랜섬웨어 공격, 진료·행정·제조 ‘마비’···전년 대비 17% 급증

SK쉴더스가 2025년 2분기 ‘KARA 랜섬웨어 동향 보고서’를 발표했다. [사진=SK쉴더스]

[이뉴스투데이 김진영 기자] SK쉴더스가 2025년 2분기 ‘KARA 랜섬웨어 동향 보고서’를 발표했다.

27일 보고서에 따르면 올 2분기 전 세계 랜섬웨어 피해는 1556건으로 전년 동기 대비 17% 증가했지만 1분기(2575건)보다는 40% 줄었다. Clop, RansomHub 등 대형 그룹의 활동 중단으로 인한 일시적 감소일 뿐 전반적 위협은 여전히 심각하다고 분석했다.

이 기간 Qilin 그룹 활동이 두드러졌다. RansomHub 공격자 일부가 Qilin에 합류한 것으로 추정, 월평균 피해 건수가 기존 35건에서 70건으로 두 배로 늘었다. Cisco·SonicWall VPN 취약점을 악용한 Akira, 방화벽과 윈도우 취약점을 연계 공격한 Play 랜섬웨어도 활발히 움직였고 Gunra, Devman, Nova 등 신생 그룹이 등장하며 위협이 다변화되고 있다.

피해 범위는 기업 IT를 넘어 B2C 서비스와 공공기관으로 확산됐다. 5월 매트랩·시뮬링크 개발사 매스웍스(MathWorks)가 공격을 받아 클라우드 센터가 장기간 마비됐고, 8월에는 국내 인터넷서점 예스24가 두 달 만에 재차 공격을 받아 주문과 전자책, 공연 예매 서비스가 중단됐다.

미국에서는 다비타, 케터링 헬스, 코버넌트 헬스 등 주요 의료기관이 피해를 보았고, 독일·대만·UAE 병원에서도 공격이 이어졌다. 지난해 공격으로 74만 명 환자 정보가 유출된 미국 맥라렌 헬스케어 사례도 뒤늦게 드러났다. FBI, CISA, HHS는 7월 의료기관 공격 급증에 대한 주의보를 발령했다. 미국 테네시주 보안관실과 텍사스·오클라호마 지방정부 시스템이 중단되는 등 공공서비스 마비도 발생했다.

보고서는 2023년 등장한 INC 랜섬웨어의 고도화에도 주목했다. INC는 의료·제조·공공기관 등 운영 중단 시 치명적 피해가 발생하는 산업군을 집중 공격해왔으며 서비스형 랜섬웨어(RaaS) 모델을 통해 공격자가 직접 악성코드를 만들지 않아도 손쉽게 공격할 수 있게 한다. 최근 INC 소스코드가 다크웹에서 판매된 정황이 확인돼 유사 변종 확산 가능성이 커지고 있다.

SK쉴더스는 대응책으로 실시간 탐지·대응이 가능한 MDR(Managed Detection & Response) 서비스를 제안했다. MDR은 감염 차단과 복구까지 원스톱으로 제공하며 구독형으로 운영돼 보안 인력과 예산이 부족한 중소기업도 쉽게 도입할 수 있다.

김병무 SK쉴더스 사이버보안부문장(부사장)은 “랜섬웨어 공격이 소비자와 밀접한 서비스와 공공기관으로까지 확산되며 일상생활을 직접적으로 위협하고 있다”며 “이 같은 산업군의 서비스 중단은 곧 사회적 혼란으로 이어질 수 있는 만큼 실시간 탐지와 대응이 가능한 SK쉴더스의 MDR을 통해 위협에 선제적으로 대비하길 바란다”고 말했다.