기업 생존 좌우하는 ‘랜섬웨어’ [보안TMI]
||2026.01.04
IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 ‘보안TMI(Too Much Information)’ 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]
지난해 6월, 인터넷 서점 예스24가 멈췄다. 웹사이트, 모바일 앱, 전 서비스가 닷새간 작동하지 않았다. 지난 7월엔 SGI서울보증도 공격을 받아 사흘간 서비스가 마비됐다. 원인은 랜섬웨어다. 컴퓨터에 침투해 문서, 스프레드시트, 그림 파일 등을 암호화한 뒤 금전을 요구하는 악성코드다. 사용자 자료를 볼모로 돈을 요구한다고 해서 '랜섬(ransom·몸값)'이라는 이름이 붙었다. 랜섬웨어는 기업의 비즈니스 연속성(BCP)을 무너뜨리는 핵심 위협이 되고 있다.
구글은 이 위협을 정면으로 지목했다. '2026 사이버 보안 전망' 보고서에서 랜섬웨어를 '전 세계적으로 가장 심각한 재정 피해를 발생시키는 사이버 범죄'로 규정하며, "2026년에 더욱 심각해질 것"이라고 경고했다. 공격자가 AI를 활용해 공격의 속도, 범위, 효과를 높일 것이라는 전망도 덧붙였다.
한국은 더 이상 안전지대가 아니다. 글로벌 보안 기업 체크포인트가 발표한 '2025년 3분기 랜섬웨어 보안 보고서'에 따르면, 한국은 전체 공격의 약 2%를 차지하며 처음으로 글로벌 '톱10'에 진입했다. 그동안 20위권에 머물렀지만, 금융·제조·IT서비스를 중심으로 공격이 급증하면서 순위가 상승했다. 자격증명 탈취, 소프트웨어 공급망 취약점 공략이 주요 수법이었고, 금융사를 노린 공격은 계정 탈취와 내부 시스템 우회 침투까지 정교해졌다.
한국인터넷진흥원(KISA)과 주요 정보공유분석센터(ISAC) 집계에 따르면 2025년 상반기 랜섬웨어 감염 신고는 82건에 달했다. 피해 기업의 90% 이상이 중견·중소기업이었다. 전 세계적 상황은 더 심각하다. 2025년 3분기 랜섬웨어 공격은 사상 최고치를 기록했다. 공격 조직이 유출 사이트에 공개한 피해 기업만 1592곳이다. 국제 공조로 일부 조직이 해체됐지만, 빈자리는 금세 신규 그룹이 채웠다. 일본에서는 식음료 대기업 아사히홀딩스가 두 달 넘게 백오피스 장애를 겪으며 주문 처리와 물류 등 기업 운영 전반에 차질이 발생했고, 온라인 유통업체 아스클은 공격 6주 후에야 기업 고객 주문을 재개했다.
협박 방식도 진화하고 있다. 예전에는 데이터를 암호화한 뒤 금전을 요구하는 방식이 주를 이뤘다면 지금은 다르다. 데이터를 빼돌린 뒤 공개하겠다고 협박하는 이중 갈취에 더해 서비스 마비와 추가 압박을 더하는 삼중 협박까지 등장했다. 서비스형 랜섬웨어(RaaS) 모델이 확산되면서 개발자는 도구를 만들고, 실행 조직은 공격을 수행하는 분업 체계가 굳어지고 있다.
보안 기업 이스트시큐리티는 '2026년 전망 보고서'에서 랜섬웨어가 단순한 금전 목적을 넘어 핵심 산업 마비, 사회적 혼란 유발 등 정치·전략적 압박 수단으로 쓰일 가능성을 제기했다. 돈을 노리는 범죄와 국가 차원의 사이버 공격이 뒤섞이는 시대가 온다는 분석이다. 이에 전문가들은 자동화된 탐지·격리 체계 구축, 오프라인 백업의 정기적 검증, 공급망 보안 점검 등 기본 대응 역량 강화를 강조한다.
홍주연 기자
jyhong@chosunbiz.com
