[미디어펜=김견희 기자]랜섬웨어 공격이 더 이상 기업에 국한되지 않고 소비자 서비스, 의료·공공기관까지 확산되며 일상 속 위협으로 번지고 있는 것으로 나타났다.

SK쉴더스는 27일 ‘KARA(한국 랜섬웨어 대응 협의체) 2025년 2분기 랜섬웨어 동향 보고서’를 통해 글로벌 피해 현황과 주요 그룹 활동을 분석하며 이같이 밝혔다. 

해당 보고서에 따르면 올해 2분기 전 세계 랜섬웨어 피해 건수는 1556건으로 집계됐다. 이는 전년 동기 대비 17% 증가한 수치지만, 1분기(2575건)보다는 40% 감소했다. 이에 대해 SK쉴더스는 "Clop, RansomHub 등 대형 그룹의 활동 중단에 따른 일시적 현상일 뿐, 전반적 위협 수준은 여전히 심각하다"고 진단했다.

지난 2분기에는 킬린(Qilin) 그룹의 부상이 두드러졌다. 랜섬허브(RansomHub) 그룹 일부 공격자가 합류하면서 월평균 피해 건수가 35건에서 70건으로 두 배 가까이 증가했다. 이 외에도 아키라(Akira), 플레이(Play), 건라(Gunra), 노바(Nova) 등 다양한 그룹이 활발히 활동하며 위협이 다변화됐다.

눈에 띄는 점은 소비자 서비스와 필수 인프라에 대한 공격이다. 5월에는 글로벌 연구·공학 소프트웨어 기업 매스웍스(MathWorks)가 피해를 입어 MATLAB·Simulink 플랫폼이 장기간 마비됐고, 이달 들어 국내 최대 인터넷 서점 예스24가 두 달 만에 재차 공격을 받아 도서 주문과 전자책 열람, 공연 예매까지 전면 중단됐다.

헬스케어 분야도 타격을 받았다. 미국 다비타(DaVita), 케터링 헬스(Kettering Health) 등 주요 의료기관이 공격을 받아 진료 지연과 개인정보 유출이 발생했고, 독일·대만·UAE 병원에서도 비슷한 피해가 보고됐다. 

지난해 공격으로 미국 맥라렌 헬스케어 환자 74만 명 정보가 유출된 사실도 뒤늦게 드러났다. 이에 미국 FBI와 보건복지부(HHS)는 의료기관 공격 급증에 대한 주의보까지 발령했다.

공공 영역 역시 예외가 아니다. 미국 테네시주 보안관실, 텍사스주 애빌린 시 등 지방정부·사법기관이 공격을 받아 행정과 치안 시스템이 중단되며 주민 불편이 이어졌다.

보고서는 특히 INC 랜섬웨어의 위험성에 주목했다. 2023년 등장한 INC는 의료·제조·공공기관처럼 운영 연속성이 중요한 산업군을 집중 공격해왔다. RaaS(서비스형 랜섬웨어) 모델을 기반으로 해 누구나 쉽게 공격을 실행할 수 있고, 최근 소스코드가 다크웹에서 판매되면서 변종 확산 가능성까지 높아진 상황이다.

SK쉴더스는 이러한 상황 속에서 실시간 탐지와 즉각 대응이 가능한 MDR(Managed Detection & Response)을 고도화된 랜섬웨어 대응의 핵심 대안으로 제시했다. MDR은 해킹 발생 시 보안 전문가가 즉시 투입돼 원인 분석부터 감염 차단, 복구까지 원스톱으로 지원하는 구독형 서비스다. 인력·예산이 부족한 중소기업도 쉽게 도입할 수 있다는 점이 장점이다.

김병무 SK쉴더스 사이버보안부문장(부사장)은 “랜섬웨어가 소비자와 공공 서비스로 확산되며 사회 전반의 혼란 요인으로 작용하고 있다”며 “실시간 탐지·대응 가능한 MDR로 선제 대비해야 한다”고 말했다.