디지털 전환 확산과 함께 사이버 공격의 정교화가 심화되면서 랜섬웨어 위협은 전 세계 기업과 기관에 중대한 보안 과제로 자리 잡고 있다. 

사이버 위협 노출 관리 전문 기업 서치라이트 사이버(Searchlight Cyber)가 2025년 상반기 랜섬웨어 공격 동향을 분석한 ‘공격의 격화: 2025년 상반기 랜섬웨어 동향’ 보고서를 공개했다.

보고서에 따르면 2025년 1월부터 6월까지 다크웹 랜섬웨어 누설 사이트에 등록된 피해 기업 수는 3,734건으로, 2024년 상반기 대비 무려 67% 증가한 수치다. 또한 이는 2024년 하반기 대비 20% 증가한 결과였다. 이번 보고서는 랜섬웨어 위협의 규모가 기술 진보 및 범죄 도구의 상업화에 힘입어 지속적으로 확장되고 있음을 보여준다.

랜섬웨어 그룹 증가, 신생 조직만 35곳 등장…주요 표적은 NATO 회원국

보고서는 ▲2025년 상반기 기준 활성 랜섬웨어 그룹 수 16% 증가 ▲35개의 신규 랜섬웨어 조직 처음으로 활동 포착 ▲전체 공격의 65%가 북대서양조약기구(NATO) 회원국 대상 ▲클롭(Cl0p) 그룹, 소프트웨어 취약점 이용해 파일 전송 시스템 Cleo 악용 등이 주요 결과로 나타났다.

루크 도노반 총괄(Luke Donovan) 서치라이브 사이버 위협 인텔리전스 총괄은 “2025년 상반기는 글로벌 랜섬웨어 생태계의 공격성과 복잡성이 동시에 상승한 시기로 기록될 것”이라며 “기존 대비 더 많은 그룹이 활동하고 있고, 공격 기법 또한 고도화되어 보안 전문가들이 감당해야 할 위협 환경이 복잡해졌다.”라고 말했다.

상위 5개 랜섬웨어 그룹 공개…클롭, 피해 데이터 분석 통해 2차 피해 확인

서치라이트 사이버는 이번 보고서를 통해 2025년 상반기 가장 활발하게 활동한 상위 5개 랜섬웨어 그룹을 선정하고 상세 프로파일을 제공했다. 상위 그룹은 다음과 같다.

▲클롭(Cl0p) ▲아키라(Akira) ▲킬린(Qilin) ▲랜섬허브(RansomHub) ▲플레이(Play) 등이 지목됐다.

특히 클롭은 연초 Cleo 시스템 취약점을 악용한 공격으로 다수의 피해자를 만들어 1위를 차지했다. 171개 피해 조직에 대한 심층 분석 결과, 평균 36.6GB의 데이터 유출 및 피해 조직당 평균 10만 2938개의 이메일 주소가 노출된 것으로 집계되었다. 이 같은 결과는 단순한 내부 보안 강화뿐만 아니라, 협력사 및 공급망 전반의 보안 강화를 요구하는 이유로 작용한다.

로크빗, #2에서 #25로 급락…국제 공조 성과 사례로 주목

한편 2024년까지 2위 자리를 유지하던 로크빗(LockBit) 그룹은 2025년 상반기에는 25위로 급락했다. 이는 2024년 진행된 국제 공조 작전 ‘오퍼레이션 크로노스(Operation Cronos)’의 여파로 분석된다.

2025년 5월에는 정체불명의 행위자가 로크빗을 공격, 피해자와의 협상 로그를 포함한 민감한 데이터를 유출했다. 이 사건 역시 해당 그룹의 위축에 큰 영향을 미쳤다는 분석이다.

이에 대해 루크 도노반 총괄은 “로크빗의 몰락은 위협 인텔리전스와 사이버 수사, 그리고 정부-민간 협력의 성과를 보여주는 사례”라며, “과거 연간 1000건 이상을 기록하던 그룹이 단기간 내 몰락했다는 점은 보안 커뮤니티에 긍정적인 신호”라고 강조했다.