체이널리시스(Chainalysis)에 따르면, 2025년 온체인 기반 랜섬웨어 결제 총액은 약 8% 감소했습니다. 이는 2년 연속 감소세입니다.
이러한 감소에도 불구하고 신고된 공격 건수는 50% 증가했습니다. 보고서는 사고 증가와 지불액 감소의 격차 확대가 랜섬웨어 경제의 복잡한 변화 요인을 보여준다고 설명합니다.
2025 랜섬웨어 결제 8.2억달러 규모
2026년 암호화폐 범죄 보고서의 랜섬웨어 챕터에서 체이널리시스는 다음과 같이 밝혔습니다. 2025년 랜섬웨어 공격자들은 온체인 결제로 8억 2,000만 달러 이상을 수령했습니다. 이 수치는 2024년 수정 추정치인 8억 9,200만 달러 대비 연간 8% 감소한 수치입니다.
하지만 2025년 총액은 더 증가할 수도 있습니다. 체이널리시스는 최종 수치가 9억 달러에 근접하거나 이를 초과할 가능성도 있다고 밝혔습니다. 이는 2024년 첫 추정치가 8억 1,300만 달러였다가 이후 상향 조정된 사례와 유사합니다.
총 결제액은 비교적 안정적이었지만, 랜섬웨어 활동은 급격히 증가했습니다. eCrime.ch 데이터에 따르면, 2025년 랜섬웨어 피해자 수는 전년 대비 50% 늘어 역대 최고를 기록했습니다. 공격이 급증했음에도 불구하고, 실제 랜섬 지불 비율은 28%로 사상 최저치로 떨어졌습니다.
체이널리시스는 이러한 차이에 대한 여러 가지 원인을 언급했습니다. 사고 대응능력 향상과 더 엄격해진 규제가 결제 빈도를 줄이는 데 기여한 것으로 평가합니다.
또한, 국제적 단속과 세탁 네트워크에 대한 압력도 일부 수익 흐름을 억제했습니다.
“일부 사례에서 암호화 취약점으로 인해 일부 데이터를 무료로 복호화할 수 있었던 볼크로커(VolkLocker)와 같은 악성코드의 등장 사례가 있었습니다. 이는 방어자들의 기술적 검증이 랜섬웨어 변종을 일시적으로 무력화할 수 있다는 점을 보여줍니다.” – 해당 보고서
비트코인, 랜섬웨어 결제 우선 선택…중앙값 급증
총 합산 결제액이 정체된 반면, 중위 랜섬 금액은 2025년에 급격히 증가했습니다. 중위 결제 금액은 3만 7,818달러(2024년)에서 5만 9,556달러(2025년)로 368% 상승했습니다.
체이널리시스 사이버 위협 인텔리전스 책임자 재클린 코벤(Jacqueline Koven)은 비인크립토에 다음과 같이 말했습니다. “중위 결제 금액의 급등은 과거 대규모 조직을 겨냥한 집중적 사냥 방식이 아니라, 일부 비정상적으로 높은 결제 사례들이 반영된 것입니다.”
“랜섬웨어 공격자들은 기회를 보고 움직입니다. 모든 규모의 조직이 여전히 피해받고 있습니다.” – 재클린 코벤, 체이널리시스 사이버 위협 인텔리전스 책임자
코벤 책임자는 비트코인(BTC)이 여전히 랜섬웨어 범죄자의 가장 선호되는 결제 수단이라고도 밝혔습니다. 비트코인은 투명성이 있어 범죄자에게 위험이 따르지만, 국경 제한이 없고 속도가 빠르며, 유동성과 사용 편의성 때문에 선호된다고 설명했습니다.
“비트코인은 여전히 랜섬웨어 결제에 가장 선호되는 방식입니다.” – 재클린 코벤, 체이널리시스 사이버 위협 인텔리전스 책임자
랜섬웨어 확산…초기 접근 브로커에 1400만달러 지급
보고서는 랜섬웨어가 보다 넓은 사이버 범죄 생태계의 지원을 받고 있음을 설명합니다. 여기에는 초기 접근 브로커(Initial Access Broker)와 특화된 서비스 제공업체가 포함됩니다. 이들은 감염된 네트워크에 대한 접근을 제공해 랜섬웨어 배포를 더 쉽게 만듭니다.
체이널리시스는 2025년 초기 접근 브로커가 온체인 결제로 최소 1,400만 달러를 수령했다고 추정합니다. 이 수치는 전년도와 거의 동일합니다. 전체 랜섬웨어 수익에 비하면 작은 규모지만, “핵심적인 지원 역할”을 하고 있음을 보여줍니다.
“모든 초기 접근 브로커 결제가 랜섬웨어 운영자에 의해 이뤄지는 것은 아닙니다. 브로커들은 서로 접근권한을 사고팔기도 하며, 일부 악성 행위자들은 랜섬웨어와 별개의 목표와 전술(TTP)을 가질 수 있습니다. 또 모든 랜섬웨어 사건이 초기 접근 브로커와 연결되는 것은 아니며, 피해 네트워크 접근에는 여러 방법이 존재합니다. 이러한 한계를 염두에 두고 보면 범죄 투자가 이후 랜섬웨어 공격과 연결될 수 있음을 확인할 수 있습니다.” – 체이널리시스
보고서는 추가적으로, 초기 접근 브로커 활동이 선행지표 역할을 할 수 있다고 언급합니다. 온체인 분석에 따르면, 브로커 유입량 급증은 약 30일 후 랜섬웨어 결제와 피해자 정보 유출 증가를 예고합니다.
“초기 접근 브로커 결제 내역은 랜섬웨어 생태계 구조를 잘 보여줍니다. 랜섬웨어 그룹이 분화하고 재브랜딩하는 중에도 브로커 의존성은 꾸준히 유지되고 있습니다. 따라서 브로커 결제와 인프라 결제는 공격 준비 신호로 해석할 수 있습니다.” – 재클린 코벤, 체이널리시스 사이버 위협 인텔리전스 책임자
체이널리시스는 2025년 랜섬웨어 이야기를 수익 수치만으로 이해할 수 없다고 강조했습니다. 전체 온체인 결제액이 소폭 감소했으나, 공격의 규모와 정교함, 전략적 영향력은 계속 확대되었습니다. 글로벌 자동차 제조사부터 지역 의료기관까지 모든 규모의 조직이 운영을 방해받고 신뢰를 잃었으며, 기록된 몸값 지급액을 훨씬 넘는 시스템적 손실이 발생했습니다.
