국내 대학까지 노린 랜섬웨어, 새로운 위협 그룹 등장

국내 모 대학교가 최근 신규 랜섬웨어 그룹 '노바'의 공격을 받아 포털 시스템 소스코드와 내부 데이터를 탈취당한 정황이 드러났다.

다크웹을 통한 유출 협박까지 이어지면서 국내 기관도 랜섬웨어의 직접적인 표적이 되고 있음이 확인됐다.

SK쉴더스가 19일 발표한 사이버 위협 분석 보고서 'EQST Insight' 6월호에 따르면, 지난 2025년 5월 한 달간 전 세계적으로 총 484건의 랜섬웨어 피해가 발생했다.

사진 제공 = SK쉴더스

이는 전월보다 약 12% 감소한 수치지만, 주요 랜섬웨어 소스코드 유출로 인한 변종과 신규 조직의 등장으로 공격 위험성은 여전히 높은 상황이다.

진화하는 랜섬웨어 그룹과 새로운 공격 패턴

보고서는 지난 5월 초 발생한 주목할 만한 사건으로 세계 최대 규모 랜섬웨어 조직 중 하나인 록빗의 다크웹 유출 사이트가 역해킹당한 사례를 언급했다.

해커들은 관리 패널까지 침입해 가상화폐 지갑 주소, 랜섬웨어 버전 정보, 제휴사 계정, 채팅 기록 등이 포함된 내부 데이터베이스 일부를 유출했다.

신규 랜섬웨어 그룹 중 주목받는 'Devman'은 4월 처음 등장해 케냐의 공공 연금 기구 'NSSF Kenya'를 공격, 2.5TB 규모의 데이터를 탈취했다고 주장했다. 또한 필리핀 언론사 'GMA Network'의 서버를 암호화하는 피해를 입혔다.

이들은 SNS를 통해 스크린샷과 협박 메시지를 공개하고, 450만 달러에 달하는 몸값을 요구하는 등 협상 방식도 고도화되고 있다.

사진 제공 = SK쉴더스

지난 5월에 가장 활발한 활동을 보인 랜섬웨어 그룹은 'SafePay'로, 총 72건의 공격을 기록했다.

이들은 체코의 공립 고등학교와 호주의 법률회사를 공격해 각각 30GB, 200GB 규모의 민감 데이터를 유출했으며, 학생 정보와 법률 문서, 고객 자료 등이 다크웹에 공개됐다.

다양한 신규 랜섬웨어 그룹의 등장과 대응 방안

보고서는 JGroup, Imncrew, WorldLeaks, Direwolf, DataCarry, Cyberex 등 신규 랜섬웨어 그룹 8곳의 활동도 분석했다. 특히 Cyberex는 기존 다크웹 사이트 대신 일반 채팅 플랫폼을 활용해 몸값 협상을 진행하는 이례적인 방식을 사용했다.

또한 신규 조직인 Injection Team은 러시아 해킹 포럼에서 해킹·DDoS·피싱 서비스를 홍보하며 활동 범위를 확장하고 있다.

SK쉴더스는 이러한 고도화된 랜섬웨어 공격에 대응하기 위해 24시간 이상 징후를 탐지하고 보안 전문가가 즉시 대응하는 관리형 탐지·대응 서비스 도입을 권고했다.

구독형으로 제공되는 MDR 서비스는 초기 비용 부담이 적어 내부 보안 인력이 부족한 중소기업이나 기관에서도 부담 없이 도입할 수 있어 효과적인 보안 대안으로 주목받고 있다.

SK쉴더스 관계자는 "최근 랜섬웨어는 소스코드 유출로 인해 새로운 변종이 빠르게 생겨나고, 공격 수법도 예측하기 어려운 방향으로 바뀌고 있다"며, "국내 기업과 기관을 겨냥한 랜섬웨어 위협이 지속되는 상황에서, 실시간 탐지와 대응이 가능한 SK쉴더스의 MDR 서비스가 효과적인 대응 수단으로 권장된다"고 말했다.

한편 SK쉴더스는 지난 2017년부터 랜섬웨어 동향과 보안 대응 전략을 담은 'EQST Insight'를 매월 발간하고 있으며, 해당 보고서는 SK쉴더스 공식 홈페이지에서 무료로 확인할 수 있다.