EMSISOFT 2025년 여름 랜섬웨어 리뷰 및 통계
통계와 클릭베이트
지난주 업계 보고서를 살펴보던 중 조금 이상하다는 것을 발견했습니다. 랜섬웨어 공격이 크게 감소했다는 놀랍도록 긍정적인 소식을 담은 보고서였습니다. Infosecurity Magazine에 " 2025년 2분기 글로벌 랜섬웨어 공격 43% 급감" 이라는 제목의 기사가 실렸습니다 .
좋은 소식이 보도되는 건 언제나 기분 좋은 일이지만, 통계가 나올 때마다 걱정이 되고 마크 트웨인의 말이 떠오릅니다 . 아니면 벤저민 디즈레일리가 그 출처였을까요?
자세히 살펴보면, 이 지표에 사용된 기간은 2025년 4월~6월이고, NCC 그룹 의 보고서에 따르면 "2025년 2분기에 전 세계적으로 랜섬웨어 공격이 1분기에 비해 43% 감소했다"고 나와 있습니다. 이러한 숫자의 맥락을 이해하는 데 데이터 출처가 매우 중요하기 때문에 더 깊이 이해하기 위해 NCC 그룹의 2분기 사이버 위협 인텔리전스 보고서를 찾아갔습니다 . 고객에게만 제공되는 보다 자세한 보고서의 요약인 것으로 보이는 이 보고서는 "2분기에 해킹 및 유출 숫자가 총 1,180건으로 감소하여 2025년 1분기에 비해 43% 감소했다"고 말하며 좀 더 자세한 내용을 제공합니다. 데이터를 해석할 때 도움이 되기 때문에 이러한 숫자의 출처는 요약 보고서에 제공되지 않아 안타깝습니다. 또한 "해킹 및 유출 숫자"가 정확히 무엇을 의미하는지도 설명하지 않았습니다.
NCC 그룹 웹사이트의 문의 양식을 통해 문의했지만 아직 답변을 받지 못했습니다. 답변이 오면 이 글에 추가 내용을 추가하겠습니다.
어떤 추세를 독립적으로 검증할 수 있는지 확인하기 위해 이용 가능한 출처를 살펴보기 시작했지만, 우선 NCC 그룹의 연구에 대해 이의를 제기하거나 비판하려는 의도는 없다는 점을 밝혀둡니다. 제가 하고자 하는 것은 랜섬웨어 데이터의 의미와 존재하는 모든 위협 및 추세를 가장 잘 이해할 수 있도록 맥락을 제공하는 것입니다.
데이터를 살펴보기 전에, 특정 기간 동안 발생한 실제 데이터 침해 건수는 아무도 모른다는 점을 명심해야 합니다. 모든 공격이 공개적으로 알려지는 것은 아닙니다. 사실, 대부분의 공격은 드러나지 않을 가능성이 높습니다 (이에 대해서는 이전에도 게시한 적이 있습니다) . 따라서 보고되거나 활용되는 통계의 경우, 출처를 명시하는 것이 좋습니다.
저는 조사를 위해 업계에서 널리 알려진 두 곳의 출처인 ransomware.live와 ransomlook.io에서 2024년과 2025년 랜섬웨어 공격 데이터를 다운로드했습니다. 두 사이트 모두 자동 크롤러를 사용하여 웹과 다크웹에 있는 수백 개의 사이트를 모니터링하여 사고를 추적합니다. 분석에서는 게시된 날짜별로 공격을 추적했지만, 사고가 몇 주 또는 몇 달 전에 발생했을 수도 있습니다. 모든 데이터의 핵심은 데이터 수집 방식의 일관성을 유지하는 것입니다. 또한, 이러한 출처의 데이터는 불완전할 수 있다는 점을 명심해야 합니다. 랜섬웨어 조직이 다크웹 전용 유출 사이트에서 주장하는 내용이 때때로 자신들의 목적에 맞게 과장되는 경우가 있기 때문입니다.
두 출처에서 각각 다운로드한 데이터를 바탕으로 2024년과 2025년 1분기와 2분기 데이터를 살펴보고 수치 분석을 시작했습니다. 먼저 2025년 1분기와 2025년 1분기를 비교해 보니, 피해자 수와 분기별 변화가 NCC 그룹 보고와 일치했습니다. 세 출처의 수치는 모두 비슷한 수준이며, 1분기에서 2분기로 추정되는 피해자 수가 실제로 감소한 것을 확인할 수 있습니다.
| 원천 | Q1-25 피해자로 추정되는 사람들 | Q2-25 피해자 추정 | 변화 |
| 랜섬웨어.라이브 | 2395 | 1496 | -38% |
| 랜섬룩.io | 2509 | 1694 | -22% |
| NCC 그룹 | 2070* | 1180 | -43% |
* 2분기 피해자 수와 2분기/1분기 % 변화를 사용하여 계산되었습니다.
좋은 소식이죠? 잠깐, 작년 같은 기간의 수치를 살펴보겠습니다. NCC 그룹의 데이터는 없으므로 ransomware.live와 ransomlook.io만 살펴보겠습니다.
| 원천 | Q1-24 피해자로 추정되는 사람들 | Q2-24 피해자 추정 | 변화 |
| 랜섬웨어.라이브 | 1249 | 1393 | -12% |
| 랜섬룩.io | 1156 | 1481 | -28% |
같은 추세가 나타납니다. 2024년 2분기 수치는 2024년 1분기 수치보다 낮습니다. 따라서 이러한 감소는 매년 반복되는 현상일 수 있습니다. 그렇다면 수치가 감소하고 있다는 낙관론을 여전히 가질 수 있을까요? 전년 대비 수치를 살펴보겠습니다.
| 원천 | Q1-25 대 Q1-24 피해자 추정 | Q2-25 대 Q2-24 피해자 추정 |
| 랜섬웨어.라이브 | +92% | +7% |
| 랜섬룩.io | +117% | +33% |
이제 통계의 진짜 배경이 드러나기 시작합니다. 2025년 1분기에는 2024년 1분기 대비 공격이 크게 증가한 반면, 2025년 2분기에는 훨씬 더 완만한 증가세를 보였습니다. 이 수치는 2025년 랜섬웨어 공격 감소의 원인이 상황이 나아지고 있어서가 아니라, 2025년 1분기에 상황이 크게 악화되었고 2분기 피해자 수가 반복적으로 감소했기 때문임을 시사합니다.
그렇다면 지금이 당황해야 할 때일까요, 아니면 축하해야 할 때일까요? 둘 다 아닙니다. 하지만 이 글을 통해 어떤 위협과 추세가 존재하는지 더 잘 이해하실 수 있기를 바랍니다. 저는 데이터를 살펴보던 중, 2025년 여름(6월~8월)의 몇 가지 수치를 정리하여 여러분과 공유하고자 합니다.
숫자로 보기
활성 랜섬웨어 그룹
2025년에는 랜섬웨어 공격과 관련된 개인과 인프라를 표적으로 삼는 국제적인 사법 집행 활동이 지속적으로 이루어졌습니다. 그 결과는 고무적이지만, 예상치 못한 결과 중 하나는 새롭고 소규모의 조직들이 폭발적으로 증가했다는 보고가 있습니다. 이는 아래 수치에서도 잘 드러나는데, 2024년 여름과 2025년 여름 사이에 활동 중인 랜섬웨어 조직의 수가 약 20~30% 증가했음을 나타냅니다.
| 원천 | 2024년 여름 | 2025년 여름 | 변화 |
| 랜섬웨어.라이브 | 45 | 53 | +18% |
| 랜섬룩.io | 62 | 80 | +29% |
추적된 피해자
랜섬웨어 갱단을 법의 심판대에 세우려는 국제적인 노력이 계속되고 있지만, 안타깝게도 피해자 수는 전년 대비 10~20%씩 증가하고 있습니다.
| 원천 | 2024년 여름 | 2025년 여름 | 변화 |
| 랜섬웨어.라이브 | 1298 | 1413 | +8.9% |
| 랜섬룩.io | 1412 | 1694 | +20.0% |
전 세계적으로 가장 활동적인 그룹
가장 활동적인 그룹의 프로필은 다양한 온라인 출처에서 확인할 수 있으며, 여기에는 해당 그룹이 사용하는 TTP(전술적 공격 계획)에 대한 기술적 설명이 포함되는 경우가 많습니다. 이러한 정보를 바탕으로, 강력한 사이버 방어 전략에는 해당 그룹의 알려진 IoC(침해 목표)에 대한 적극적인 위협 사냥이 포함될 수 있습니다.
| Ransomware.live 2024년 여름 | Ransomware.live 2025년 여름 | ||
| 랜섬허브 | 173 | 기린 | 220 |
| 놀다 | 80 | 아키라 | 139 |
| 아키라 | 79 | Inc 랜섬 | 105 |
| 록빗3 | 62 | 드래곤포스 | 74 |
| 야옹 | 62 | 놀다 | 70 |
| Ransomlook.io 2024년 여름 | Ransomlook.io 2025년 여름 | ||
| 랜섬허브 | 224 | 기린 | 234 |
| 록빗3 | 90 | 아키라 | 127 |
| 놀다 | 81 | Inc 랜섬 | 105 |
| 야옹 | 61 | 세이프페이 | 99 |
| 아키라 | 57 | 놀다 | 78 |
2025년의 마지막 3분의 1을 향해 나아가는 지금, 다음 달 통계에 포함될 경우를 대비하여 자사의 사이버 방어 체계를 점검하고 준비 상태를 점검해 볼 절호의 기회입니다. 다음은 시작하기에 좋은 간단하지만 결코 완벽하지는 않은 체크리스트입니다.
- * EDR을 통한 엔드포인트 보호
- * 경계 및 엔드포인트 방화벽
- * MFA를 사용한 강력한 비밀번호;
- * 데이터 암호화;
- * 변경 불가능한 오프사이트 백업
- * 이메일 보호
- * 모든 소프트웨어가 최신 상태인지 확인하세요.
- * 직원 사이버 인식 교육
마지막으로, 모든 조직은 필요하기 전에 사고 대응 계획을 개발하는 데 시간을 투자해야 합니다.
참고로, EMSISOFT는 윈도우 최신 운영체제(10/11, 2016서버 이후 2025서버)에서 사용가능합니다. 조만간 EMSISOFT for Mac 버전 출시를 위해 지속적으로 개발과 튜닝을 진행하고 있어 정식 출시할 예정이라고 합니다.
감사합니다.
EMSISOFT
(주)소프트메일
EMSISOFT 안티랜섬웨어 & EDR - 랜섬웨어 감염 예방
EMSISOFT 안티랜섬웨어 EDR 백신 제품은 위협 탐지 및 대응 기능을 갖춘 EDR을 갖춘 강력한 보안 제품입니다. 개인용 및 서버를 위한 백신과 안티랜섬웨어 제품으로 PC 및 윈도우서버를 보호하세요
www.emsisoft.co.kr
'Emsisoft 안티멀웨어' 카테고리의 다른 글
| Emsisoft Anti-Malware의 VB100 2025년 6월 인증: 타협 없는 정밀성 (2) | 2025.08.14 |
|---|---|
| Emsisoft, AVLab 3월 ‘Advanced In-The-Wild Malware’ 테스트서 100% 탐지… 업계 최단 0.105초 대응 (4) | 2025.06.23 |
| EMSISOFT 2025.6의 새로운 기능: 시스템 호출 감지 (Syscall) (0) | 2025.06.11 |
| [Emsisoft] 랜섬웨어 몸값을 지불해도 효과가 없는 이유 (3) | 2025.05.20 |
| EMSISOFT 새로운 AI 머신러닝 모델 출시 (0) | 2025.03.03 |