2026년 5월 랜섬웨어 동향 보고서
목적 및 범위
2026년 5월 한 달 동안 수집된 신규 랜섬웨어 샘플 수량, 피해 시스템 수량, 피해 업체 통계와 국내외 주요 랜섬웨어 이슈를 정리한 보고서이다. 샘플과 피해 시스템 통계는 안랩 진단명을 기준으로, 피해 업체 통계는 랜섬웨어 그룹의 DLS(Dedicated Leaks Sites, 랜섬웨어 PR 사이트 또는 PR 페이지) 공개 정보를 ATIP(AhnLab Threat Intelligence Platform) 인프라에서 수집한 시간을 기준으로 집계하였다.
주요 통계
2026년 5월 피해 산업군은 제조업이 가장 높은 비중을 차지했다. 정보통신업, 도매 및 유통업, 보건 및 사회복지 서비스업, 전문·과학 및 기술 서비스업에서도 피해가 확인되었다. 국가별로는 미국(us)이 가장 많았고, 멕시코(mx), 캐나다(ca), 독일(de), 영국(gb), 프랑스(fr), 키프로스(cy), 스페인(es), 이집트(eg), 이탈리아(it) 순으로 피해가 확인되었다.
Top10 그룹 기준으로 Qilin이 104건으로 1위를 유지했다. Silent는 99건으로 2위에 새로 진입했고, DragonForce는 54건, Chaos는 39건을 기록했다. Safepay와 Inc_Ransom은 각각 30건, Kairos와 Nova는 각각 27건, EVEREST는 26건, NightSpire는 19건이었다. 전반적으로 기존 주요 그룹의 활동과 신규 또는 급성장 그룹의 부상이 함께 나타났다.
랜섬웨어 DLS 및 탐지 통계에서는 최근 3년간 DLS 피해 건수와 탐지 건수가 서로 비슷한 흐름을 보였고, 최근 한 달간은 두 지표가 함께 상승하는 양상이 나타났다. 2023년 8월 이후 탐지 수량 하락은 Magniber 배포 중단과 관련된 것으로 설명되었다.
주요 이슈
2026년 5월에는 The Gentlemen, Nova, Coinbase Cartel, DragonForce, SafePay, Akira, Qilin, Nitrogen, Everest, Titan, RansomHouse, Kill Security 3.0, Payload, Space Bears, BravoX, INC Ransom, FulcrumSec 등 기존 그룹의 활동이 이어졌고, Mortar, Leak Bazaar, ICARUS, PayDay 같은 신규 그룹도 등장했다.
The Gentlemen은 다국가 대상을 상대로 집중 공격을 전개했고, Black Basta 전술을 기반으로 한 RaaS(Ransomware as a Service) 생태계의 주요 그룹으로 분석되었다. EtherRAT, TukTuk 악성코드 감염 이후 랜섬웨어를 배포하는 다단계 공격 체인이 확인되었으며, 내부 유출 자료로 공격 방식과 인프라 일부가 노출되었다.
Nova는 한국의 대구대학교 AI학과와 URG Co. Ltd.를 대상으로 한 공격을 주장했고, DLS에 AI 에이전트 기능이 추가된 정황이 확인되었다. Coinbase Cartel은 한국, 미국, 슬로베니아 소재 기업을 포함한 복수 국가 공격을 주장했다. DragonForce는 BreachForums와의 RaaS 파트너십 발표가 확인되었다. SafePay와 Akira도 아시아, 유럽, 북미 전반에서 공격을 이어갔다.
Qilin은 동아프리카 지역 물류 기업을 장기 침투 후 암호화한 정황이 분석되었고, RDP(Remote Desktop Protocol) 인증 이력 조회를 통한 정찰이 확인되었다. Nitrogen은 Hon Hai Precision Industry Co. Ltd.(Foxconn)을, Everest는 Sidra Kuwait Hospital과 Liberty Mutual Insurance를, RansomHouse는 Trellix를, INC Ransom은 Silergy Corp.를, Space Bears는 Johnson & Johnson Innovative Medicine을 표적으로 삼았다.
새로운 위협으로는 Gunra의 허위 피해자(Phantom Victim) 게시 사례가 확인되었고, Sorry 랜섬웨어의 cPanel 인증 우회 취약점 CVE-2026-41940 악용 정황이 관측되었다. BLACKNET-00 랜섬웨어 빌더의 공개 유통도 확인되었다.
결론
2026년 5월 랜섬웨어 위협은 기존 대형 그룹의 지속적 공격과 신규 그룹의 연속적 등장, 그리고 DLS 기반 협박과 데이터 탈취형 공격의 확대로 요약된다. 제조업과 정보통신업, 북미와 유럽 주요 국가, 그리고 한국과 일본을 포함한 아시아 지역이 주요 표적이었으며, 조직은 신속한 취약점 패치, 네트워크 세그먼트화, 백업 체계 강화, 위협 인텔리전스 기반 대응을 강화할 필요가 있다.
