다크웹

2025년 6월 딥웹 & 다크웹 동향보고서

  • 7월 08 2025
2025년 6월 딥웹 & 다크웹 동향보고서

알림

 

2025년 6월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Data Breach, DarkWeb, CyberAttack, Threat Actor 내용으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.

 

 

주요 이슈
 

 

1)     Ransomware

 

 

(1) 개요
 

 

2025년 6월, 랜섬웨어 생태계는 Qilin의 압도적 활동량과 고가치 타깃 집중 공격이라는 새로운 패턴을 보였다. 주요 이슈 분석 결과 Qilin이 다른 모든 그룹을 압도하며 가장 많은 피해자를 게시하여 최상위 그룹으로 확고히 자리잡았다. 이는 RansomHub의 활동 중단 이후 대규모 계열사 이동과 함께 새로운 공격 전술을 도입한 결과로 분석된다.

 

특히 주목할 만한 변화는 정부기관에 대한 공격이 급증한 것이다. 미국 지방정부, 콜롬비아·아랍에미리트·프랑스 정부기관이 연이어 공격받았으며, 이는 단순한 금전적 동기를 넘어선 정치적·전략적 의도를 시사한다. 또한 D*** Paris, T***aster 같은 글로벌 브랜드 기업들을 노리는 새로운 타깃팅 전략이 등장했다.

 

신규 랜섬웨어 그룹의 급증도 두드러졌다. Team XXX, Warlock, Global, W.A., Kawa4096 등 다수의 새로운 그룹이 등장하여 RaaS 시장의 급격한 재편을 보여주었다. 가장 충격적인 변화는 친이란 핵티비스트 APTiran이 이스라엘 핵심 인프라를 대상으로 랜섬웨어 공격을 감행한 것으로, 지정학적 동기와 랜섬웨어가 결합된 완전히 새로운 위협 양상이 등장했다. 전체적으로 랜섬웨어 공격은 기존의 금전적 동기에서 정치적·전략적 목적까지 확장되는 다각화 추세를 보이고 있다.
 

 

(2) 주요 랜섬웨어 그룹 동향
 

 

  • Qilin

6월 가장 활발한 활동을 보인 그룹으로, 주요 이슈에서 압도적인 활동량을 기록하며 다른 모든 랜섬웨어 그룹들을 압도했다. 특히 다양한 고가치 타깃을 체계적으로 공격하는 정교한 전략을 보여주었다. 스페인 자치도시 M***, 미국 의료기관 C*** Health, 미국·영국·일본 소재 다국적 기업들, 미국 자동차 부품 제조기업 G*** Engineering Inc., 싱가포르 오일필드 장비 제조업체 R*** Engineering Pte Ltd, 미국 시 정부 B*** City 등을 연이어 공격했다. 정부기관, 의료기관, 제조업, 에너지 분야를 가리지 않는 전방위 공격 패턴이 특징적이며, 이는 RansomHub 계열사들의 대규모 이동으로 인한 역량 강화의 결과로 분석된다.

 

 

  • Akira

 

지속적이고 체계적인 활동을 보이며 고가치 제조업체와 에너지 기업을 집중 표적화했다. 일본 대형 의류 체인 H*** Holdings, 미국 석유가스 기업 M*** Corporation, 독일 제조기업 S***, 스위스 금융서비스 기업 A*** Financial, 미국 자동차 조명 제조기업 N*** Lighting을 공격했다. 글로벌 공급망의 핵심 기업들을 노리는 전략적 접근이 두드러지며, 특히 제조업 분야에서의 공격 역량이 강화되고 있다.

 

 

  • Lynx

 

통신보험 전문기업과 석유화학 대기업을 표적화하며 특화된 공격 패턴을 보였다. 미국 통신보험 전문기업 T*** Group, 태국 석유화학 기업 S*** Co. Ltd., 칠레 국립종합대학 University of Chile를 공격했다. 특히 에너지 인프라와 교육기관에 대한 공격이 증가하는 추세를 보이고 있다.

 

 

  • Gunra

 

정부기관과 의료기관을 우선 표적화하는 명확한 전략을 보였다. 콜롬비아 정부기관 J*** Policial, 아랍에미리트 병원 A*** Hospital Dubai를 공격하여 중남미와 중동 지역의 핵심 인프라를 노리는 지역적 확장을 시도하고 있다.

 

 

  • 기타 주요 그룹들

 

RHYSIDA는 독일 개발협력 단체 W***와 중국 에너지 기업 C*** 미국법인을 공격하여 비영리 부문과 에너지 분야로 확장했다. Anubis는 프랑스 테마파크 운영기업 D*** Paris를 공격하여 글로벌 브랜드 타깃팅 전략을 보여주었다. Arkana는 미국 글로벌 티켓 유통기업 T***aster를 공격하여 엔터테인먼트 산업의 핵심 인프라를 노리는 새로운 패턴을 시연했다.

 

 

  • 신규 그룹들

 

Kawa4096는 Akira와 유사한 DLS 디자인을 채택하며 등장했고, Team XXX, Warlock, Global, W.A. 등이 연이어 등장하여 RaaS 시장의 급격한 재편을 보여주었다. 특히 이들 신규 그룹들은 기존 그룹들의 인력과 기술을 흡수하여 빠른 성장을 추진하고 있으며, RansomHub 공백을 메우려는 적극적인 움직임을 보이고 있다.

 

 

(3) 산업별 피해 동향
 

 

  • 정부 및 공공기관 분야

 

6월 가장 두드러진 변화는 정부기관에 대한 공격 급증이다. 미국 지방정부 기관인 T*** County, W*** County NY, City of M***가 연이어 공격받았으며, 콜롬비아 정부기관 J*** Policial, 아랍에미리트 정부기관 A*** Government Portal, 프랑스 교육부 Ministry of National E***이 피해를 입었다. 이러한 정부기관 집중 공격은 단순한 금전적 동기를 넘어선 정치적·전략적 의도를 시사하며, 공공 서비스 중단을 통한 사회적 압박을 가하는 새로운 전술로 분석된다.

 

 

  • 제조업 분야

 

일본 의류 제조업체 H*** Holdings, 미국 석유가스 탐사업체 M*** Corporation, 독일 제조기업 S***, 미국 자동차 부품 제조기업 G*** Engineering Inc., 미국 자동차 조명 제조기업 N*** Lighting, 싱가포르 오일필드 장비 제조업체 등이 공격받았다. 글로벌 공급망의 핵심 기업들을 노리는 전략적 접근이 지속되고 있으며, 특히 자동차 관련 제조업체들의 피해가 집중되어 공급망 교란 효과를 노리는 것으로 분석된다.

 

 

  • 의료 및 헬스케어 부문

 

미국 의료기관 M*** Medical Center와 Covenant Health, 아랍에미리트 병원 A*** Hospital Dubai가 공격받았다. 환자 치료에 직접적인 영향을 미치는 생명 관련 인프라에 대한 공격이 지속되고 있어, 의료 서비스 연속성과 환자 안전에 대한 심각한 우려가 제기되고 있다.

 

 

  • 고가치 브랜드 기업

 

Di*** Paris와 T***aster 같은 글로벌 브랜드 기업들을 노리는 새로운 타깃팅 전략이 등장했다. 이들 기업은 브랜드 가치가 높고 고객 기반이 광범위하여 몸값 지급 압박과 브랜드 이미지 손상이라는 이중 효과를 노리는 것으로 분석된다. 특히 엔터테인먼트 산업의 핵심 인프라를 표적화함으로써 대중에게 미치는 영향력을 극대화하려는 의도가 엿보인다.

 

Tags:
Previous Post

Next Post