사이버 보안 기업 멀웨어바이트(Malwarebytes, CEO 마르친 클레친스키)의 기업 보안 사업부 쓰렛다운(ThreatDown)이 ‘2025년 랜섬웨어 현황’ 보고서를 발표했다.

보고서에 따르면 랜섬웨어가 전년 대비 25% 급증했으며, 전술의 은밀화, 지리적 확산, 산업별 표적화가 동시 진행되고 있다고 밝혔다. 이 연례 보고서는 사전 예방적 보안 위생의 중요성을 강조했다.

확산·세분화 가속

보고서에 따르면 2024년 7월부터 2025년 6월까지 랜섬웨어 공격은 전년 대비 25% 증가했다. 2025년 2월에는 한 달 새 1000건 이상이 기록돼 역대 최고치를 경신했다. 같은 기간 신규 조직 41개가 등장했고 활동 조직은 처음으로 60개를 넘어 환경의 급속한 확장과 파편화를 드러냈다.

지난 3년간 활동 그룹 수는 두 배로 늘었다. 상위 10개 그룹이 차지하는 비중은 69%에서 50%로 하락해 공격 지형이 분산되는 추세가 확인됐다. 이는 상품화된 악성코드와 생성AI 도구의 확산으로 진입 장벽이 낮아진 결과로 제시됐다.

미국은 여전히 최대 표적국으로 알려진 공격의 47%를 차지했다. 동시에 지난 12개월간 42개국이 첫 공격을 경험해 지리적 확산이 지속됐다. 공격 대상 국가는 3년 동안 46% 증가해 위협의 글로벌 확장 흐름이 뚜렷해졌다.

의료 분야는 지난 12개월 동안 가장 큰 표적이 됐다. 신노비스(Synnovis)와 맥라렌 헬스 케어(McLaren Health Care) 사건 등으로 다수 병원의 필수 서비스가 중단되고 민감한 환자 데이터가 노출되는 피해가 보고됐다. 이는 산업과 사회에 직접적인 충격을 주는 양상이다.

상위권의 변동성도 커졌다. 주요 그룹은 빠르게 등장했다가 사라지는 패턴을 보였으며, 지난 한 해 가장 활발했던 상위 15개 중 다수는 그 전 해에 활동이 거의 없었다. 대형 그룹의 중단과 재개가 반복되며 월별 변동성은 전년 대비 50% 증가했다.

전술 변화와 방어 : MDR·보안 위생이 관건

보고서는 관리형 탐지 및 대응(MDR) 같은 첨단 방어에 공격자가 직접 대응하고 있다고 밝혔다. 경계 강화에 따라 공격은 악성코드 대신 합법적 소프트웨어를 악용하고, 보호되지 않은 시스템을 노리며, 일반 근무 시간 외에 침투하는 방식으로 은밀해지고 있다.

특히 자급자족(Living Off the Land, LOTL) 전략이 두드러졌다. 이는 시스템 관리 도구 등 합법적 도구를 활용해 탐지를 회피하는 방식이다. 분석가들은 지난 한 해 IT 직원이 인지하지 못하는 기기 등 사각지대를 노리는 새로운 우려 패턴을 확인했다고 밝혔다.

멀웨어바이츠 CEO 마르친 클레친스키(Marcin Kleczynski)는 “랜섬웨어는 단순한 보안 문제가 아니라 심각한 비즈니스 및 인간 위기다”라며 “환자 데이터 유출, 상당한 재정적 손실, 인명 피해까지 초래하고 있어 지속적인 경계가 절실하다”라고 말했다. 인적·경제적 피해의 현실적 결과가 재확인됐다.

쓰렛다운 총괄 매니저 켄드라 크라우스(Kendra Krause)는 “최신 공격의 복잡성과 속도는 기존 엔드포인트 탐지 및 대응을 넘어서는 역량을 요구한다”라며 “고급 위협을 탐지·격리·해결할 가시성, 속도, 전문성을 확보하기 위해 MDR로 역량을 강화해야 한다”라고 말했다.

보고서는 공격의 ‘은밀화·세분화·확산’이 동시에 진행되는 국면을 제시했다. 상위 소수의 집중도 하락과 신규 조직의 다수 유입은 공급 측 파편화를 의미한다. 방어 축에서는 MDR 채택과 보안 위생 강화가 공격 전술을 LOTL, 비근무 시간대, 무보호 단말 공략 등으로 이동시키는 적응형 상호작용을 보여준다.

결과치는 조직이 자산 가시성 확립과 무인가·미관리 기기 관리, 합법 도구 남용 탐지 능력을 최우선 과제로 삼아야 함을 시사한다. 산업·사회 측면에서는 의료 등 필수 서비스 중단과 민감 데이터 유출이 생명·안전에 직결되는 피해를 유발한다. 지리적 확산과 상시 변동성 증가는 글로벌 공급망과 공공 부문에도 지속 리스크로 작용한다.