출처: 토큰포스트
블록체인 데이터 분석기업 체이널리시스(chainalysis.com)가 ‘2025 가상자산 범죄 보고서 – 랜섬웨어(Ransomware)’를 발표했다.
보고서에 따르면, 2024년 랜섬웨어 공격자들이 탈취한 몸값 총액은 약 8억 1,355만 달러(약 1조 1,871억 원)로, 전년 대비 35% 감소했다. 이는 2022년 이후 랜섬웨어 수익이 줄어든 첫 사례다.
2024년 상반기 랜섬웨어 몸값 지급액이 4억 5,980만 달러(약 6,709억 원)로 전년 동기 대비 소폭 증가했다. 특히 다크 엔젤스(Dark Angels) 조직에 지급된 7,500만 달러(약 1,094억 원)를 포함해 소수의 고수익 공격에 집중하는 ‘빅 게임 헌팅’ 트렌드로 랜섬웨어 수익이 역대 최고치를 기록할 것으로 예상됐다. 그러나 7월 이후 결제 활동이 약 34.9% 감소하면서 최종 지급액은 예상보다 낮았다.
이러한 변화는 락빗(LockBit), 블랙캣(ALPHV/BlackCat) 등 대형 랜섬웨어 조직이 법 집행 기관의 단속으로 붕괴된 영향이 크다. 과거 대형 조직 중심이던 랜섬웨어 시장이 소규모 해커 중심으로 재편되면서 공격 대상이 대기업에서 중소기업으로 이동하고 있으며, 요구 금액도 과거보다 낮아지는 경향을 보이고 있다.
2024년 랜섬웨어 생태계는 대형 조직 붕괴 이후 서비스형 랜섬웨어(RaaS)인 ‘랜섬허브’가 부상하며 시장을 빠르게 장악했다. 랜섬허브는 등장 1년 만에 가장 많은 피해자를 기록하며 상위 10대 랜섬웨어 변종에 이름을 올렸다.
하반기 들어서는 아키라(Akira), 포그(Fog) 등의 신규 랜섬웨어 변종이 등장했으며, 기존 주요 랜섬웨어 조직과 유사한 전술을 활용하는 사례가 증가했다. 이들은 VPN 취약점을 악용해 기업 네트워크에 침입한 후 데이터를 암호화하고 몸값을 요구하는 방식으로 공격을 수행하고 있다.
한편, 2024년 랜섬웨어 공격자들의 믹싱 서비스 이용이 급감한 것으로 나타났다. 과거 랜섬웨어 운영자들은 몸값으로 받은 가상자산을 세탁하기 위해 활용했던 칩믹서(Chipmixer), 토네이도 캐시(Tornado Cash), 신바드(Sinbad)에 대한 제재 및 법 집행 조치가 효과적으로 작용했음을 보여준다.
랜섬웨어 공격자들은 믹싱 서비스를 이용한 자금 세탁을 점차 줄이고, 대신 크로스체인 브릿지를 활용하는 경향을 보이고 있다. 2024년에는 이러한 서비스에 대한 의존도가 평균을 약간 상회할 것으로 예상되며, 중앙화 거래소(CEX)는 여전히 랜섬웨어 자금 세탁의 핵심 경로로 활용되고 있다.
또한, 랜섬웨어 공격자들이 현금화를 지연하는 경향도 두드러지고 있다. 과거에는 공격 직후 빠르게 자금을 현금화했지만, 법 집행 기관의 강화된 감시와 단속으로 인해 자금을 개인 지갑에 장기간 보관하는 사례가 증가했다. 이는 랜섬웨어 세탁에 가담하거나 이를 조장하는 개인과 서비스를 겨냥한 단속이 강화되면서, 자금 보관과 이동에 대한 불안감이 커진 결과로 분석된다.
‘2025 가상자산 범죄 보고서 – 랜섬웨어(Ransomware)’ 전문은 체이널리시스 공식 홈페이지(https://www.chainalysis.com/blog/crypto-crime-ransomware-victim-extortion-2025)에서 확인할 수 있다.
