2025년 한국 기업 대상 랜섬웨어 피해 현황 보고서
개요 및 배경
최근 몇 년간 랜섬웨어 공격이 전 세계적으로 증가하는 가운데, 한국 기업들의 피해 사례도 증가세를 보이고 있다. 특히 2023년을 기점으로 아시아 지역에 대한 랜섬웨어 피해가 급증하면서, 이러한 증가 추세와 피해 현황을 체계적으로 분석할 필요성이 대두되었다.
본 보고서는 랜섬웨어 그룹들의 DLS(Dedicated Leak Sites)에 게시된 정보를 기반으로 작성되었다. 분석에 활용된 데이터는 공격 발생 날짜, DLS 게시 제목, 랜섬웨어 그룹명, 피해 기업명, 산업군 대분류로 구성되어 있다. 이러한 데이터를 바탕으로 2024년 11월부터 2025년 10월까지 발생한 한국 기업 대상 랜섬웨어 공격의 시기별 추이와 산업군별 피해 현황을 중점적으로 분석했다.
본 분석은 국내 기업의 범위를 국내 대기업의 해외 법인까지 포함하는 포괄적인 관점에서 접근했다. 이는 글로벌 비즈니스 환경에서 해외 법인의 피해가 모기업의 전반적인 비즈니스 연속성과 직결된다는 점을 고려한 것이다.
분석 대상 데이터 개요
본 분석에 사용된 데이터는 주요 랜섬웨어 그룹들이 운영하는 데이터 유출 사이트인 DLS를 통해 수집되었다. 분석 대상은 2024년 11월부터 2025년 10월까지 DLS와 언론 및 미디어를 통해 수집된 총 60건의 공격 사례이며, 각 사례별로 공격 발생 일자, 피해 기업명, 랜섬웨어 그룹명, 산업 분류 등의 정보를 포함한다.
데이터 수집 과정에서 다음과 같은 기준을 적용했다. 첫째, 국내 기업의 범위는 국내에 본사를 둔 기업의 해외 법인을 포함하도록 설정했다. 이는 해외 법인이 본사와 긴밀하게 연계되어 있고, 이들에 대한 공격이 실질적으로 국내 기업의 피해로 이어진다는 판단에 근거한다. 둘째, 공격 발생 시점은 DLS에 최초 게시된 날짜를 기준으로 했다. 셋째, 산업군은 한국표준산업분류(KSIC)의 대분류를 기준으로 구분했다.
다만, 본 데이터셋은 다음과 같은 한계점을 가진다. 첫째, 소규모 그룹의 공격이나 몸값 지불로 피해 사실이 외부에 알려지지 않은 사례는 분석에서 제외되었다. 둘째, 일부 공격의 경우 피해 기업이 언론에 노출 등 자발적으로 공개한 정보를 통해 확인되었으나, 세부 피해 규모나 구체적인 공격 방식 등은 파악하기 어려웠다. 특히 공격의 책임을 주장한 랜섬웨어 그룹이 외부에 알려지지 않은 경우 “알 수 없음”으로 표기했다. 셋째, 동일 기업에 대한 복수의 공격이 발생한 경우, 각각을 독립적인 사례로 처리했다.
이러한 한계에도 불구하고, 수집된 데이터는 한국 기업들에 대한 랜섬웨어 공격의 전반적인 추세와 발생 현황을 파악하는 데 통찰을 제공한다. 특히 시기별 공격 건수 변화, 산업별 피해 분포, 피해 기업의 특성 등을 분석하는 데 유의미한 기초 자료로 활용될 수 있다.
국내 랜섬웨어 피해 현황 및 분석
1) 피해 현황 분석
(1) 연도별 피해 건수 추이
대한민국 기업을 대상으로 한 랜섬웨어 침해는 2021년부터 2025년까지 뚜렷한 증가세를 보였다. 2021년에는 랜섬웨어 그룹 LockBit의 단 1건의 공격만이 확인되었으나, 이는 대한민국 기업을 대상으로 한 본격적인 랜섬웨어 공격의 시발점이 되었다. 2022년에는 랜섬웨어 그룹 Snatch, Hive, Cuba에 의한 3건의 공격이 발생하며 약간의 증가세를 보였다.
2023년에 들어서면서 공격 양상이 급격히 변화했다. 총 17건의 공격이 발생했다. RA World, ALPHV(BlackCat), BianLian, Akira 등 다양한 랜섬웨어 그룹들에 의한 피해가 확인되었다. 2024년 또한 RansomHub, Underground, LockBit, Black Basta, Space Bears 등 다양한 랜섬웨어 그룹에 의해 총 16건의 공격이 발생한 것으로 집계되어 예년과 동일한 추세를 유지했다.
2025년은 10월 31일까지 총 56건의 공격이 집계되며 최근 5년 중 가장 많은 공격 건수를 기록했다. 올해는 Qilin, Gunra, Black Shrantac과 같은 랜섬웨어 그룹이 집중적인 공격을 가했으며, 그 외 RansomHouse, Black Nevas, INCRansom 등 다양한 랜섬웨어 그룹 또한 공격을 수행했다.
[그림1] 연도별 랜섬웨어 피해 건수
(2) 월별 피해 건수 현황
대한민국을 대상으로 한 랜섬웨어 공격은 2021년부터 2022년까지 연간 1회에서 3회 사이로 발생했다. 그러나 2023년부터 매달 1회에서 3회 사이의 랜섬웨어 피해가 발생하며 공격의 밀도가 크게 높아졌다. 2023년 이전 LockBit, Hive, ALPHV(BlackCat) 등 주요 랜섬웨어 그룹들이 LE(Law Enforcement)에 쫓기거나 와해되는 등 활동이 어려워지자, 상대적으로 국제 사법 공조를 통한 수사가 이루어지기 어려운 아시아를 대상으로 공격을 수행하기 시작했다. 이와 같은 경향은 대한민국을 대상으로 한 랜섬웨어 공격 또한 증가하는 결과로 이어졌다. 2023년 이후로는 특정 랜섬웨어 그룹의 집중적인 공격 대상이 될 경우 3회에서 5회, 또는 이를 초과하는 피해가 발생한 것이 확인되었다.
[그림2] 월별 랜섬웨어 피해 히트맵
(3) 신규 랜섬웨어 그룹 등장 현황
[그림3] 2024년 / 2025년 10월, 월별 등장한 신규 랜섬웨어 그룹의 수
2025년 1월 1일부터 2025년 10월 31일까지 새로운 랜섬웨어 그룹이 총 53개 등장한 것으로 파악됐다. 특히 3월과 5월을 기점으로 랜섬웨어 그룹이 다수 등장한 것으로 보인다. 이는 2024년 폭발적인 활동을 보였던 RansomHub 랜섬웨어 그룹이 2025년 3월 운영 중단 이후, 기존 제휴사들이 흩어지고 일부는 독립적인 랜섬웨어 그룹으로 변모한 영향으로 분석된다. 참고로 2024년 1월부터 10월까지 등장한 랜섬웨어 그룹의 수는 38개였으나, 2025년 동일 기간에는 53개로 예년보다 15개 많은 그룹이 나타난 것으로 확인됐다.
