진화하는 랜섬웨어 위협… ‘ClickFix’ 공격 기법 517% 폭증

전 세계 사이버 보안 위협이 빠르게 진화하는 가운데, 랜섬웨어 공격은 양적으로는 일정 수준에서 정체를 보이면서도 질적으로는 점점 정교해지고 있다. 새로운 보고서에 따르면 2025년 11월 한 달 동안 랜섬웨어 공격 건수는 이전보다 소폭 감소했지만, 공격 기술의 고도화는 여전히 진행 중인 것으로 나타났다.

정보보안 전문 기업 NCC 그룹이 발표한 '사이버 위협 정보 보고서'에 따르면 해당 기간 전 세계적으로 발생한 랜섬웨어 공격은 총 583건으로 확인됐다. 이는 전월 대비 2% 감소한 수치로, 공격 발생 건수 자체는 다소 주춤했지만 기업 입장에서는 대응 부담이 여전한 수준이다. 전체 공격의 57%가 북미 지역에 집중됐고, 유럽(20%), 아시아(12%)가 뒤를 이었다. 업종별로는 산업 부문이 타깃의 4분의 1을 차지하며 가장 많이 공격을 받았고, 이어 소비재 및 정보기술 업종이 주요 표적이 되었다.

특히 큐일린(Qilin) 랜섬웨어 조직은 4개월 연속 활동면에서 가장 활발한 단체로 분류됐다. 전체 사례 중 17%가 이 그룹의 소행으로 파악됐지만, 지난 10월에 비해 다소 줄어든 양상을 보였다. 이는 해당 조직이 한동안 비정상적으로 활발했던 활동에서 다소 물러났기 때문으로 해석된다.

새롭게 주목받는 공격 기법으로는 'ClickFix' 또는 'ClearFake'라 불리는 소셜 엔지니어링 방식이 있다. 이 수법은 사용자가 소소한 기술 문제를 해결하거나 CAPTCHA를 통과하려는 심리를 악용해 악성 명령어를 실행하게 만드는 트릭을 사용한다. 마이크로소프트는 올해 8월 해당 기법의 위험성을 경고한 바 있으며, 보고서에 따르면 2025년 상반기 동안 이 기법의 사용률은 무려 517% 증가했다. 이는 자동화된 보안 체계를 회피하고 인간 심리를 겨냥한 사회공학적 공격이 확대되고 있음을 시사한다.

NCC 그룹의 글로벌 사이버 위협 정보 책임자인 매트 헐(Matt Hull)은 “공격 건수는 다소 안정세를 보이고 있지만, 사이버 범죄 조직들이 공격 도구와 기법을 공유하고 연말 경계심이 느슨해진 틈을 적극적으로 노리고 있어 기업들의 방심은 금물”이라고 경고했다. 그는 이어 “보안 역량을 강화하고, 임직원의 보안 인식 수준을 제고하며, 침해 대응 절차를 미리 점검해두는 것이 현재로서는 가장 효과적인 방어 전략”이라고 강조했다.

결국 비록 공격량은 감소세를 보일 수 있지만, 위협의 복잡성과 파급력은 더욱 커지고 있다. 고도화되는 랜섬웨어 전술에 맞서기 위해서는 기술 중심의 대응을 넘어, 사람 중심의 보안 문화 확산이 병행돼야 한다는 것이 이번 보고서의 핵심 메시지다.