링크복사
공유
댓글
추천
스크랩
인쇄
글자크기

링크가 복사되었습니다.

글자크기

가

작게

가

보통

가

크게

가

매우크게

사회 암호화폐

랜섬웨어 공격은 폭증했지만…몸값 수익 줄어든 ‘수익모델 둔화’

서지우 기자

2026.02.27 (금) 23:34

체이널리시스는 2025년 랜섬웨어 공격이 전년 대비 50% 늘어 약 8000건에 달했지만, 몸값 수취액은 8억2000만달러로 8% 감소했다고 전했다.

규제·단속 강화와 중소기업 표적 확대, 다크웹 접근권 가격 하락으로 진입장벽이 낮아지며 경쟁이 심화돼 수익성이 둔화하고 있다고 분석했다.

랜섬웨어 공격은 폭증했지만…몸값 수익 줄어든 ‘수익모델 둔화’ / TokenPost.ai

최근 랜섬웨어 공격이 ‘양적 폭증’ 국면에 들어섰지만, 해커들이 실제로 챙긴 돈은 오히려 줄어든 것으로 나타났다. 공격은 쉬워지고 경쟁자는 늘어났는데, 규제와 단속이 강화되면서 수익모델은 빠르게 둔화하는 모양새다.

블록체인 분석업체 체이널리시스(Chainalysis)가 공개한 최신 보고서에 따르면 2025년 랜섬웨어 공격 건수는 전년 대비 50% 급증해 연간 약 8000건에 달했다. 사이버 범죄 시장에서 랜섬웨어가 여전히 ‘주요 비즈니스’로 작동하고 있음을 보여주는 수치다. 다만 공격 확산과 별개로, 실제 몸값 수취액은 줄었다는 점이 눈에 띈다.

공격은 50% 늘었는데…몸값 수취액은 8% 감소

체이널리시스는 2025년 랜섬웨어 조직이 받아낸 총 몸값이 8억2000만달러(약 1조1833억원·1달러=1443.50원)로 집계됐다고 밝혔다. 이는 2024년 대비 8% 감소한 규모다. 공격자 입장에서는 ‘더 많이 일했는데 덜 벌었다’는 의미다.

보고서는 이런 감소세의 배경으로 규제 강화와 집행기관의 단속 확대를 꼽았다. 특히 범죄 수익을 세탁하는 데 활용되는 네트워크가 압박을 받으면서, 공격 이후 자금화 과정이 전반적으로 까다로워졌다는 설명이다. 여기에 기업들의 대응 전략도 변하고 있다. 몸값을 내지 않겠다고 버티는 기업이 늘면서, 협박만으로 결제까지 끌어내기가 예전만큼 쉽지 않다는 분석이 나온다.

대기업 ‘문 닫자’ 중소기업 노렸다…하지만 판돈도 작았다

대형 조직들이 지불을 거부하거나 복구 역량을 키우자 공격자들은 상대적으로 ‘쉬운 표적’으로 이동했다. 체이널리시스는 2025년 랜섬웨어 공격이 중소기업과 중견기업으로 더 많이 쏠렸다고 전했다.

스위스 사이버범죄 분석가 코르신 카미셸(Corsin Camichel) eCrime.ch 설립자는 보고서에서 “더 작은 피해자는 더 빨리 지불한다”고 말했다. 협상 기간이 짧고 내부 의사결정이 단순해, 공격자 입장에서는 현금화 속도가 빠르다는 뜻이다.

하지만 액수가 문제다. 중소기업 중심의 ‘다수 타격’ 전략은 건수는 늘릴 수 있어도 한 건당 수익 규모가 제한적이다. 보고서는 공개적으로 주장되는 공격 건수(피해 사실 공표, 유출 협박 게시 등)와 실제 수취된 금액 사이의 격차가 커지고 있다고 지적했다. 공격자들이 과거보다 많은 사건을 ‘성과’로 내세우는 반면, 지갑으로 들어오는 자금은 줄어드는 흐름이 뚜렷하다는 얘기다.

랜섬웨어 ‘진입장벽’ 더 낮아졌다…다크웹 접근권 가격 급락

공격 건수가 급증한 배경에는 랜섬웨어 실행 비용이 빠르게 내려간 구조적 변화가 있다. 보고서에 따르면 다크웹에서 피해자 시스템에 대한 ‘접근권’을 구매하는 평균 가격은 2023년 초 1427달러에서 2026년 초 439달러로 급락했다. ‘침입의 원가’가 떨어지면서 더 많은 공격자가 시장에 유입됐고, 결과적으로 공급 과잉이 수익성을 깎아먹는 양상이다.

여기에 인공지능(AI) 기반 도구와 ‘레디메이드’ 공격 소프트웨어의 범람도 진입장벽을 낮췄다. 전문 해커뿐 아니라 기술력이 상대적으로 낮은 범죄자도 랜섬웨어를 손쉽게 운영할 수 있는 환경이 조성되면서, 같은 피해자 풀을 두고 공격자들끼리 경쟁하는 구도가 심화됐다. 시장 논리로 보면 판매자(공격자)는 늘었는데 구매자(지불 의사·지불 능력이 있는 피해자)는 제한돼 ‘가격(몸값)’이 내려가는 그림이다.

랜섬웨어는 덜 벌어도…2026년 1월 암호화폐 탈취 3.7억달러

랜섬웨어 수익이 감소했다고 해서 암호화폐 범죄 전반이 잦아든 건 아니다. 보안업체 서틱(CertiK)에 따르면 2026년 1월 한 달 동안 각종 해킹·사기·취약점 공격으로 탈취된 암호화폐 규모는 약 3억7030만달러(약 5346억원)에 달했다.

특히 피싱이 피해 대부분을 차지했다. 서틱은 1월 손실 중 약 3억1130만달러(약 4492억원)가 피싱에서 발생했으며, 이 가운데 한 피해자는 소셜엔지니어링(사람의 심리를 이용한 속임수) 사기로 약 2억8400만달러(약 4099억원)를 잃은 것으로 집계했다. 랜섬웨어가 예전만큼 ‘돈이 되는 장사’가 아니게 되더라도, 피싱과 사기 등 다른 축을 통해 암호화폐 범죄가 계속 확장될 수 있음을 시사하는 대목이다.

시장에서는 랜섬웨어 공격 증가가 단순히 보안 이슈를 넘어, 거래소·브리지·지갑 등 암호화폐 생태계 전반의 신뢰와 규제 환경에도 영향을 줄 수 있다는 점에 주목한다. 공격 비용 하락과 도구의 대중화가 맞물린 만큼, 2026년에는 랜섬웨어뿐 아니라 다양한 형태의 암호화폐 기반 범죄가 ‘다발화’할 수 있다는 경고음도 커지고 있다.

랜섬웨어·피싱이 ‘비즈니스’가 된 시대…내 자산을 지키는 유일한 방법은 ‘구조’ 이해

랜섬웨어 공격은 50% 폭증했지만, 해커들의 몸값 수취액은 8% 감소했습니다. 진입장벽은 낮아지고(다크웹 접근권 가격 급락), 경쟁자는 늘었는데, 규제·단속 강화로 ‘현금화’가 더 어려워진 결과입니다.

문제는 랜섬웨어 수익이 줄어도 범죄가 끝나지 않는다는 점입니다. 2026년 1월 한 달에만 암호화폐 탈취가 3.7억달러에 달했고, 피해 대부분은 ‘피싱’과 소셜엔지니어링에서 발생했습니다.

결국 2026년의 핵심은 “무슨 코인을 살까” 이전에, 지갑 보안·온체인 추적·시장 구조를 아는 사람만이 살아남는다는 현실입니다. 토큰포스트 아카데미는 이런 변화된 위협 환경에서 투자자와 사용자 모두가 보안-분석-실전을 단계적으로 갖추도록 설계된 7단계 마스터클래스 커리큘럼을 제공합니다.

Phase 1: The Foundation (기초와 진입) — 랜섬웨어/피싱이 폭증하는 환경에서 가장 먼저 필요한 건 ‘안전한 보관’입니다.

Wallet security (IMPORTANT)⚠️, 지갑 구조, 핫월렛 vs 콜드월렛, 메타마스크 실전까지 “해킹당하지 않는 기본기”를 먼저 다집니다.

Phase 2: The Analyst (가치 평가와 분석) — 범죄자들이 흔적을 남기는 곳도 블록체인입니다.

온체인 분석(Onchain Analysis), 블록체인 익스플로러 활용법, 시장 타이밍 지표(MVRV-Z, NUPL, SOPR 등)로 데이터 기반 판단력을 키웁니다.

Phase 5: The DeFi User (탈중앙화 금융) — 브리지·지갑·디파이까지 공격 표면이 넓어진 만큼, “수익”보다 먼저 “리스크 구조”를 알아야 합니다.

LP/렌딩(LTV·청산), 비영구적 손실(Impermanent Loss) 계산 등, 실전에서 자산을 지키는 디파이 사용법을 다룹니다.

Phase 7: The Macro Master (거시 경제와 시장 사이클) — 규제 강화와 단속 확대가 범죄 수익 모델을 바꾸듯, 매크로 환경은 투자 전략도 바꿉니다.

유동성(Liquidity) 프레임워크와 사이클 관점으로, ‘소음’이 아닌 큰 흐름에서 판단하는 눈을 완성합니다.

혼탁한 시장에서 살아남는 기준은 ‘운’이 아니라 실력입니다.

지금, 토큰포스트 아카데미에서 보안과 분석을 갖춘 투자자로 레벨업하세요.

토큰포스트 아카데미 수강 신청하기

커리큘럼: 기초부터 디파이, 선물옵션까지 7단계 마스터클래스

첫 달 무료 이벤트 진행 중!

바로가기: https://www.tokenpost.kr/membership

기사요약 by TokenPost.ai

🔎 시장 해석

- 2025년 랜섬웨어 공격은 전년 대비 50% 급증(연간 약 8,000건)했지만, 실제 몸값 수취액은 8% 감소(8.2억 달러)해 ‘물량 확대 vs 수익성 악화’ 국면이 확인됨

- 규제·수사 강화로 자금세탁(현금화) 과정이 어려워지며, 공격 성공(침투)과 수익 실현(인출) 간 괴리가 커지는 구조로 전환

- 대기업의 지불 거부·복구 역량 강화로 공격이 중소·중견기업으로 이동했으나, 건당 판돈이 작아 총수익 감소로 연결

- 접근권(초기 침투 경로) 가격 급락과 AI/레디메이드 도구 확산으로 공급(공격자)이 과잉, 랜섬 단가 하락 압력 확대

- 랜섬웨어 수익 둔화와 별개로 암호화폐 범죄는 ‘피싱 중심’으로 확장(2026년 1월 탈취 3.7억 달러)하며 위협이 다변화

💡 전략 포인트

- 기업: ‘지불하지 않는 선택지’를 현실화(오프라인/불변 백업, 복구 리허설, 권한 최소화, EDR·로그 모니터링)해 협상력을 높여야 함

- 중소기업: 표적 이동의 중심에 있으므로 MFA(특히 관리자·메일), 패치/자산관리, 계정 탈취 탐지, 외부 접속(원격) 통제부터 우선순위로 강화

- 투자자/시장참여자: 랜섬웨어보다 피싱·소셜엔지니어링이 더 큰 손실을 유발—거래소/지갑 보안(하드웨어 지갑, 출금 화이트리스트, 시드문구 분리)과 보안 솔루션 수요 증가에 주목

- 규제/거버넌스: 자금세탁 경로 차단이 실질 수익을 떨어뜨리는 만큼, 거래소·브리지·믹서 관련 컴플라이언스 강화가 시장 신뢰에 영향

- 보안예산 관점: ‘침투 단가 하락→공격 다발화’ 환경에서는 대형 사고 1건 대응보다, 다수 시도에 대한 상시 탐지·차단 체계가 ROI가 높아짐

📘 용어정리

- 랜섬웨어(Ransomware): 시스템/파일을 암호화하거나 유출을 협박해 금전을 요구하는 악성 공격

- 접근권(Initial Access): 공격자가 다크웹 등에서 구매하는 ‘침투된 계정/서버/원격접속 경로’ 등 초기 진입 수단

- 자금세탁(현금화): 탈취·수취한 암호화폐를 추적이 어렵게 이동·교환해 최종적으로 사용 가능한 자금으로 바꾸는 과정

- 피싱(Phishing): 가짜 사이트/메시지로 로그인 정보·시드문구 등을 탈취하는 사기

- 소셜엔지니어링: 사람의 심리·신뢰를 이용해 인증정보를 빼내거나 송금을 유도하는 공격

💡 자주 묻는 질문 (FAQ)

2025년엔 랜섬웨어 공격이 50%나 늘었는데, 왜 해커 수익은 줄었나요?

공격 자체는 ‘접근권 가격 하락’과 AI/레디메이드 도구 확산으로 쉬워졌지만, 실제로 돈을 빼내는 현금화 구간에서 규제·수사기관 단속이 강화되며 수익 실현이 어려워졌기 때문입니다. 그 결과 2025년 총 몸값 수취액은 8.2억 달러로 전년 대비 8% 감소했습니다.

왜 랜섬웨어 표적이 대기업에서 중소기업으로 옮겨가고 있나요?

대기업은 백업·복구 역량과 법무/대응 체계가 갖춰져 있어 몸값 지불을 거부하는 비율이 늘었습니다. 공격자 입장에선 협상이 길어지고 실패 가능성이 커지자, 상대적으로 방어가 약하고 의사결정이 빠른 중소·중견기업을 더 많이 노리게 됩니다. 다만 중소기업은 건당 지불액이 작아 전체 수익은 줄어드는 흐름이 나타납니다.

랜섬웨어 말고도 2026년에 특히 조심해야 할 암호화폐 범죄는 무엇인가요?

보고된 수치상 2026년 1월 암호화폐 피해의 큰 비중을 ‘피싱’이 차지했습니다. 랜섬웨어가 덜 수익성이더라도, 계정 탈취·시드문구 탈취 같은 피싱/소셜엔지니어링이 더 큰 금액 피해로 이어질 수 있어 거래소 계정 보안(MFA), 지갑 시드문구 관리, 의심 링크 차단 등 기본 수칙을 강화하는 것이 중요합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.

뉴스를 실시간으로...토큰포스트 텔레그램 가기

언제 사고팔아야 할지 타이밍을 놓치시나요?
실시간 호재/악재 신호로 투자의 방향을 잡아보세요.

멤버십 5일 무료 체험 →

본 기사는 시장 데이터 및 차트 분석을 바탕으로 작성되었으며, 특정 종목에 대한 투자 권유가 아닙니다.

광고문의 기사제보 보도자료

#랜섬웨어 #사이버보안 #체이널리시스 #암호화폐범죄 #피싱 #다크웹 #규제단속