# 2024년 1월, 미국 최대 모기지대출 기업 LoanDepot은 랜섬웨어 공격으로 약 1660만명의 고객 개인 정보를 해킹당했다. 이 사건을 수습하기 위해 2690만 달러의 비용이 발생했다. 복구 비용에는 고객 알림, 소송 합의 및 법률 비용이 포함됐다.

# 2024년 2월, 미국 의료 결제 제공업체인 Change Healthcare는 랜섬웨어 공격을 받아 처방전 발급이 중단되는 등 사업에 큰 타격을 입었다. 결국 공격자인 ALPHV/블랙캣 갱단에게 2200만 달러의 몸값을 지불했다. 2024년 10월 미국 보건복지부(HHS)는 이 공격과 관련하여 약 1억건의 개인 데이터 침해 통지가 발송됐다고 보고했다.

# 2024년 6월, 자동차 소프트웨어 제공업체 CDK Global은 랜섬웨어 공격을 받았다. 이로 인해 CDK Global은 IT 시스템을 중단시켰고, 북미 전역의 약 1만5000개 자동차 대리점이 총 10억 달러 이상의 손실을 입었다. BlackSuit 갱단은 5000만 달러의 몸값을 요구했다. 

2025년에는 사이버 리스크가 더욱 심화될 것이란 관측이 나왔다. 인공지능(AI) 기술을 활용해 사이버 공격의 수법이 고도화되고 있기 때문이다.

무디스 레이팅스가 발표한 ‘2025 사이버 보안 전망 보고서’에 따르면, 랜섬웨어 공격자들은 점점 더 큰 기업과 기관들을 목표로 삼고 있다. 이는 몸값 지불 여력이 있는 대형 기업을 겨냥함으로써 더 큰 수익을 추구하는 전략이다.

무디스는 이로 인해 대규모 매출을 올리는 기업들이 더 큰 신용 위험에 직면할 수 있다고 경고했다.

이와 관련, Recorded Future는 전 세계 랜섬웨어 공격 건수가 2022년과 2023년 사이 70% 증가했으며, Chainalysis는 2023년 몸값 지불 총액이 11억 달러로 역대 최고치를 기록했다고 보고했다.

다만, 기업과 기관들이 보안 조치를 강화하고 비즈니스 연속성 계획을 수립함에 따라 몸값을 지불하는 비율은 감소하는 추세다.

사이버 위험에 대응하기 위한 사이버보험 시장 역시 수익성 증가로 가격이 완만하게 하락하고 약관도 일부 완화되는 등 긍정적인 변화를 보이고 있다.

그러나 생성형 AI(GenAI)의 발전은 새로운 리스크를 초래하고 있다. 무디스는 “텍스트, 이미지, 오디오 및 비디오 콘텐츠를 생성하는 AI 기술이 악의적인 행위자들에게 유용한 도구로 작용하고 있다”며, AI를 활용한 피싱 및 사기 공격으로 기업들이 수백만 달러의 손실을 입고 있다고 지적했다.

특히, 2025년에는 공급망 공격이 증가할 것으로 전망된다. 공격자들이 소프트웨어 공급자와 최종 사용자 간의 신뢰를 악용해 네트워크를 침투할 가능성이 높아지고 있다.

실제로, 2024년 7월 CrowdStrike가 잘못된 소프트웨어 업데이트를 배포하면서 광범위한 장애가 발생한 사례는 악의적이지 않은 사건도 큰 리스크를 초래할 수 있음을 보여준다.

또한, 도난된 자격 증명을 이용한 공격도 크게 증가하고 있다. IBM 연구진에 따르면, 이러한 공격은 2022년에서 2023년 사이 71% 증가했으며, 이는 기업 시스템에 비인가 접근을 허용하는 주요 수단으로 활용되고 있다.

무디스는 “패스키(passkeys)와 같은 비밀번호 대체 기술이 이러한 공격을 방어하는 데 효과적”이라며, “더 많은 기업들이 이를 도입할 필요가 있다”고 강조했다. 그러나 여전히 도입에 장애물이 존재해 보편적인 사용에는 시간이 걸릴 것으로 보인다.

무디스는 기업들이 판매회사와 공급업체에 대한 리스크 평가를 강화하고, 새로운 보안 기술 도입을 통해 증가하는 사이버 리스크에 대응해야 한다고 조언했다. [한국공제보험신문=만소영 기자]

만소영 기자 다른기사 보기