‘여전히 위험하다’··· 2025년 랜섬웨어 위협의 주목할 특징 5가지

랜섬웨어 공격은 여전히 기업과 사이버보안 리더가 직면한 주요 위협이다. 이는 대규모 업무 중단, 데이터 유출, 거액의 몸값 지불, 수백만 달러의 기업 비용을 초래할 수 있다.

최근 몇 년간 법 집행 기관들은 주요 랜섬웨어 그룹의 공격을 방해하고 데이터 유출 사이트를 해체했으며, 암호 해독 키를 확보하는 성과를 거두기도 했다. 하지만 공격 건수는 증가했고, 보고된 피해자 수도 계속 늘어나고 있다. 더욱이 공격 그룹의 전술도 일부 변화하고 있다. 2025년 CISO가 알아야 할 주요 인사이트 5가지를 소개한다.

1. 생성형 AI 리스크에 지나치게 집중해 다른 위협을 과소평가

챗GPT와 같은 생성형 AI 도구가 계속해서 조직 내에서 화제를 불러일으키면서 다양한 보안 우려가 제기되고 있다. 일부 사고 데이터와 위협 분석에 의하면, 이런 상황에서도 보안 리더는 랜섬웨어 전술의 진화에 대해 경계를 늦추지 말아야 한다.

버라이즌(Verizon)의 2024년 데이터 유출 보고서에 따르면 범죄 포럼에서 생성형 AI와 랜섬웨어, 멀웨어, 취약점이라는 단어를 사용한 검색어 수는 지난 2년 동안 크게 변하지 않았다. 보고서는 생성형 AI가 기존 위협을 증폭시킬 수 있더라도, 소셜 엔지니어링과 피싱과 같은 비교적 단순한 위협 벡터가 여전히 효과적이기 때문에 랜섬웨어 공격 수에 큰 영향을 미치지 않을 것이라고 지적했다.

소포스(Sophos)의 필드 CTO인 아론 부갈은 물론 생성형 AI 위협이 존재하지만, 새로운 기술에 집중하다 보면 공공 의료와 같이 리소스가 제한된 부문에서 사이버보안 관행의 중요성이 가려질 위험이 있다고 설명했다. 그는 “랜섬웨어 취약점의 원인이 되는, 보다 근본적인 사이버보안 기본 사항을 해결하지 못하는 대가를 치를 수 있다”라고 말했다.

소포스의 2024년 랜섬웨어 현황 보고서에 따르면 랜섬웨어 공격의 일반적인 시작점은 취약점 관리, 자격 증명 침해, 악성 이메일, 피싱이다. 이런 위험 요소들은 일상적인 프로세스를 통해 관리돼야 한다. 부갈은 “오늘날 공격자들은 잘못되거나 관리가 미흡한 환경의 결함을 이용해 침입하고 있으며, 관리 부족은 그들에게 청신호를 주는 것과 같다”라고 전했다.

생성형 AI에 너무 많은 초점을 맞추다 보면 자격 증명 보호 부재, 다단계 인증 부족, 잘 알려진 취약점 패치 미적용, 노후화된 장치와 사용자 계정 관리 소홀, 구성 요소 간과를 해결하는 데 필요한 조치가 미뤄지거나 잊힐 수 있다. 부갈은 “일부 문제는 발견하고 완화하기 쉬울 수 있지만, 조직이 이를 간과하면 공격에 취약해질 수 있다”라고 조언했다.

2. 미드사이즈 기업이 매우 취약

업계 데이터에 따르면 미드사이즈 기업이 랜섬웨어 공격에 특히 취약한 것으로 나타났다. 래피드7(Rapid7)의 위협 분석 수석 이사인 크리스티안 비크는 “CISO는 랜섬웨어가 더 이상 대기업만 표적으로 삼는 것이 아니라 미드사이즈 기업도 노린다는 점을 인식해야 한다. 이런 인식이 매우 중요하다”라고 말했다.

래피드7의 2024년 랜섬웨어 보고서에 따르면, 연간 매출이 약 500만 달러인 기업은 3,000만~5,000만 달러 규모의 기업보다 2배, 1억 달러인 기업보다 5배 더 자주 랜섬웨어 피해를 입고 있다.

2025년에도 이 위협이 계속될 전망이다. 비크는 많은 미드사이즈 기업이 전담 CISO를 두지 않아 랜섬웨어로 인한 업무 중단에 더 취약하다고 말했다. 대기업은 중앙 집중화된 고위 담당자와 그에 따른 자원을 보유한 경우가 많다. 비크는 “보안팀 규모와 보안 도구 수준이 천차만별”이라고 언급했다.

사이버 범죄자들은 미드사이즈 기업이 가치 있는 데이터를 보유할 만큼 크지만 대기업 수준의 보호를 갖추지 않았다고 판단해 공격을 지속하고 있다. 대기업은 전담 보안 리더가 없는 중소규모 기업과 연계된 공급망과 서드파티 파트너가 리스크에 노출될 가능성을 고려해야 한다.

체크포인트(Check Point)의 사이버보안 에반젤리스트 아슈윈 람에 따르면 미드사이즈 기업은 공격 발생 시 데이터 유출에 대한 가시성과 랜섬웨어 피해를 효과적으로 검증할 포렌식 도구가 부족할 수 있다. 그는 “이런 조직 중 많은 곳이 외부 공격 표면 관리와 다크웹 모니터링을 더 큰 조직과 같은 수준으로 완전히 채택하지 않았다”라고 말했다.

비크는 CISO가 적어도 1년에 2번 랜섬웨어 공격 시뮬레이션을 실시해 사고 대응 수준을 철저히 평가해야 한다고 조언했다. “이는 격차를 식별하고 효과적으로 대응할 준비가 되어 있는지 확인하는 데 도움이 된다”라고 그는 설명했다.

3. 데이터 유출 공격은 보안 우선순위의 근본적인 변화를 요구

체크포인트의 람은 최근 몇 년간 랜섬웨어 공격자들이 암호화 기반 갈취에서 데이터 유출 및 이중, 삼중, 심지어 사중 갈취로 전환했다고 언급하면서, 이런 전환이 조직과 개인을 표적으로 삼고 더 쉽게 분산 서비스 거부(DDoS) 공격을 시작하도록 한다고 말했다.

코브웨어(Coveware) 데이터에 따르면, 2024년 4분기 관찰된 사례의 87%에서 데이터 유출이 포함됐다. 이는 암호화 기반 공격으로 이어지거나 공격의 주요 목표였다.

람은 “위협 행위자들은 민감한 데이터를 유출하고 공개 노출 위협을 이용해 피해자들에게 몸값을 지불하도록 강요하고 있다. 의료 기록이 있는 의료 부문과 PII가 금융 사기와 신원 도용을 용이하게 할 수 있는 금융 부문에서 가장 효과적”이라고 말했다.

랜섬웨어 생태계도 변화하고 있다. 체크포인트의 2025년 사이버보안 현황 보고서에 따르면, 비안리안(BianLian)과 미아우(Meow)와 같은 많은 기존 사이버 범죄 그룹이 유출 기술을 도입했으며, 바쉐(Bashe)와 같은 신규 진입자들은 ‘데이터 판매 플랫폼’을 제공하는 그룹으로 떠오르고 있다.

공격 성향이 변화한 데는 여러 이유가 있다. 보고서는 조직이 백업 및 복구 기능을 강화하고 법 집행 조치가 공격을 방해함에 따라 악의적 행위자들이 운영을 간소화하고, 탐지를 회피하며, 수익성 높은 공격을 위한 다른 경로를 찾기 위해 데이터 유출에 초점을 맞추게 됐다고 지적했다.

데이터가 잠겨있다는 명백한 징후가 없는 경우 보안 담당자는 조직의 데이터가 도난당했는지 신속하게 판단하고 주장을 검증하는 데 어려움을 겪을 수 있다. 일부 경우에는 악의적 행위자가 이미 사용 가능한 정보를 재활용해 데이터 유출을 주장할 수 있다. 람은 “공격자들이 조직 전체의 자격 증명을 갖고 있지 않거나 소량의 고객 또는 특정 고객의 데이터베이스만 보유하고 있을 수 있다”라고 말했다.

그는 CISO가 조직의 데이터 보호, 모니터링 및 신속한 위협 탐지에 관한 방어 체계를 검토하고 강화할 것을 권장했다. 이는 다층적 접근 방식을 요구하며, 무엇보다도 조직의 ‘가장 중요한 데이터 자산’에 최우선 순위를 둬야 한다. 그는 “CISO는 사고 대응 플레이북을 일부 재작성해야 할 수 있으며, 여기서 검증이 핵심 역할을 할 것”이라고 조언했다.

4. 주요 기반 시설에 대한 리스크 증가

에너지, 유틸리티, 전력 인프라가 위협에 직면하고 공공 의료 기관이 대규모로 영향을 받는 등 주요 기반 시설에 대한 공격이 증가하고 있다.

공공 의료 분야에서는 일반적으로 리소스가 부족하며, 제조, 유틸리티, 전력 인프라와 같은 분야에서는 디지털 트랜스포메이션으로 운영 시스템이 온라인에 연결됨에 따라 새로운 취약점이 발생하고 있다.

여기에는 레거시 및 수명이 다한 기술에 대한 패치가 제공되지 않는 등 복잡한 요소가 많다. 소포스의 부갈은 “공격자가 전통적으로 오프라인이었던 이 산업에 침입할 방법을 찾으면 문제는 훨씬 커진다”라고 말했다. 에너지 및 유틸리티 산업의 많은 조직이 보안 격차에 더 취약하고 오래된 소프트웨어와 기술을 보유하는 경향이 있기 때문이다. 그는 “공격자가 접근 권한을 얻은 다음 환경 내에서 측면 이동해 랜섬웨어 사고로 연결할 기회를 제공할 수 있다”라고 진단했다.

더 복잡한 문제는 조직이 성장해 IT 인프라의 규모와 복잡성이 증가함에 따라 패치되지 않은 취약점에서 시작하는 공격이 발생할 수 있다는 점이다. 소포스 보고서는 공격 발생 시 IT팀이 노출에 대한 가시성을 완전히 확보하고 악용되기 전 패치하기가 더 어려워지고 있다고 설명했다.

아크틱 울프 랩스(Arctic Wolf Labs)의 2025년 예측 보고서에 따르면 주요 기반 시설에 대한 공격은 2025년에도 계속될 전망이다. 랜섬웨어 공격이 일반적인 방식을 따르더라도, 실제로는 적대 국가의 침입을 숨겨 미래 디지털 분쟁의 기반을 마련하는 수단으로 활용될 가능성도 있다. 보고서는 “발견되는 사고는 공격자들이 시스템 내에 장기적으로 은밀하게 잠복할 환경을 구축하려는 전략적 목표에 따라 주의를 분산시키는 의도적 행위일 수 있다”라고 지적했다.

5. 경계 확장에 따른 방어 미흡

조직의 디지털 경계가 확장되면서 공격 표면이 증가하고 있다. 이로 인해 엣지 서비스와 장치를 랜섬웨어 공격의 진입 표적으로 삼는 경우가 늘고 있다. 디지털 경계에 IoT 장치, 클라우드 애플리케이션, VPN 게이트웨이, 다양한 인터넷 연결 장치 및 기타 네트워크 액세스 도구가 포함되기 때문에 액세스 제어를 보호하고 네트워크를 모니터링하기가 더 어려워지고 있다.

지난해에는 팔로알토 네트웍스(Palo Alto Networks)와 소닉월(SonicWall) 장치 내 소프트웨어 취약점이 랜섬웨어 공격에 악용되기도 했다.

아크틱 울프 랩스의 2025년 예측 보고서에 따르면 앞으로 공격 표면에 대한 더 많은 위협이 예상된다. 경계 장치는 유효한 계정의 오용, 취약점 악용, 다단계 인증 격차, 신원 관리 관행의 약점에 여전히 취약하다.

CISO 입장에서는 강력한 패치 관리 프로세스를 유지하고 전반적인 접근 구성을 강화해야 한다는 압박이 커지고 있다. 동시에, 확장되는 디지털 경계로 인해 제로데이 취약점에 대한 노출도 증가하고 있다. 보고서에 따르면 제조 업계는 연구소가 조사한 모든 사례의 44%를 차지할 만큼 특히 취약한 상태다.

첨단 보안 기술과 도구도 중요하지만, 비크는 이것만으로 조직의 디지털 관문을 보호해야 할 필요성이 줄지는 않는다고 말했다. 그는 “여전히 보안 장치의 약한 비밀번호나 보호되지 않는 원격 접속과 같은 일반적인 허점이 있다. 공격자에게는 진입점이 될 수 있다”라고 설명했다.

비크는 관찰된 공격에 대한 인사이트에 접근할 수 있으면 사건의 연쇄 과정과 해당 공격이 조직에 미칠 잠재적 리스크를 이해하는 데 유용하다고 말했다. 그러면 CISO는 프로세스를 검토하고 동일한 공격을 탐지할 적절한 기술과 숙련된 인재가 있는지 파악할 수 있다. 비크는 “CISO가 공격 연쇄 과정을 이해한다면, 동일한 공격이 발생했을 때 조직에 트립와이어와 가시성이 확보돼 있는지 확인할 수 있다”라고 조언했다.
[email protected]