기업과 기관을 노리는 랜섬웨어 공격이 정교해지고 있으며, 알려진 취약점이나 백도어를 악용한 초기 침투 수법도 지속되고 있다. 이러한 위협에 대응하기 위해서는 기존 시그니처 기반 보안 솔루션을 넘어, 실제 악성 행위를 사전에 탐지해 차단할 수 있는 기술이 필요하다. 보안 업계는 이를 위해 AI 기반 분석 및 실시간 행위 기반 탐지 기술을 도입하고 있다.

맞춤형 백도어와 신규 RaaS 모델의 확산

이스트시큐리티(대표 정진일)는 2025년 1분기 자사 백신 솔루션 ‘알약’을 통해 총 6만3909건의 랜섬웨어 공격을 행위 기반 사전 차단 기술로 탐지·차단했다고 밝혔다. 이는 하루 평균 약 694건의 공격이 차단된 수치다. 같은 기간 등장한 주요 위협으로는 RansomHub 조직의 맞춤형 백도어 ‘Betruger’ 사용, 신규 RaaS 조직인 Morpheus, Anubis, VanHelsing의 활동 증가, 중국 연계 Ghost 랜섬웨어의 지속적 공격 등이 포함됐다.

RansomHub는 빠르게 RaaS 시장에서 영향력을 넓히고 있으며, Betruger라는 다기능 백도어를 통해 스크린샷 캡처, 키로깅, 파일 업로드 등 고급 기능을 이용한 공격을 시도하고 있다. Morpheus는 Windows 암호화 API를 활용해 확장자 변경 없이 파일을 암호화하며, Anubis는 Windows, Linux, ESXi 등을 타깃으로 고속 암호화, 권한 상승, 수익화 모델을 제공하고 있다. VanHelsing은 비교적 최근인 2025년 3월 7일 등장했으며, 다양한 플랫폼을 겨냥하고 빠른 속도로 변종이 발견되는 등 확산 우려가 높다.

정부 권고 및 알려진 취약점 기반 공격 지속

미국 CISA, FBI, MS-ISAC는 중국 연계로 추정되는 Ghost 랜섬웨어에 대한 공동 권고문을 발표했다. Ghost는 CVE-2018-13379, CVE-2010-2861 등의 취약점을 악용하며, 전 세계 약 70개국에 공격을 가해왔다. 기관들은 다중 인증(MFA) 도입과 정기적 백업, 비정상 트래픽 모니터링을 포함한 기본 보안 수칙 이행을 강조했다.

Mora_001 해커 그룹은 포티넷 방화벽 취약점(CVE-2024-55591, CVE-2025-24472)을 이용해 SuperBlack 랜섬웨어를 유포했다. 이는 LockBit 3.0 빌더를 기반으로 하며, 유사한 페이로드 구조와 암호화 방식을 공유하고 있어 LockBit 관련 조직과의 연관성이 제기되고 있다. 또한, Paragon Partition Manager 드라이버에서 발견된 취약점(CVE-2025-0289)을 이용한 BYOVD 방식은 SYSTEM 권한 탈취 및 서비스 거부 공격을 가능케 하며, 실제 공격 사례가 보고됐다.

Chaos 기반 확산, AWS API 악용 사례 등 새로운 형태도 등장

Babuk2는 기존 Babuk 조직과 무관한 위장 조직으로, 과거 유출 데이터를 활용해 피해자 정보를 공개하고 있다. LucKY_Gh0$t는 Chaos 랜섬웨어 기반으로 로컬 네트워크 확산을 시도하며, CodeFinger는 손상된 AWS API 키를 이용해 Amazon S3 내 데이터를 암호화하고 삭제 일정을 설정해 피해자를 압박하는 새로운 형태의 공격 기법을 보였다. AWS는 IAM 정책과 키 관리 강화를 권고했다.

이스트시큐리티 ESRC 관계자는 “이미 알려진 취약점을 이용한 랜섬웨어 공격이 계속되고 있다.”며, “기업 보안 담당자는 인프라 전반에 걸쳐 취약점 점검과 패치 적용을 우선해야 하며, 패치가 어렵다면 보완 솔루션 도입과 주기적 데이터 백업으로 피해를 최소화해야 한다.”라고 강조했다.