사이버 보안 전문기업 씨큐비스타가 랜섬웨어 공격을 조기 경보할 수 있는 특화 탐지엔진을 상용화했다.

씨큐비스타는 네트워크 기반 위협 탐지·대응(NDR) 솔루션인 ‘패킷사이버’에 MITRE ATT&CK 기반 랜섬웨어 탐지 엔진 ‘헌터 랜섬(Hunter Ransom) TTP’를 새롭게 탑재했다고 29일 밝혔다.

랜섬웨어는 데이터를 암호화하거나 시스템 접근을 차단한 뒤 금전을 요구하는 악성 소프트웨어로, 짧은 시간 안에 기업 전체를 마비시킬 수 있는 위협으로 꼽힌다.

‘헌터 랜섬’ TTP는 이러한 랜섬웨어에 대응하기 위해 초기 침투 단계부터 내부 확산, 암호화 등 공격 전 과정을 추적하고 조기경보를 통해 피해를 최소화하도록 설계됐다.

향후 씨큐비스타는 금융·의료·국방·통신 등 다양한 산업에 이 솔루션을 최적화해 제공한다는 계획이다.

랜섬웨어 공격 방어 시스템 [씨큐비스타 제공]

구체적으로는 위협이 탐지되면 자동으로 경보를 발령해 즉각적인 대응을 지원하고, 엔드포인트 보안(EDR)과 NDR을 결합한 통합 방어체계를 구현하게 된다.

씨큐비스타 관계자는 “EDR이 개별 기기의 보안을 담당하고, 패킷사이버는 네트워크 전체를 관제하는 보안센터의 역할을 수행한다”라고 말했다.

이어 “앞으로도 IoT 보안 및 암호화 트래픽 기반 탐지 기술을 확장하며, 정부 R&D 프로젝트에도 참여해 위협 헌팅 및 보안관제 기술을 개발할 것”이라고 덧붙였다.

한편 2025년 들어 전 세계 랜섬웨어 공격은 꾸준히 증가하는 추세를 보이고 있다.

올해 상반기 글로벌 공격 건수는 전년 대비 69% 급증했으며, 국내 신고 건수도 같은 기간 15% 이상 늘어난 것으로 집계됐다.

특히 윈도 환경을 넘어 가상화, 리눅스, macOS 등 멀티플랫폼을 겨냥한 공격이 확산되고, RaaS(서비스형 랜섬웨어)를 활용해 저숙련 공격자도 대규모 침투를 시도하는 분위기다.

의료·금융·제조 등 고가치 데이터를 보유한 산업군이 주요 표적으로 부상하면서 피해 규모 역시 커지고 있다.

이에 보안 대응 체계에서도 엔드포인트와 네트워크를 구분한 다계층 방어가 필수로 자리 잡고 있다.

EDR은 개별 단말에 설치된 에이전트를 통해 파일과 프로세스를 추적하며 위협을 신속하게 차단하는 데 초점을 맞추는 반면, NDR은 네트워크 전반의 트래픽을 패킷 단위로 분석해 내부 확산이나 은밀한 외부 통신을 포착하는 데 강점을 가진다.

전자는 장치 단위의 세밀한 이벤트 대응에 유리하지만 관리되지 않는 단말 보호에는 한계가 있고, 후자는 네트워크 전체 가시성을 제공하되 개별 장치 내 이벤트에는 접근하지 못한다.

이에 따라 두 체계는 상호 보완적으로 통합될 때 보안 효과가 극대화된다.

아울러 AI와 머신러닝은 보안 위협의 양면에서 동시에 활용되고 있다.

공격 측면에서는 생성형 AI와 대형언어모델(LLM)이 피싱, 스피어피싱, 딥페이크 제작에 동원되며 맞춤형 공격을 양산하는 데 사용된다.

알고리즘이나 학습 데이터를 직접 겨냥한 ‘모델 오염’ 공격도 부상하고 있어 AI 자체의 보안 취약성이 새롭게 주목받고 있다.

반대로 방어 측면에서는 머신러닝이 정상·비정상 행위를 정교하게 분류해 제로데이나 변종 랜섬웨어까지 탐지하고, 실시간 대응 및 예측 분석을 지원하고 있다.

이에 앞으로 보안 산업 전반에서는 XDR(확장형 탐지·대응), SOAR(보안 오케스트레이션), 위협 인텔리전스 등 통합 플랫폼 중심으로 AI가 결합되는 흐름이 가속화되는 흐름이 이어질 것으로 보인다.