“대기업은 장난질 안 통하네”...만만한 중소기업만 공격하는 해커들

안갑성 기자(ksahn@mk.co.kr) 2026. 2. 27. 08:54
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

글로벌 랜섬웨어 생태계에 기현상이 벌어지고 있다.

지난해 랜섬웨어 피해를 입고 실제 해커에게 돈을 지불한 기업의 비율은 28%로 역대 최저치를 기록했다.

영국의 재규어 랜드로버는 랜섬웨어 공격으로 다국적 생산 라인이 가동 중단되며 약 25억달러의 피해를 입었고, 대형 유통업체 막스 앤 스펜서(M&S)와 헬스케어 기업 다비타(DaVita) 역시 수백만 명의 데이터 유출과 막대한 금전적 손실을 겪었다.

닫기
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
체이널리시스 ‘가상자산 범죄 보고서’
총 피해액 8억2천말弗, 2년 연속 감소
몸값 지불기업 10곳 중 3곳도 안돼
중소기업 노리는 박리다매식 공격 기승

[매경DB]

[매경DB]
글로벌 랜섬웨어 생태계에 기현상이 벌어지고 있다. 해커들의 공격 건수는 사상 최고치를 기록하며 폭증했지만 정작 이들이 벌어들인 총수익은 2년 연속 감소세를 보였다.

기업들의 보안 대응 역량이 강화되고 글로벌 사법당국이 범죄의 ‘인프라’를 직접 타격하기 시작하면서 해커들의 이른바 ‘돈맥경화’가 심화하고 있다는 분석이 나온다.

26일(현지시간) 블록체인 데이터 분석 기업 체이널리시스(Chainalysis)가 발표한 보고서에 따르면 2025년 전 세계 온체인 랜섬웨어 피해액은 약 8억 2000만달러(한화 약 1조 1000억원)로 전년(8억 9200만달러) 대비 약 8% 감소했다.

반면 역설적으로 같은 기간 랜섬웨어 공격 피해를 주장하는 건수는 전년 대비 50% 급증해 역대 최고치를 경신했다. 공격은 늘었는데 수익이 줄어든 이유는 기업들의 몸값 지불 비율이 급감했기 때문이다.

지난해 랜섬웨어 피해를 입고 실제 해커에게 돈을 지불한 기업의 비율은 28%로 역대 최저치를 기록했다. 백업 시스템 강화, 엔드포인트 탐지 및 대응(EDR) 기술 도입 등 기업들의 자체 보안 방어력이 크게 향상된 결과다.

◆ 박리다매로 전환한 해커들…지불 중간값은 368% 급등

랜섬웨어 침투 건수 대비 실제 지불 전환율. 범죄자들의 정보 유출 주장 건수(막대)는 50% 폭증했으나, 실제 돈을 지불한 피해 기업의 비율(선)은 28.8%로 역대 최저치로 추락했다. [자료=체이널리시스]

랜섬웨어 침투 건수 대비 실제 지불 전환율. 범죄자들의 정보 유출 주장 건수(막대)는 50% 폭증했으나, 실제 돈을 지불한 피해 기업의 비율(선)은 28.8%로 역대 최저치로 추락했다. [자료=체이널리시스]
대형 기업들의 철벽 방어에 막힌 랜섬웨어 조직들은 타깃을 중소기업으로 선회하는 이른바 ‘박리다매’ 전략을 취하고 있다. 보안망이 상대적으로 취약하고 영업 중단 시 타격이 커 돈을 더 빨리 지불할 가능성이 높은 중소 규모의 표적을 집중 공격하는 것이다.

주목할 만한 점은 총수익은 줄었지만 개별 랜섬웨어 지불액의 중간값은 크게 뛰었다는 것이다. 2024년 1만 2738달러였던 지불 중간값은 2025년 5만 9556달러로 무려 368% 폭등했다.

줄어든 성공률을 만회하기 위해 한 번 공격에 성공했을 때 더 높은 몸값을 요구하거나 데이터 유출을 빌미로 직원과 고객에게까지 직접 연락하는 등 협상 방식이 한층 악랄해진 결과로 풀이된다.

실제로 경제적 피해 규모는 여전히 막대하다. 영국의 재규어 랜드로버는 랜섬웨어 공격으로 다국적 생산 라인이 가동 중단되며 약 25억달러의 피해를 입었고, 대형 유통업체 막스 앤 스펜서(M&S)와 헬스케어 기업 다비타(DaVita) 역시 수백만 명의 데이터 유출과 막대한 금전적 손실을 겪었다.

◆ IAB(초기 침투 브로커) 가격 하락…사법당국의 표적은 ‘인프라’

랜섬웨어 그룹과 초기 침투 브로커(IAB) 간 자금 흐름. 랜섬웨어 조직이 기업 시스템에 침투하기 위해 IAB에게 적게는 수백에서 많게는 수만 달러를 지불하는 생태계가 굳어지고 있다. [자료=체이널리시스]

랜섬웨어 그룹과 초기 침투 브로커(IAB) 간 자금 흐름. 랜섬웨어 조직이 기업 시스템에 침투하기 위해 IAB에게 적게는 수백에서 많게는 수만 달러를 지불하는 생태계가 굳어지고 있다. [자료=체이널리시스]
랜섬웨어의 구조적 변화도 눈에 띈다. 해킹 그룹이 직접 침투하기보다 시스템 접근 권한만 전문적으로 뚫어 판매하는 ‘초기 침투 브로커(IAB)’의 역할이 커지고 있다.

AI(인공지능) 기반 도구와 공격 자동화로 인해 타깃 네트워크에 대한 접근 권한 가격은 2023년 평균 1427달러에서 2026년 1분기 439달러까지 폭락했다. 온체인 데이터 분석 결과, IAB로 자금이 유입되는 ‘스파이크(급증)’ 현상이 발생하면 약 30일 뒤 글로벌 랜섬웨어 유출 피해가 급증하는 선행 지표 역할을 하는 것으로 나타났다.

이에 대응해 글로벌 사법당국의 전략도 진화하고 있다. 과거에는 개별 해커 조직을 추적하는 데 집중했다면, 이제는 방탄 호스팅, 프록시 네트워크 등 범죄자들이 공통으로 사용하는 ‘인프라 생태계’ 자체를 파괴하는 데 주력하고 있다.

특히 러시아나 이란(차밍 키튼 등), 중국의 국가 배후 해킹 그룹조차 일반 사이버 범죄자들과 동일한 인프라를 사용하고 있어 이들 인프라를 타격하는 것은 범죄 수익 창출은 물론 국가 주도의 사이버 스파이 활동을 동시에 억제하는 효과를 내고 있다.

체이널리시스 측은 “범죄 조직을 해체하는 것만으로는 부족하며, 이들이 의존하는 공유 도구와 초기 접속 브로커(IAB) 등 상류 공급망을 차단하는 것이 방어의 핵심이 될 것”이라고 강조했다.

Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지

매일경제에서 직접 확인하세요. 해당 언론사로 이동합니다.