랜섬웨어 공격 50% 급증 속 범죄 수익은 2년 연속 감소…디지털 자산의 역설
사이버 공격은 폭발했지만, 돈은 줄어들고 있다.
최근 보고서에 따르면 랜섬웨어 공격 건수는 전년 대비 50%나 급증했다. 기업 네트워크를 잠그고 몸값을 요구하는 공격이 전 세계적으로 확산 중이다. 그런데 이상한 점이 하나 있다—범죄자들의 실제 수익은 오히려 2년째 꾸준히 감소하고 있다는 사실이다.
공격은 많아지는데, 돈은 왜 줄까?
전문가들은 몇 가지 이유를 지목한다. 첫째, 기업들의 대응 능력이 향상됐다. 정기적인 백업과 복구 계획이 표준화되면서, 몸값을 지불하지 않고도 시스템을 복원하는 사례가 늘고 있다. 둘째, 국제적인 사법 공조가 강화됐다. 암호화폐 거래소와 블록체인 분석 회사들이 법 집행 기관과 협력해 불법 자금 흐름을 추적하고 차단하는 효율성이 크게 개선된 것이다.
암호화폐의 양날의 검
랜섬웨어 요금은 대부분 비트코인이나 모네로 같은 암호화폐로 지불을 요구한다. 이는 익명성을 보장한다고 믿는 범죄자들에게 매력적인 통화다. 그러나 바로 그 블록체인의 투명성과 불변성이 그들의 발목을 잡고 있다. 모든 거래가 공개 원장에 기록되면, 한번 추적이 시작되면 돈의 이동 경로를 숨기기가 거의 불가능해진다.
여기에 암호화폐 자체의 가격 변동성도 범죄 수익을 갉아먹는 요인으로 작용한다—몸값으로 받은 코인이 청산되기 전에 가치가 떨어지는 일은 흔하다. 전통적인 금융 시스템이 제공하는 '안정성'을 조롱하던 해커들도, 결국 자신들의 수익이 시장에 휘둘리는 것을 막을 수 없다는 아이러니.
앞으로의 전쟁
공격의 양적 증가는 사이버 보안 투자의 중요성을 다시 한번 각인시킨다. 동시에, 수익 감소 추세는 범죄 행위 자체를 경제적으로 비효율적으로 만드는 것이 궁극적인 해결책일 수 있음을 시사한다. 기술적 방어, 사법적 대응, 그리고 블록체인 분석이 결합되어 범죄를 '수지타산이 맞지 않는' 사업으로 전락시키고 있다.
결론? 디지털 시대의 범죄와의 전쟁은 단순히 공격을 막는 것을 넘어, 그 동기를 무너뜨리는 데까지 나아가고 있다. 랜섬웨어 공격이 50%나 증가했는데도 범죄자들의 지갑이 가벼워진다는 건—적어도 이 한 구역에서는—방어 측이 승리하고 있다는 의미다. 물론, 월스트리트에서라면 '수익성 없는 비즈니스 모델'이라고 일찌감치 접었을 테지만.
2025 랜섬웨어 결제 8.2억달러 규모
2026년 암호화폐 범죄 보고서의 랜섬웨어 챕터에서 체이널리시스는 다음과 같이 밝혔습니다. 2025년 랜섬웨어 공격자들은 온체인 결제로 8억 2,000만 달러 이상을 수령했습니다. 이 수치는 2024년 수정 추정치인 8억 9,200만 달러 대비 연간 8% 감소한 수치입니다.
하지만 2025년 총액은 더 증가할 수도 있습니다. 체이널리시스는 최종 수치가 9억 달러에 근접하거나 이를 초과할 가능성도 있다고 밝혔습니다. 이는 2024년 첫 추정치가 8억 1,300만 달러였다가 이후 상향 조정된 사례와 유사합니다.
최신 뉴스를 확인하려면 X에서 저희를 팔로우하십시오
총 결제액은 비교적 안정적이었지만, 랜섬웨어 활동은 급격히 증가했습니다. eCrime.ch 데이터에 따르면, 2025년 랜섬웨어 피해자 수는 전년 대비 50% 늘어 역대 최고를 기록했습니다. 공격이 급증했음에도 불구하고, 실제 랜섬 지불 비율은 28%로 사상 최저치로 떨어졌습니다.
체이널리시스는 이러한 차이에 대한 여러 가지 원인을 언급했습니다. 사고 대응능력 향상과 더 엄격해진 규제가 결제 빈도를 줄이는 데 기여한 것으로 평가합니다.
또한, 국제적 단속과 세탁 네트워크에 대한 압력도 일부 수익 흐름을 억제했습니다.
“일부 사례에서 암호화 취약점으로 인해 일부 데이터를 무료로 복호화할 수 있었던 볼크로커(VolkLocker)와 같은 악성코드의 등장 사례가 있었습니다. 이는 방어자들의 기술적 검증이 랜섬웨어 변종을 일시적으로 무력화할 수 있다는 점을 보여줍니다.” – 해당 보고서
비트코인, 랜섬웨어 결제 우선 선택…중앙값 급증
총 합산 결제액이 정체된 반면, 중위 랜섬 금액은 2025년에 급격히 증가했습니다. 중위 결제 금액은 3만 7,818달러(2024년)에서 5만 9,556달러(2025년)로 368% 상승했습니다.
체이널리시스 사이버 위협 인텔리전스 책임자 재클린 코벤(Jacqueline Koven)은 비인크립토에 다음과 같이 말했습니다. “중위 결제 금액의 급등은 과거 대규모 조직을 겨냥한 집중적 사냥 방식이 아니라, 일부 비정상적으로 높은 결제 사례들이 반영된 것입니다.”
“랜섬웨어 공격자들은 기회를 보고 움직입니다. 모든 규모의 조직이 여전히 피해받고 있습니다.” – 재클린 코벤, 체이널리시스 사이버 위협 인텔리전스 책임자
코벤 책임자는 비트코인(BTC)이 여전히 랜섬웨어 범죄자의 가장 선호되는 결제 수단이라고도 밝혔습니다. 비트코인은 투명성이 있어 범죄자에게 위험이 따르지만, 국경 제한이 없고 속도가 빠르며, 유동성과 사용 편의성 때문에 선호된다고 설명했습니다.
“비트코인은 여전히 랜섬웨어 결제에 가장 선호되는 방식입니다.” – 재클린 코벤, 체이널리시스 사이버 위협 인텔리전스 책임자
랜섬웨어 확산…초기 접근 브로커에 1400만달러 지급
보고서는 랜섬웨어가 보다 넓은 사이버 범죄 생태계의 지원을 받고 있음을 설명합니다. 여기에는 초기 접근 브로커(IniTIAl Access Broker)와 특화된 서비스 제공업체가 포함됩니다. 이들은 감염된 네트워크에 대한 접근을 제공해 랜섬웨어 배포를 더 쉽게 만듭니다.
체이널리시스는 2025년 초기 접근 브로커가 온체인 결제로 최소 1,400만 달러를 수령했다고 추정합니다. 이 수치는 전년도와 거의 동일합니다. 전체 랜섬웨어 수익에 비하면 작은 규모지만, “핵심적인 지원 역할”을 하고 있음을 보여줍니다.
“모든 초기 접근 브로커 결제가 랜섬웨어 운영자에 의해 이뤄지는 것은 아닙니다. 브로커들은 서로 접근권한을 사고팔기도 하며, 일부 악성 행위자들은 랜섬웨어와 별개의 목표와 전술(TTP)을 가질 수 있습니다. 또 모든 랜섬웨어 사건이 초기 접근 브로커와 연결되는 것은 아니며, 피해 네트워크 접근에는 여러 방법이 존재합니다. 이러한 한계를 염두에 두고 보면 범죄 투자가 이후 랜섬웨어 공격과 연결될 수 있음을 확인할 수 있습니다.” – 체이널리시스
보고서는 추가적으로, 초기 접근 브로커 활동이 선행지표 역할을 할 수 있다고 언급합니다. 온체인 분석에 따르면, 브로커 유입량 급증은 약 30일 후 랜섬웨어 결제와 피해자 정보 유출 증가를 예고합니다.
“초기 접근 브로커 결제 내역은 랜섬웨어 생태계 구조를 잘 보여줍니다. 랜섬웨어 그룹이 분화하고 재브랜딩하는 중에도 브로커 의존성은 꾸준히 유지되고 있습니다. 따라서 브로커 결제와 인프라 결제는 공격 준비 신호로 해석할 수 있습니다.” – 재클린 코벤, 체이널리시스 사이버 위협 인텔리전스 책임자
체이널리시스는 2025년 랜섬웨어 이야기를 수익 수치만으로 이해할 수 없다고 강조했습니다. 전체 온체인 결제액이 소폭 감소했으나, 공격의 규모와 정교함, 전략적 영향력은 계속 확대되었습니다. 글로벌 자동차 제조사부터 지역 의료기관까지 모든 규모의 조직이 운영을 방해받고 신뢰를 잃었으며, 기록된 몸값 지급액을 훨씬 넘는 시스템적 손실이 발생했습니다.
BeinCrypto Korea에서 가장 먼저% %POSTLINK%%
