한국 기업들이 전례 없는 랜섬웨어 공격의 표적이 되고 있다.
안랩의 차세대 위협 인텔리전스 플랫폼(TIP) 보고서에 따르면 2024년 한국 기업이 랜섬웨어 그룹으로부터 받은 공격 건수는 56건으로 전년(16건) 대비 3.5배 급증했다.
이는 2021년 1건, 2022년 3건, 2023년 17건으로 이어진 공격 증가세가 폭발적으로 가속화된 결과다.
2024년 11월부터 2025년 10월까지 최근 1년간 산업군별 공격 현황을 분석한 결과, 금융·보험업이 32건(53.3%)으로 전체 공격의 절반 이상을 차지했다. 제조업 13건(21.6%), 정보통신업 6건(10%)이 뒤를 이었다.
러시아 랜섬웨어 조직 ‘칠린’ 한국 금융권 집중 공격
랜섬웨어 그룹별 공격 패턴에서는 러시아 기원 조직으로 추정되는 칠린(Qilin)의 활동이 단연 두드러졌다.
칠린은 금융·보험업을 중심으로 무려 32건의 공격을 시도했으며, 건설업 2건, 정보통신업과 제조업 각 1건도 공격했다.
건라(Gunra)는 제조업 2건과 금융·보험업 1건 등 총 3건, 랜섬허브(RansomHub)는 제조업 3건, 언더그라운드는 제조업 2건을 각각 기록했다.
안랩은 매출 규모가 크고 데이터 가치가 높은 대기업과 중견기업이 주된 표적이 되고 있다고 분석했다.
아시아가 ‘새로운 먹잇감’으로 부상한 이유
랜섬웨어 그룹들의 전략 변화도 주목할 만하다.
과거 이들은 유럽과 북미의 대형 기업을 상대로 고액의 몸값을 요구했지만, 최근에는 법 집행 위험을 피하기 위해 아시아 지역의 중소·중견기업으로 공격 대상을 이동하고 있다.
2023년 아시아 태평양 지역의 랜섬웨어 공격은 전년 대비 29% 증가했다.
아시아는 반도체, 배터리, 자동차 부품 등 글로벌 공급망의 핵심 생산기지가 밀집해 있어, 한 곳이 공격받을 경우 전 세계 산업에 연쇄적 타격을 줄 수 있다.
또한 국가 간 사법 공조가 제한적이고 법 집행 역량의 격차가 커 공격자들에게 상대적으로 위험이 적은 환경이다.
북한 해커 조직과의 결탁 의혹까지
더욱 우려스러운 점은 국가 배후 해킹 조직과 상업적 랜섬웨어 조직 간 결탁 가능성이다.
마이크로소프트와 비트디펜더는 북한 연계 해킹 조직 ‘문스톤 슬리트(Moonstone Sleet)’가 2025년 초부터 칠린 랜섬웨어를 실험적으로 사용하기 시작했다고 보고했다.
문스톤 슬리트는 2024년부터 활동을 시작한 북한 정찰총국 연계 조직으로, 이전까지는 자체 개발한 맞춤형 랜섬웨어만 사용했다.
전문가들은 북한이 랜섬웨어 공격을 통해 확보한 자금을 핵무기와 미사일 개발에 활용하고 있으며, RaaS 플랫폼 활용은 공격 주체를 은폐하면서도 효율적으로 자금을 조달하는 새로운 전략으로 분석한다.
‘제로 트러스트’ 보안 체계 구축이 시급
안랩은 한국 기업들이 ‘제로 트러스트(Zero Trust)’ 보안 원칙을 조속히 수립해야 한다고 강조했다.
제로 트러스트는 ‘절대 신뢰하지 않고 항상 검증한다’는 원칙으로, 네트워크 내부에 있는 모든 접속 주체를 잠재적 위협으로 간주하고 지속적으로 검증하는 보안 모델이다.
안랩은 “제로 트러스트 환경을 실현하고 엔드포인트 단의 의심 행위를 실시간으로 탐지해야 한다”며 “활발한 랜섬웨어 그룹의 공격 전술과 침해 지표를 사전에 파악하는 위협 인텔리전스를 활용해 방어 태세를 갖춰야 한다”고 조언했다.
보안 전문가들은 네트워크 세분화를 통한 공격 범위 제한, 다단계 인증(MFA) 강화, 정기적인 백업과 복구 훈련, 직원 보안 교육 강화 등을 핵심 대응 방안으로 제시한다.
특히 공급망 공격에 대비해 협력업체와 IT 서비스 제공업체에 대한 보안 점검도 필수적이다.
안랩은 RaaS 모델 확산과 건라 등 신종 랜섬웨어 그룹의 지속적 성장으로 한국 기업을 대상으로 한 공격이 더욱 다변화·대량화될 것으로 전망했다.
2025년에는 무려 53개의 신규 랜섬웨어 그룹이 등장했으며, 이는 전년 동기(38개) 대비 39% 증가한 수치다. 한국 기업들의 선제적이고 체계적인 보안 투자가 어느 때보다 절실한 시점이다.
