고정 헤더 영역
상세 컨텐츠
본문
안녕하세요! 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
이 보고서는 2026년 1분기 랜섬웨어 동향 보고서로, 자사 백신 프로그램 '알약'의 랜섬웨어 행위기반 차단 통계와 함께 국내외 주요 랜섬웨어 그룹의 활동 동향을 정리하였습니다.
1주요 랜섬웨어 동향
ESRC에서 선정한 2026년 1분기 주요 랜섬웨어 동향입니다.
국내 기업 피해 2배 증가 — 해외 그룹의 한국 타깃 확대
2026년 1분기 동안 국내에서 확인된 랜섬웨어 피해는 총 17건으로, 전년 동기 대비 약 2배 증가한 수치입니다. 피해 산업군은 제조/의료/금융 등 핵심 인프라에 집중되었으며, Qilin 등 해외 주요 그룹이 한국 기업을 의도적으로 타깃에 포함시키고 있는 정황이 뚜렷이 확인됩니다.
국내 대표 피해 사례로는 2026년 1월 교원그룹(Kyowon Group) 공격이 있습니다. 1월 10일 내부 시스템에서 비정상 징후가 감지되어 KISA/개인정보보호위원회에 신고되었으며, 가상 서버 약 600대가 감염 영향권에 들고 서비스 이용자 약 960만 명이 영향을 받은 것으로 추산됩니다. 데이터 유출 정황이 확인되었으나, 현재까지 구체적인 공격 그룹은 공식 확인되지 않았습니다. 이 사건은 교육/생활 서비스 분야라는 비전통적 타깃에 대한 공격이 확대되고 있음을 보여주는 대표적 사례입니다.
국내 기업의 피해가 증가하는 원인으로는
① RaaS 모델 확산으로 공격자 진입 장벽이 낮아진 점
② 제조/의료 등 핵심 산업의 OT/IT 융합 환경이 새로운 공격 벡터를 제공하는 점
③ 한국 기업의 글로벌 공급망 참여 확대로 인한 간접 공격 노출 증가 등을 들 수 있습니다.
국내 기업들은 랜섬웨어를 단순한 해외 이슈가 아닌 현실적인 위협으로 인식하고 대응 체계를 점검해야 합니다.
Qilin 랜섬웨어 그룹의 압도적 활동 확대
2026년 1분기, 랜섬웨어 그룹 중 단연 가장 활발한 활동을 보인 것은 Qilin입니다. Qilin은 1분기 동안 전체 피해 1,704건 중 289건(전체의 17%)을 단독으로 차지하며 2위 그룹(Akira, 154건)과 두 배 가까운 격차를 벌렸습니다.
Qilin의 주요 타깃은 의료/IT/제조업으로, 특정 산업에 국한되지 않는 전방위적인 공격 패턴을 보였습니다. 특히 1분기 초반부터 꾸준히 월 90건 이상의 피해를 유지하며 연중 내내 활동이 지속될 것으로 전망됩니다.
Qilin은 2025년 5월 미국 대형 의료기관인 Covenant Health를 침해하여 환자 47.8만 명의 개인/의료정보를 탈취했으며, 2025년 12월 31일 피해 통보가 시작되어 1분기 초에 그 규모가 공개되었습니다. Qilin 그룹은 RaaS(Ransomware-as-a-Service) 모델로 운영되어, 다수의 협력 공격자(Affiliate)가 참여함으로써 빠른 피해 확산이 가능한 구조를 갖추고 있습니다.
의료 인프라를 겨냥한 대형 공격
2026년 1분기 산업군별 피해 분포에서 의료/헬스케어 분야가 119건으로 1위를 차지했습니다. 이는 분류된 피해 건수의 약 16.3%에 해당하며, IT/제조업 등을 제치고 가장 집중 공격을 받은 분야입니다.
의료 분야 피해가 특히 심각한 이유는 시스템 가용성이 환자의 생명과 직결되기 때문입니다. 공격자들은 이 점을 역이용하여 빠른 몸값 지불을 유도합니다.
1분기 의료 분야 주요 피해 사례를 정리하면 다음과 같습니다.
| 피해 기관 | 공격 그룹 | 피해 내용 |
|---|---|---|
| Covenant Health 미국 대형 병원 |
Qilin | 환자 47.8만 명 개인/의료정보 유출, 병원 운영 마비 |
| Stryker Corporation 글로벌 의료기기 |
Handala | 79개국 배포 의료기기/직원 단말 최대 약 20만 대 원격 삭제(추정), 내부 데이터 탈취, 일부 수술 지연 발생 |
두 사건 모두 단순한 데이터 탈취를 넘어 실제 의료 서비스 중단으로 이어졌다는 점에서 공중 보건 위협으로 분류됩니다. 의료기기/EMR 시스템 등 의료 IT 인프라 전반에 걸친 보안 강화가 시급한 상황입니다.
와이퍼(Wiper) 결합 랜섬웨어 공격의 등장
이번 분기 가장 주목해야 할 기술적 변화는 랜섬웨어와 와이퍼(Wiper) 기능의 결합입니다. 기존 랜섬웨어가 데이터를 암호화한 뒤 복호화 키를 대가로 금전을 요구하는 방식이었다면, 와이퍼 결합 공격은 데이터를 복구 불가능하게 영구 삭제하면서 동시에 금전을 요구하거나, 아예 금전 요구 없이 피해 조직의 인프라 파괴 자체를 목적으로 삼는다는 점에서 성격이 다릅니다.
2026년 3월 11일, 이란 연계 그룹 Handala는 글로벌 의료기기 기업 Stryker Corporation을 공격하여 Microsoft Intune 관리자 계정을 탈취한 뒤 79개국에 배포된 직원 단말 및 의료기기 최대 약 20만 대에 원격 삭제 명령을 실행했습니다. Stryker는 랜섬웨어나 악성코드 감염 징후는 없다고 밝혔으며, 이 공격은 금전 갈취 없이 이란-이스라엘 지정학적 갈등에서 비롯된 사이버 보복 성격의 순수 파괴형 공격으로 분석됩니다.
이처럼 지정학적 동기가 결합된 파괴형 공격은 단순 백업 복구만으로는 대응이 불가능하며, 네트워크 세분화(Network Segmentation), 원격 접근 제어, 기기 무결성 검증 등 다층적 방어 체계 구축이 필수적입니다. 와이퍼 결합 공격은 2026년에도 지속적으로 증가할 것으로 전망됩니다.
신흥 랜섬웨어 그룹의 급부상 — DragonForce / Nightspire / LockBit5
이번 분기에는 기존 대형 그룹 외에도 여러 신흥/중견 그룹의 활동이 3월을 기점으로 급격히 확대되었습니다. 특히 주목해야 할 그룹은 DragonForce, Nightspire, LockBit5 세 그룹입니다.
| 그룹명 | 1월 | 2월 | 3월 | 특징 |
|---|---|---|---|---|
| DragonForce | 9건 | 21건 | 42건 | 3월에만 1월 대비 4.7배 급증. 제조/유통 집중 공격 |
| Nightspire | 16건 | 22건 | 39건 | 꾸준한 증가세, 미국/유럽 중소기업 주요 타깃 |
| LockBit5 | 7건 | 24건 | 33건 | Operation Cronos 이후 복귀, 빠른 세력 회복 |
반면 2월에 71건으로 피크를 찍었던 0apt는 3월에 0건으로 급격히 위축되었으며, Clop 역시 1월 54건에서 3월 2건으로 크게 줄었습니다. 이는 국제 수사기관의 인프라 차단 또는 해당 그룹의 전략 변경으로 분석됩니다.
특히 LockBit5는 기존 분산형 Tor 인프라에 P2P 암호화 통신을 추가 도입하고, 암호화 완료 후 무작위 생성된 확장자를 사용하여 탐지를 어렵게 만드는 방식으로 진화하였습니다. 또한 2025년 9월 DragonForce가 러시아어 언더그라운드 포럼을 통해 공개 선언한 LockBit/Qilin/DragonForce 간 전략적 동맹에 따라, 세 그룹이 인프라를 공유하고 혼합된 전술을 사용하는 분산형 랜섬웨어 공급망 구조로 진화하고 있다는 점도 주목해야 합니다. 이러한 연합 구조는 특정 그룹이 수사 기관의 타격을 받더라도 전체 공격 역량이 유지되는 높은 회복 탄력성을 제공합니다.
2랜섬웨어 그룹 동향
다음은 ESRC에서 집계한 2026년 1분기 글로벌 랜섬웨어 피해 통계입니다.
이번 분기에는 전 세계에서 총 73개 그룹이 활동하며 2,565건의 피해가 확인되었습니다.
그룹별·국가별·산업군별 분포를 통해 공격 트렌드를 파악합니다.
랜섬웨어 그룹별 공격 현황 (2026 Q1)
Qilin이 391건(전체의 15.2%)으로 1분기 최다 공격 그룹에 올랐으며, 2위 Akira(200건)와 약 2배의 격차를 벌렸습니다. 상위 10개 그룹이 전체 공격 2,565건 중 1,513건(59%)을 차지하여, 소수 핵심 그룹에 의한 공격 집중 현상이 뚜렷합니다. Play·Nightspire·Clop·DragonForce 등 중견 그룹들도 100건 이상의 피해를 기록하며 세력을 확장하고 있습니다.
단위: 건 | 2026년 1~3월 집계 (전체 73개 그룹 중 상위 10)
피해 국가 Top 10
산업군별 피해건수 Top 10
국내 공격 현황 (2026 Q1)
2026년 1분기 국내(대한민국)에서 확인된 랜섬웨어 피해는 총 17건으로, 전 세계 피해 2,565건의 약 0.7%에 해당합니다. 12개의 서로 다른 그룹이 국내 기업·기관을 타깃으로 삼아 공격을 감행하였으며, 특정 그룹에 의한 집중 공격보다는 다수 그룹의 분산 공격 양상이 두드러집니다.
그룹별로는 Qilin이 4건(23.5%)으로 국내에서도 가장 활발한 활동을 보였으며, Beast가 3건(17.6%)으로 뒤를 이었습니다. 나머지 10개 그룹은 각 1건씩 피해를 기록하여, 국내 타깃 공격에 다양한 위협 행위자가 참여하고 있음을 보여줍니다. 제조업(7건)이 가장 많았으며, 의료·헬스케어(3건), IT/기술(3건), 비즈니스서비스(2건), 통신·방송/미디어 각 1건 순으로 확인되었습니다.
국내 피해 공격 그룹별 건수
단위: 건 | 2026년 1~3월 국내 피해 집계
산업군별로는 제조업이 7건(41.2%)으로 가장 많았으며, 의료·헬스케어·IT/기술 각 3건, 비즈니스서비스 2건, 통신·방송/미디어 각 1건 순입니다.
국내 피해 산업군별 건수
3알약 랜섬웨어 행위기반 차단 통계
2026년 1분기 자사 백신 프로그램 '알약'에 탑재되어 있는 '랜섬웨어 행위기반 사전 차단' 기능을 통해 총 64,749건의 랜섬웨어 공격을 차단했으며, 이를 일간 기준으로 환산하면 일 평균 약 719건의 랜섬웨어 공격을 차단한 것으로 볼 수 있습니다.
이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신 프로그램의 '랜섬웨어 행위기반 사전 차단 기능'을 통해 차단된 공격만을 집계한 결과입니다.
| 월 | 차단 건수 | 전월 대비 |
|---|---|---|
| 1월 | 19,856건 | ▼ 4.6% |
| 2월 | 17,515건 | ▼ 11.8% |
| 3월 | 27,378건 | ▲ 56.3% |
42026년 1분기 랜섬웨어 대응 권고사항
랜섬웨어 공격 조직들은 단일 그룹 형태를 넘어 전략적 동맹과 RaaS 공급망으로 진화하고 있으며, 와이퍼 결합/지정학적 동기 등 새로운 형태의 공격이 등장하고 있습니다. 특히 의료/공공 등 사회 핵심 인프라를 겨냥한 공격이 증가하면서 피해의 파급력이 한층 커지고 있습니다. 이에 보안담당자 여러분께서는 아래 조치를 통해 진화하는 랜섬웨어 위협에 대한 대비를 강화하시기 바랍니다.
- 오프라인 백업 체계 구축: 네트워크와 분리된 오프라인 백업을 주기적으로 수행하고, 와이퍼 공격에 대비한 복구 절차를 사전에 수립합니다.
- 취약한 드라이버 관리 강화: BYOVD 공격에 악용되는 서명된 취약 드라이버 목록을 모니터링하고, Microsoft의 취약 드라이버 차단 목록(WDAC)을 최신 상태로 유지합니다.
- 클라우드 접근 권한 최소화: AWS/Azure 등 클라우드 액세스 키를 정기적으로 교체하고, 불필요한 권한을 제거하여 SSE-C 등 고객 관리형 키 악용을 예방합니다.
- 의료/OT 환경 네트워크 분리: 의료기기/산업제어 시스템을 일반 업무망과 분리하여 랜섬웨어 횡이동(Lateral Movement)을 차단합니다.
- EDR/행위 기반 탐지 솔루션 운영: 시그니처 기반 탐지를 넘어 행위 기반 탐지가 가능한 보안 솔루션을 도입하고 실시간 모니터링 체계를 유지합니다.
- 임직원 보안 인식 교육: 피싱/스피어피싱 이메일을 통한 초기 침투 사례가 여전히 높습니다. 정기적인 모의 훈련으로 대응 역량을 강화합니다.
'전문가 기고' 카테고리의 다른 글
| 2025년 4분기 알약 랜섬웨어 행위기반 차단 건수 총 59,162건! (0) | 2026.01.15 |
|---|---|
| 2025년 보안 위협 회고 및 2026년 보안 위협 전망 (0) | 2025.12.22 |
| 2025년 3분기 알약 랜섬웨어 행위기반 차단 건수 총 58,466건! (0) | 2025.10.20 |
| 2025년 2분기 알약 랜섬웨어 행위기반 차단 건수 총 58,575건! (3) | 2025.08.05 |
| 2025년 1분기 알약 랜섬웨어 행위기반 차단 건수 총 63,909건! (0) | 2025.04.14 |
댓글 영역