올해 1분기 전 세계 랜섬웨어 피해가 2500건을 넘어서며 전년 대비 2배 이상 급증한 것으로 조사됐다. 병원과 학교 등 공공 목적 시설에 대한 공격이 급증하며 사이버 위협이 사회 전반으로 확산하는 양상이다.

SK쉴더스는 13일 'KARA(Korean Anti Ransomware Alliance)' 올해 1분기 랜섬웨어 동향 보고서를 발간하고 이같이 밝혔다.

보고서는 의료와 교육기관 중심의 피해 양상과 함께 신종 공격 수법, 주요 조직별 활동 내역 등을 집중 분석했다.

보고서에 따르면 올해 1분기 전 세계 랜섬웨어 피해 건수는 총 2575건에 달한다. 전년 동기(1,157건) 대비 122%, 직전 분기(1,899건) 대비 35% 증가했다. 보고서는 "활동을 중단했던 주요 조직들이 재등장하고, 다크웹을 통한 공격 도구 거래와 협업이 증가하면서 피해가 확산됐다"고 분석했다.

의료 및 교육기관을 겨냥한 공격이 특히 두드러졌다. 의료 부문 피해는 전년 동기 대비 86%, 교육 부문은 160% 이상 폭증했다. 과거에는 공공 목적 기관에 대한 공격이 자제되는 경향이 있었지만, 최근에는 고액의 금전을 요구하는 사례가 일반화되고 있다.

대표 사례로는 △미국 캔자스주의 병원에서 22만 명 이상의 환자 정보 유출 △영국 의료복지기관의 2.3TB 민감 정보 유출 및 200만 달러 몸값 요구 등이 보고됐다. 프랑스·이탈리아·미국 등 다수 국가의 학교도 공격을 받아 등교 중단, 자격증명·재무정보 유출 등의 피해를 입었다.

SK쉴더스는 "의료·교육기관이 랜섬웨어에 감염되면 피해는 기관에 국한되지 않고 일반 시민의 일상까지 위협받는다"며 "환자 치료 지연, 수업 취소, 정보 유출은 물론 신원 도용이나 보험사기 등 2차 범죄로도 악용될 수 있다"고 설명했다.

1분기 가장 활발히 활동한 랜섬웨어 그룹은 Clop으로, 미국 파일 전송 플랫폼 클레오(Cleo)의 취약점을 활용해 341건의 공격을 감행했다. 이어 △RansomHub(232건) △Akira(220건) △Babuk-Bjorka(179건) 순으로 나타났다. 국가별로는 미국이 전체 피해의 50.4%를 차지했으며, 캐나다와 영국이 뒤를 이었다. 산업별 피해는 △제조업 25%로 가장 많았고, △유통·운송 △서비스 △IT·통신 △건설 분야로 확산됐다.

보고서는 Babuk 랜섬웨어 그룹의 변종 위협도 경고했다. Babuk은 2020년 등장한 이후 북미와 유럽 의료기관·정부기관을 타깃으로 빠르게 확산됐다. 이 랜섬웨어는 Windows는 물론 NAS, ESXi 등 다양한 시스템과 폐쇄망까지 공격이 가능하다. 최근엔 소스코드를 활용한 변종이 등장하고 있으며, 실제 침입이 없더라도 데이터를 위조하거나 재활용해 협박하는 사례도 확인되고 있다.

이에 SK쉴더스는 △최신 보안 패치 적용 △내부 시스템 접근 제어 △이상 징후 모니터링 강화 등 선제적인 보안관리 체계 필요성을 강조했다. 아울러 실시간 탐지·대응이 가능한 'MDR(Managed Detection & Response)' 서비스를 해법으로 제시했다.

MDR은 24시간 365일 위협을 실시간 모니터링하고, 이상 징후가 감지되면 보안 전문가가 즉시 분석·대응하는 구조다. 구독형 방식으로 제공돼 초기 비용 부담이 적고, 예산·인력이 부족한 중소 병원이나 학교도 손쉽게 도입할 수 있다.

김병무 SK쉴더스 사이버보안부문장(부사장)은 "이제 사이버 위협은 특정 산업을 넘어 전 사회적으로 확산되고 있다"며 "의료·교육·공공 등 국민 생활과 직결되는 리스크를 사전 관리하고, 전문적인 대응 역량을 갖춰야 한다"고 강조했다.

한편 SK쉴더스는 민간 랜섬웨어 대응 협의체 KARA를 주도하고 있으며, ‘EQST Insight’ 등 정기 보고서를 통해 보안 인식 제고 및 피해 확산 방지 활동을 지속하고 있다.