랜섬웨어(Ransomware) 공격의 무게중심이 파일 암호화에서 데이터 유출 협박으로 옮겨가고 있다. 공격자는 시스템을 잠그는 데 그치지 않고 민감 데이터를 빼낸 뒤 공개를 압박한다. 백업 체계를 갖춘 기업도 고객 정보·영업기밀 유출, 개인정보보호법 위반에 따른 조사·제재 리스크, 평판 손상 등의 2차 피해까지 막기는 어렵다는 지적이 나온다.

카스퍼스키는 5월 12일 공개한 ‘2026년 랜섬웨어 현황(State of ransomware in 2026)’ 보고서에서 지난해 랜섬웨어 피해 조직 비중이 전 지역에서 줄었지만 위협이 약해진 것은 아니라고 분석했다. 즉 랜섬웨어 조직이 공격 방식을 바꾸면서 기업 피해 양상이 달라진 것이라는 게 회사 측 설명이다.

가장 큰 변화는 ‘암호화 없는 갈취’다. 카스퍼스키는 랜섬웨어 몸값 지불 비율이 떨어지자 일부 공격자가 파일을 암호화하지 않고 데이터를 훔쳐 공개를 협박하는 방식으로 이동하고 있다고 분석했다. 시스템 복구 중심의 대응만으로는 데이터 유출형 협박에 대응하기 어렵다는 의미다.

공격 준비 과정도 더 조직화됐다. 초기접근브로커(IAB)가 탈취한 계정 같은 내부망 접근권을 팔고, 랜섬웨어 조직은 이를 사들여 공격에 나선다. 주요 접근 경로는 원격 데스크톱 프로토콜(RDP), 가상사설망(VPN), RD웹(RDWeb) 등 원격 접속 인프라다.

보안 솔루션을 먼저 무력화하는 시도도 조직들의 공격 절차에 포함됐다. 카스퍼스키는 랜섬웨어 조직이 엔드포인트 탐지·대응(EDR) 솔루션을 무력화하는 ‘EDR 킬러’를 활용한다고 설명했다. 취약한 서명 드라이버를 악용해 보안 프로세스를 종료하는 BYOVD(Bring Your Own Vulnerable Driver) 방식도 쓰인다.

글로벌 랜섬웨어 조직들이 활개치는 가운데 국내에서는 중소·중견기업이 상대적으로 매우 취약한 고리로 지적된다. SK쉴더스의 침해사고 대응 전문팀 ‘탑서트(Top-CERT)’가 최근 5년간의 데이터를 분석한 결과, 중소·중견기업의 주요 침해 유형은 랜섬웨어 44.9%, 정보유출 42.9%였다. 두 유형을 합치면 전체의 87.8%를 차지한다.

침해 사실을 알아차리고 조사에 들어가기까지도 시간이 오래 걸렸다. 대기업은 전담 보안조직과 상시 관제 체계를 둔 경우가 많지만, 중소·중견기업은 침해 징후를 확인하고 외부 대응을 요청하기까지 공백이 길어지기 쉽다. SK쉴더스에 따르면 중소·중견기업은 최초 침투부터 침해 사실 인지, 조사 착수까지 평균 106.1일이 걸렸다. 90일을 넘긴 사례도 전체의 32.6%였다.

초기 침투 경로는 애플리케이션 취약점이 20.8%로 가장 많았다. 파일 업로드 취약점은 18.9%, VPN 취약점은 15.4%였다. 최초 침투 시점의 53.2%는 오후 6시부터 다음 날 오전 5시 사이 야간·심야 시간대에 집중됐다. 보안 인력과 상시 관제 체계가 부족한 기업일수록 피해 확산 가능성이 큰 구조다.

보안 전문가들은 이제 백업 중심에서 탐지·차단·복구·유출 대응까지 랜섬웨어 대응의 범위를 넓혀야 한다고 입을 모은다. 원격 접속 인프라 노출을 줄이고, 다중인증과 최소 권한 원칙, 네트워크 분리, 취약점 관리, 불변 백업, 사고 대응 훈련을 함께 갖춰야 한다는 조언이다.

SK쉴더스 관계자는 “최근 AI 기술 확산과 함께 사이버 공격이 갈수록 정교해지고 고도화되면서, 제한된 인력과 자원만으로 모든 위협에 대응하기 어려운 환경이 이어지고 있다”며 “중소·중견기업도 부담을 줄이면서 전문적인 보안 대응 체계를 운영할 수 있도록 지원을 확대해 나갈 것”이라고 밝혔다.

정종길 기자
jk2@chosunbiz.com

• 혁신금융 1천건 시대… 소비자 체감은 아직 [AI금융의 과제 ①]
• K콘텐츠 잘나가는데… 불장서 고꾸라진 엔터주
• 대신증권, 초대형 IB 문턱서 건전성 노란불… 발행어음 인가 ‘먹구름’
• 삼성전자 동행노조, 임단협 합의안 투표중지 가처분 신청 예고
• 삼성전자 임단협 잠정합의안 투표율 ‘88%’… 갈등도 커져