펜타시큐리티 > In the News > 랜섬웨어의 진화: 다중 탈취 랜섬웨어 공격과 데이터 보안

랜섬웨어의 진화: 다중 탈취 랜섬웨어 공격과 데이터 보안

2026-04-15 In the News
디아모(D.AMO)_다중 탈취 랜섬웨어 공격과 데이터 보안

디아모(D.AMO)_다중 탈취 랜섬웨어 공격과 데이터 보안

랜섬웨어 공격과 데이터 보안

산업 전반에 걸친 랜섬웨어의 실제 피해

2026년 2월, 미시시피 의과대학병원(UMMC)이 랜섬웨어 공격의 피해를 입었다. 이 사고로 35개 클리닉과 200여 개 원격진료 사이트에 걸쳐 운영되던 Epic 전자의무기록 시스템이 전면 중단됐으며, 항암치료 예약이 취소되고 비응급 수술이 연기됐다. 의료진은 종이 기반 업무 방식으로 회귀할 수밖에 없었고, 수많은 환자들이 그 피해를 고스란히 감내해야 했다.

UMMC는 단발적인 사례가 아니다. 최근 데이터에 따르면, 2025년 미국 의료기관의 93%가 최소 한 건 이상의 사이버 공격을 경험했으며, 응답자의 72%는 최소 한 건의 사고가 실제 환자 치료에 직접적인 차질을 야기했다고 답했다. 제조업과 금융 분야도 예외가 아니다. 2026년 2월, 결제 처리 네트워크 브릿지페이(BridgePay)가 랜섬웨어 공격을 받아 API, 가상 단말기, 결제 페이지가 전면 중단됐다. 전 산업군을 통틀어 공개된 랜섬웨어 공격 건수는 2025년 기준 전년 대비 49% 급증해, 확인된 사례만 1,174건에 달했다.

병원이 치료를 멈추고, 금융기관이 거래를 동결하며, 제조업체가 생산 라인을 중단하는 상황이 이어지면서, 랜섬웨어는 실질적인 운영 피해를 수반하는 직접적인 비즈니스 리스크로 자리잡았다.

 

랜섬웨어의 진화: 이중 협박

초기 랜섬웨어는 단순한 구조로 작동했다. 시스템에 침투해 파일을 암호화한 뒤, 복호화 키를 대가로 금전을 요구하는 방식이었다. 조직들이 몸값을 지불하는 대신 백업 복구로 대응하기 시작하자, 공격자들은 더욱 수익성 높은 모델인 이중 협박으로 전환했다.

이중 협박 공격에서 공격자는 대상 시스템을 암호화하기 전, 먼저 환자 기록이나 청구 데이터 같은 민감한 파일을 탈취하고 암호화한다. 이후 피해 조직에 두 가지 압박을 동시에 가한다. 복호화 키를 받으려면 몸값을 지불하거나, 그렇지 않으면 탈취한 데이터를 공개하겠다는 것이다.

이 모델에서는 백업만으로는 충분하지 않다. 공격자가 이미 데이터를 확보한 상태이므로, 몸값 지불을 거부할 경우 민감 파일이 외부에 공개될 수 있으며, 이는 조직에 막대한 비즈니스 손실과 규제상의 결과를 초래한다. 위협 양상은 계속해서 고도화되고 있으며, 삼중 협박 사례도 증가세다. 이는 공격자가 피해 조직의 고객이나 파트너에게 직접 연락해 추가 압박을 가하는 수법이다.

2025년 기준으로 124개의 랜섬웨어 그룹이 활동 중인 것으로 확인됐으며, 이 중 73개는 새롭게 등장한 조직이다.

AI 기반 도구의 확산은 사이버 범죄의 진입 장벽을 낮추고 있으며, 기술 수준이 낮은 행위자들도 랜섬웨어 역량을 갖추기가 점점 용이해지고 있다.

 

다중 협박 위협에 대응하는 방어 아키텍처

다중 협박 랜섬웨어의 부상은 기존 방어 전략의 근본적인 가정을 뒤흔든다. 경계 기반의 사전 차단만으로는 더 이상 충분하지 않다.

조직은 침해 이후에도 데이터가 무기화되지 않도록 보호하는 보안 체계를 갖춰야 한다. 유출된 데이터를 판독 불가 상태로 만들고, 랜섬웨어가 파일에 접근하는 것 자체를 차단하며, 공격이 성공한 경우에도 신속하게 복구할 수 있어야 한다.

 

디아모(D.AMO)_다중 탈취 랜섬웨어 공격과 데이터 보안

랜섬웨어 공격과 데이터 보안

디아모(D.AMO): 랜섬웨어 공격의 전 단계를 차단하다

펜타시큐리티의 디아모(D.AMO)는 다중 협박 랜섬웨어 공격의 모든 단계에 대응하도록 설계된 암호화 기반 데이터 보호 플랫폼이다. 온프레미스와 클라우드 환경 전반에 걸쳐 암호화, 접근 제어, 백업 복구를 통합적으로 제공한다.

파일 암호화 기술과 프로세스 접근 제어 기술을 적용함으로써 서버와 PC에 저장된 중요 데이터를 보호하고, 강력한 접근 통제를 통해 악성 프로그램으로부터 민감 정보를 지킨다. 디아모의 주요 특징은 다음과 같다.

1) 폴더 단위 파일 암호화
디아모 KE(D.AMO KE)는 관리자가 지정한 폴더 내 모든 파일을 OS 레벨에서 암호화한다. 소스 코드 수정 없이 인스톨러를 통해 배포 가능하며, 커널 레벨에서 동작하는 암호화 기술을 기반으로 기존 시스템에도 신속하고 안전하게 적용할 수 있어 사용자 경험을 저해하지 않는다. 암호화 정책은 폴더 단위로 적용되어 최소한의 운영 부담으로 일관된 보호를 보장한다. 특히, 공격자가 민감 데이터를 유출하더라도 파일이 암호화된 상태로 유지되므로, 이중 협박의 핵심인 데이터 노출 위협을 무력화한다.

2) 접근 제어
디아모 KE는 프로세스 및 OS 사용자에 대해 엄격한 접근 제어를 적용하며, 명시적으로 허가된 접근만을 허용한다. 랜섬웨어를 비롯한 악성 애플리케이션은 암호화된 폴더에 대한 접근이 자동으로 차단되어 무단 파일 조작을 방지한다. 차단된 모든 활동은 감사 로그 기능을 통해 기록되며, 디아모 컨트롤 센터(D.AMO Control Center)를 통해 중앙에서 조회할 수 있다.

3) 백업 및 복구
공격이 성공한 경우에도 조직은 독립적으로 관리되는 복구 시스템을 통해 운영을 재개할 수 있다. 디아모를 도입한 환경에서는 백업 복원 능력이 확보됨으로써, 공격자와의 복호화 키 협상에 대한 의존도를 크게 낮출 수 있다.

 

다중 협박 전술이 일반화되는 가운데, 공격자가 활용하려는 데이터를 무력화하는 것이 전략적 우선순위로 떠오르고 있다. 조직은 유출 데이터를 판독 불가 상태로 만들고, 랜섬웨어의 파일 접근을 차단하며, 사고 발생 시 신속하게 복구할 수 있는 능력을 갖춰야 한다. 디아모는 단일 통합 플랫폼 안에서 랜섬웨어 공격의 각 단계에 대응한다. 암호화, 프로세스 기반 접근 제어, 백업 복구를 하나의 방어선으로 통합 제공한다.

 

 

[기사 원문 보기: Bleeping Computer]

Tags: