2025년 2분기 랜섬웨어 위협은 더욱 정교하고 파괴적인 양상으로 진화하고 있으며, 이에 따라 국내외 보안 기술 및 대응 체계도 강화되고 있다. 특히 RaaS(서비스형 랜섬웨어) 생태계에서 드래곤포스와 같은 새로운 공격자 모델이 등장하고, 암호화에 그치지 않고 파일 파괴나 데이터 탈취 방식까지 결합된 신종 위협들이 확산되고 있다. 이러한 복합 공격에 대응하기 위해 각국 사법당국의 국제 공조도 활발해지고 있으며, 보안 솔루션 기업들은 실시간 차단 기반의 기술 강화로 피해 최소화에 주력하고 있다.
보안 전문 기업 이스트시큐리티(대표 정상원)는 2025년 2분기 보안 솔루션 ‘알약’을 통해 총 5만8575건의 랜섬웨어 공격을 행위 기반 사전 차단 기능으로 탐지·차단했다고 밝혔다. 이는 하루 평균 약 637건에 달하는 수치로, 단일 솔루션의 실시간 대응 역량을 보여준다.
이스트시큐리티는 랜섬웨어 탐지 외에도 최신 위협 동향 분석을 통해 기업과 사용자 대상 예방 경고도 함께 제공하고 있다.
국제 공조 작전으로 악성코드 인프라 무력화...랜섬허브 해체도
2025년 5월 19일부터 22일까지 유로폴(Europol)과 유로저스트(Eurojust)의 주도로 ‘엔드게임 2.0(Operation Endgame 2.0)’ 작전이 진행돼 다나봇(DanaBot), 콕봇(Qakbot) 등 악성코드 그룹의 서버 300여 대를 압수하고 도메인 650개 이상을 무력화했다.
전년 ‘엔드게임 작전’에 이은 연속 타격으로, 국제 공조의 랜섬웨어 대응이 조직 체포를 넘어 핵심 인프라 무력화 단계로 진화하고 있다. 특히 다나봇은 인프라에 심각한 피해를 입어 복구까지 장기간 소요될 전망이다.
드래곤포스 부상...RaaS 생태계 재편 가속화
2025년 4월 RaaS 조직 랜섬허브(RansomHub)는 공식 활동 중단과 인프라 폐쇄를 발표했으며, 경쟁 조직 드래곤포스(DragonForce)가 이를 인수했다는 주장이 뒤따랐다. 드래곤포스는 “랜섬웨어 카르텔(Ransomware Cartel)”을 선언하고, 화이트라벨 모델 기반의 분산형 생태계를 구축하여 암호화 모듈, 관리자 대시보드 등을 파트너에 제공한다. 수익의 80%를 파트너에 배분하는 방식은 공격 유인을 더욱 강화하는 구조로, 위협의 범위가 급속히 확대되고 있다.
신규 랜섬웨어와 고도화된 공격 방식 확산
2025년 2분기에는 건라(Gunra), 사일런트(Silent), 제이그룹(JGroup), 다이어울프(DireWolf), 아이엠엔 크루(IMN Crew), 데이터캐리(DataCarry), 새턴록(SatanLock) 등 다수의 신종 랜섬웨어가 발견됐다. 건라는 콘티(Conti) 기반으로 개발됐으며, WMI(Windows Management Instrumentation)를 이용해 섀도 복사본을 삭제하고 이중 갈취 전략을 채택하고 있다.
아누비스(Anubis)는 파일을 암호화함과 동시에 파괴하는 와이퍼(Wiper) 기능을 내장해 협상력을 높이며, 세이프페이(SafePay)는 민감 데이터를 선별 탈취 후 시간차 공개 전략으로 진화했다. 포그(Fog)는 시스템 관리 도구와 오픈소스 툴을 결합해 자동 전파 및 탐지 우회 기능을 탑재했으며, 인터록(Interlock)은 클릭픽스(ClickFix)와 가짜 캡차(CAPTCHA)를 통해 전문가조차 피해자로 만들고 있다.
기업 보안 정책과 교육 강화 필요
이스트시큐리티 시큐리티 대응센터(ESRC) 관계자는 “드래곤포스와 같은 분산형 카르텔 모델이 랜섬웨어 생태계를 재편하고 있으며, 공격 방식은 더 정교하고 파괴적인 방향으로 고도화되고 있다”고 설명했다. 이어 “보안 담당자들은 최신 보안 패치를 신속히 적용하고, 사용자 접근 권한을 철저히 관리하며, 정기적인 보안 교육과 시스템 모니터링을 통해 사이버 공격에 대한 대응 체계를 지속적으로 강화해야 한다”고 강조했다.
국제 공조 작전과 선제 차단 기술은 고도화되는 랜섬웨어 위협을 막기 위한 핵심 수단으로 부상하고 있다. 특히 서비스형 모델의 진화는 사이버 공격의 장벽을 낮추고 있어, 기업과 기관은 기술적 대응뿐만 아니라 정책, 교육, 협업을 포괄하는 다계층 방어 전략을 갖춰야 한다. 국내 보안 기술이 이 같은 흐름에 발맞춰 실시간 탐지와 자동 대응 역량을 강화하는 데 집중하고 있는 점은 긍정적인 변화다.
관련기사
- [기고] 의료 기관 사이버 위협, '외과적 격리'로 맞춤형 방어 강화
- "랜섬웨어 몸값 금지, 원칙과 현실의 간극"
- “랜섬웨어, 단순 공격 넘어 기업 생존 위협...복원력 강화 시급”
- 개인·기업 가리지 않는 AI 사기 확산세...가짜 약국 사이트 5천개·금융 사기 340% 급증
- “사이버 위협 71% 직격, 기업 생존 좌우하는 복원력 전략 시급”
- 4중 협박으로 악랄해지는 랜섬웨어...기업 생존 위협
- 수천대 AI 서버 취약점 노출...AI 인프라 보안 적신호
- KISA, 생성AI 악용 랜섬웨어 대응 아태지역 공동 모의훈련 실시
- [기고]사이버 복원력과 다계층 보안 전략, 비즈니스 연속성의 핵심
- 공격전 자격 증명 노출 탐지하는 ‘실시간 디지털 위험 경고 시스템’, 보안팀 대응 속도 혁신
- 랜섬웨어 재공격 급증...기업 보안 분산이 주요 원인
- IP 사용 패턴 실시간 분석·맥락 기반 탐지로 사이버 위협 선제 대응
- 진화하는 맬웨어, 서명 기반 탐지 한계...다층 방어로 대응력 강화
- 기업 랜섬웨어 피해 급증...KISA, NAS·그룹웨어 보안 강화 4대 수칙 발표
- 기업들 랜섬웨어 몸값 대신 ‘백업 복구’ 선택...피해 후 복구 비율, 몸값 지불의 3배
- 랜섬웨어 25% 급증, ‘은밀화·세분화’ 가속... MDR 선제 대응으로 해결
- 이스트시큐리티-디딤365, 클라우드·AI 보안 강화 협력
- AI 랜섬웨어와 중국 지하 생태계 결합...아태지역 보안 위협 급상승
- 랜섬웨어 실시간 차단·자동 복구까지...알약 3.0, 개인도 기업급 보안 누린다
- AI 문맥 분석으로 스미싱·악성 앱 실시간 차단...가족 스마트폰 지키는 ‘알약 패밀리케어’