소포스가 조사한 랜섬웨어 공격의 운영적 원인. [ⓒ 소포스 2025 랜섬웨어 현황 보고서]
[디지털데일리 최민지기자] 최근 예스24에 이어 SGI서울보증까지 랜섬웨어 해킹 공격에 당했다.
 기업 전산 장애에만 그치지 않고, 피해는 일파만파 커졌다.

예스24 랜섬웨어 사태 때는 공연 입장 처리 시스템 마비로 일부 공연이 취소되거나 예매 일정을 연기해야 해 이용자·공연계 불편이 이어졌다.
 SGI서울보증 경우, 주택담보대출과 전세대출 등 국민 생활 금융과 밀접한 주요 보증 업무가 멈췄다.

이처럼 랜섬웨어 해킹 사고는 재앙과 다름없다.
 주요 데이터를 암호화한 후 탈취하고 시스템을 마비시켜 몸값을 요구하는 랜섬웨어 공격은, 기업을 파산시키고 국민 일상을 흔들 수 있는 위험성을 내포하고 있다.

글로벌 보안기업 소포스는 지난달 발표한 ‘2025 랜섬웨어 현황 보고서’를 통해 지난 1년간 랜섬웨어 공격으로 피해를 입은 전세계 기업 중 절반(50%)은 데이터가 실제로 암호화됐고, 28%는 데이터 탈취까지 함께 당했다고 발표했다.
 전체 피해 기업 절반 가까이(49%)는 몸값을 지불해 데이터를 복구했다고 답했다.

주목할 부분은 랜섬웨어 피해자가 되는 이유로, 조직 내부 운영적 원인을 분석했다는 점이다.
 취약점 악용(32%)은 3년 연속 가장 흔한 침투 원인으로 꼽히는 기술적 원인이다.
 그러나, 이보다 근본적으로 살펴봐야 할 부분은 조직 내부 요인이 어떻게 공격에 취약하게 만들었는지에 대해서다.

소포스는 이번 보고서에서 처음으로 운영적 원인을 분석하며, 3400곳 피해기업이 평균적으로 2.7개 조직 내부 문제를 동시에 겪고 있다고 밝혔다.

대표적인 운영 원인은 ▲보안전문성 결여(40.2%) ▲인식하지 못한 보안 허점(40.1%) ▲보안인력 부족(39.4%) ▲보호솔루션 부재(39%) ▲품질 저하(37.1%) ▲사람의 실수(34.2%) 등이다.
 특히 중소기업은 인력 부족과 보호체계 부실, 대기업은 복잡한 인프라 속에서 인식하지 못한 취약점이 주된 보안 허점으로 작용했다.

이는 기업·기관이 내부 조직 역량과 체계만 갖췄더라도 랜섬웨어 피해를 줄이거나 막을 수 있었다는 점을 시사한다.
 보안 전문성을 갖춘 인력 채용을 확대하고, 보안 조직을 체계적으로 운영할 수 있는 환경만 갖추더라도 반복되는 랜섬웨어 공격에 대응할 수 있는 방어벽을 세우는 셈이다.

이하오 림 구글 두바이 인텔리전스 전략 책임자가 지난 10일 열린 ‘랜섬웨어 레질리언스 컨퍼런스’에서 발표를 하고 있다.

더군다나, 최근 들어 랜섬웨어는 서비스형랜섬웨어(RaaS)로 진화하며, 누구나 손쉽게 공격자가 될 수 있는 구조로 변하면서 기업·기관 보안 역량은 어느 때보다 중요해졌다.

현재 랜섬웨어 공격자 그룹은 하청 체계를 꾸리고 플랫폼을 운영하고 규칙을 적용하는 등 기업과 같은 모습을 보이고 있다.
 이로 인해 랜섬웨어 공격 빈도과 규모가 커지고 있다.
 트램프(TRAMP)는 RaaS 운영자가 20%를 갖고 나머지는 제휴자 등에게 분배하는 수익모델을 실제 공유한 바 있다.
 RaaS 운영자는 공격자를 협박할 때 고객에게 고소를 당하는 것보다 몸값을 지불하는게 금액상 유리하다는 자문까지 제공하고 있다.

사이버범죄를 위한 일부 마켓 플레이스에선 채용과 함께 데이터를 판매하고 있다.
 이곳에선 지난 6개월 내 탈취한 최신 정보이자, 민감정보가 포함돼야 하고, 러시아 등 일부 국가를 공격할 수 없는 등 명확한 기준을 내세우고 있다.

이하오 림 구글 두바이 인텔리전스 전략 책임자는 지난 10일 ‘랜섬웨어 레질리언스 컨퍼런스’에서 “과거에는 랜섬웨어를 직접 개발하고 공격하고 협상까지 해야 했지만, 지금은 하청 구조 플랫폼 생태계로 자리잡았다”며 “RaaS 운영자는 플랫폼을 운영하고, 제휴자가 공격과 협상을 담당한다.
 랜섬웨어를 개발할 기술이 없더라도 마우스와 키보드만 있으면, 누구나 플랫폼을 이용해 공격자가 될 수 있다”고 우려했다.

이에 대응하기 위해선, 보안 인력과 조직 운영 역량을 강화하는 동시에 예방, 탐지 및 대응, 복구를 아우르는 체계를 갖춰야 한다.

소포스는 “공격자가 침투하지 못하도록 기술적·운영상 원인을 제거하기 위한 조치를 취하고, 강력한 기초 보안시스템과 24시간 위협 탐지 대응체계를 갖춰야 한다”며 “신속하게 실행 가능한 사고 대응 계획으로 훈련하고, 정기적인 백업과 복구 테스트 등 복수 시나리오 연습을 통해 실질적 대비를 해야 한다”고 전했다.