세계 랜섬웨어 지도가 올해 3분기 들어 다시 크게 흔들리고 있다. 대규모 단속이 이어졌지만 공격량은 오히려 늘어 기업과 기관의 방어 전략은 더 어려워졌다. 미국과 한국 등 주요 시장에서 피해가 증가했고, 공격 생태계는 더 분산됐다. 랜섬웨어 시장의 핵심 구조가 빠르게 재편되는 흐름이 감지된다.
공격 그룹의 급격한 분산과 예측 불가 위험 확대
체크포인트 리서치에 따르면 분기 동안 활동한 랜섬웨어 조직은 총 85곳으로 역대 최고치를 기록했다. 이 가운데 14곳은 신생 그룹이다. 상위 10개 조직의 피해 비중은 절반 수준으로 떨어지며 시장 지배력이 약화됐다. 미국은 전체 피해의 약 절반을 차지했고, 한국은 퀼린(Qilin)의 금융권 공격으로 처음 상위 10위권에 포함됐다.
보안 업계는 최근 시장 분산이 방어 전망을 더욱 어둡게 만든다고 본다. 규모가 작은 조직은 복호화 도구 제공을 보장할 동기가 약해 협상 위험이 커지고, 단속 이후에도 새로운 그룹이 쉽게 생겨 사라지는 악순환이 반복된다. 국내 기업 환경에서도 이런 흐름은 그대로 비슷하게 나타나고 있다.
LockBit 5.0의 귀환과 시장 재편의 신호
올해 초 사실상 해체된 것으로 여겨졌던 락빗(LockBit)이 멀티 OS 플랫폼을 지원하는 새 버전 LockBit 5.0을 들고 다시 등장했다. 복호화 방어 기술 회피 기능이 강화됐고, 관리자 ‘LockBitSupp’가 직접 재정비에 나선 점도 위협 수준을 끌어올렸다.
최근 확인된 피해자도 이미 15곳 이상이다. 조직 가입을 원하는 공격자는 일정 보증금을 내야 하는 구조여서 질 낮은 참가자를 걸러내려는 움직임으로 보인다. 이런 흐름은 소규모 그룹이 난립하는 환경에서 다시 강력한 브랜드로 힘이 모일 가능성을 보여준다.
퀼린·드래곤포스 등 신흥 조직의 사업화 경쟁
2025년 가장 활발한 조직은 킬린(Qilin)이다. 분기 평균 공격 건수가 75건에 이르며 금융권을 포함한 다수 산업을 공격했다. 한국 금융권 역시 8~9월 사이 30건의 공격을 받았다. 수익 배분을 대폭 높여 제휴 공격자 유입을 유도하는 방식으로 세력을 키우고 있다.
드래곤포스는 공격 기술보다 ‘브랜딩’에 공을 들이는 방식으로 시장 점유율을 끌어올리고 있다. LockBit·Qilin과의 ‘연합’을 선언하고, 침해 당한 데이터를 분석해 금전 가치가 높은 파일을 식별하는 ‘데이터 감사 서비스’를 판매한다. 3분기에만 56개 피해 사례가 보고됐으며 고수익 기업을 주요 표적으로 삼고 있다. 범죄 조직이 스타트업처럼 마케팅·기능·수익 모델로 경쟁하는 구조가 뚜렷해지고 있다.
지역·산업 영향
제조·비즈니스 서비스 분야가 가장 많이 공격받았고, 헬스케어는 단속 우려로 비교적 낮은 비중을 유지했다. 공격량은 분기당 520~540건 수준에서 횡보하며 단속 효과가 오래 유지되지 않았다. 인프라를 차단하더라도 공격자들이 새 이름으로 되살아나기 때문이다.
LockBit 5.0의 부활과 소규모 조직의 증가는 랜섬웨어 시장이 ‘분산된 구조 안에서 강력한 중심을 가진 혼합형 생태계’로 이동하고 있음을 보여준다. 연말까지 다중 갈취, 데이터 감사, 고수익 표적화 등 다양한 수익화 기법이 확산될 가능성이 높다. 기업은 외부 노출 자산 관찰, 제휴 공격자 이동 추적 등 선제적 탐지 전략을 우선해야 한다. 랜섬웨어 방어 기술 시장에서도 위험 관찰과 외부 정보 기반 대응 체계가 핵심 경쟁 요소가 될 전망이다.
