04. 대규모 사이버 공격과 랜섬웨어 공격의 진화
2025년 초 세계경제포럼(WEF)이 발표한 「Global Cybersecurity Outlook 2025」는 현재 사이버 공간이 직면한 변화를 명확히 진단했다. 보고서는 지정학적 갈등의 심화, 생성형 AI의 급속한 확산, 그리고 점점 더 복잡해지는 글로벌 공급망 의존성이 맞물리면서 사이버 위협 환경이 전례 없는 수준으로 복잡해졌다고 지적했다.
특히 주목할 만한 변화는 기업이 경험하는 사이버 공격의 패턴이다. 과거에는 "드물지만 발생하면 치명적인" 대형 사고를 대비하는 것이 보안 전략의 핵심이었다. 그러나 이제 조직들은 "빈번하게 발생하고 여러 곳에서 동시에 터지는" 공격에 직면하고 있다. 이는 단순히 공격 빈도가 늘어난 것을 넘어, 방어자가 대응해야 할 전선이 동시다발적으로 확장되고 있다는 의미다.
글로벌 기업 경영진들이 여전히 랜섬웨어를 최상위 위협으로 꼽은 이유는 분명하다. 금전을 목적으로 한 이 공격은 높은 수익성을 보장하면서도 공격할 수 있는 표면이 끊임없이 확대되고 있기 때문이다. 클라우드 인프라, 원격근무 환경, IoT 기기, 그리고 연결된 공급망 파트너들은 모두 잠재적인 진입점이 된다.
[그림 4-1] 글로벌 기업 경영진들이 생각하는 가장 우려되는 사이버 보안 위험 (출처 : Global Cybersecurity Outlook 2025)
실제로 2024년 미국 최대 의료 결제 처리업체인 Change Healthcare가 랜섬웨어 공격을 받았을 때, 단 하나의 조직에 대한 공격이 수천 개 병원과 약국의 운영을 멈추게 했고, 수백만 환자의 진료 기록이 유출되는 결과를 낳았다.
앞서 언급한 '빈번하고 동시다발적' 공격이라는 표현이 과장이 아님을 데이터가 증명하고 있다. 2025년 들어 랜섬웨어 공격은 5개월 연속 증가세를 기록 중이며, 이는 일시적 급증이 아닌 구조적 확대 추세로 보는 것이 타당하다. Cyble의 위협 동향 보고서에 따르면 이러한 가속화를 명확히 보여준다. 2025년 9월 한달간 474건의 랜섬웨어 공격이 발생했다. 이는 2024년 11월 이후 가장 높은 월간 공격 수치 중 하나로, 방어 기술이 발전하는 속도보다 공격이 확산되는 속도가 더 빠르다는 것을 의미한다.
랜섬웨어 공격의 급증 뒤에는 고도로 조직화되고 전문화된 범죄 그룹들이 있다. 흥미로운 점은 2024년 LockBit에 대한 국제 공조 수사(Operation Cronos)와 RansomHub의 2025년 4월 갑작스러운 활동 중단 이후, 랜섬웨어 생태계가 단순히 위축되지 않고 오히려 더욱 다변화되었다는 것이다. 기존 그룹의 제휴자(affiliate)들이 흩어져 새로운 그룹으로 재편되면서, 현재 우리는 더 많은 수의 조직화된 위협 그룹과 싸워야 하는 상황에 직면했다.
[표 4-1] 주요 랜섬웨어 그룹 특징
그룹명 | 2025년 주요 활동 | 기술적 특징 | 특이사항 |
Medusa 2021년 6월 ~ 현재 | • 2025년 2월까지 300 이상 공격 | • BYOVD 기법
• EDR 무력화 도구 사용
• 이중/삼중 갈취 | • 몸값 $100K-$15M
• 재공격(삼중 갈취)
• 피해자 직접 연락 압박 |
Qilin (Agenda) 2022년 7월 ~ 현재 | • 2025년 700건 이상 공격
• 2분기 미국 공공 기관 공격 의 24% 차지 | • Rust 기반 Linux/ windows 하이브리드
• FortiGate, SAP 제로데이 악용 | • RansomHub 붕괴 후 최대 수혜
• 사내 저널리스트 운영
• 자동 협상 시스템 제공 |
Akira 2023년 초 ~ 현재 | • 2025년 상반기 지속 활동 | • Conti v2 유사
• Windows/Linux 동시 타겟
• Chacha 2008 암호화 | • 영국/유럽에서 가장 활발
• .akira 확장자 사용 |
RansomHub 2024년 2월 ~ 현재 활동 중단 | • 2025년 4월 활동 중단
• 2024년 534건 공격 | • Golang 기반 Knight 후신
• 빠른 암호화 속도 | • 대부분의 제휴자들이 Qilin 등으로 이동
• DragonForce 인수 주장 |
Interlock 2025년 신규 ~ 현재 | • 2025년 4월 DaVita 공격 | • ClickFix 기법
• 가짜 IT 도구 유포 | • 2025년 새로운 위협
• 공격적인 데이터 유출 |
Chaos 2025년 3월 ~ 현재 | • 2025년 신규 등장 | • 세부 정보 분석 중 | • 빠른 확산세 |
랜섬웨어 공격의 성공률을 높이는 것은 더 강력한 암호화 알고리즘이 아니다. 공격자들은 피해 조직의 모든 대응 옵션을 차단하고, 보안 시스템을 무력화하며, 여러 경로로 동시에 압박을 가하는 정교한 전술을 개발해왔다. 2025년 현재, 랜섬웨어 공격의 TTP는 과거보다 훨씬 복합적이고 치명적인 양상을 보이며, 크게 다섯 가지 특징으로 정리할 수 있다.
첫째, 초기 침투 경로가 다변화되고 있다. 이제는 하나의 기법에 기대지 않고, 도난 자격증명·피싱·취약점 악용·초기 접근 브로커(IAB, Initial Access Broker) 구매를 상황에 따라 조합하는 식으로 전술 성숙도가 올라간 모습이다. 이 가운데 가장 두드러지는 변화는 도난 자격증명 활용의 확대다. Mandiant에 따르면 도난 자격증명이 초기 침투 벡터의 16%를 차지하며 전년 대비 60% 급증했다. Infostealer로 유출된 계정 정보가 다크웹에 대량 유통되면서, 공격자들은 피싱보다 검증된 계정 구매를 선호하게 되었다. 여기에 초기 접근 브로커 광고가 50% 증가하며, 공격자는 직접 침투하지 않고 내부 접근 권한을 사서 공격을 시작하는 구조가 확립되었다.
둘째, 방어를 먼저 무력화한다. 백업과 보안 솔루션이 발전하자, 공격자들은 이를 정면 돌파하는 대신 아예 무력화시키는 전술로 전환했다. 최근 2년간 가장 급격히 증가한 기법이 바로 EDR(Endpoint Detection and Response) 무력화다. EDR은 엔드포인트에서 발생하는 악의적 행위를 실시간으로 탐지하고 차단하는 핵심 보안 계층인데, 이 방어벽이 이제 공격자들의 최우선 타겟이 되었다. 최소 12개 이상의 랜섬웨어 그룹이 커널 수준에서 작동하는 EDR Killer를 공격 도구에 추가했으며, 사용률은 지난 2년간 300% 이상 급증했다.
[그림 4-2] BYOVD(Bring Your Own Vulnerable Driver) 공격 프로세스
공격자들의 논리는 단순하지만 치명적이며 효과적이다. EDR이 작동하는 동안에는 측면 이동, 데이터 유출, 랜섬웨어 배포 등 모든 악의적 활동이 탐지될 가능성이 높다. 반면 EDR을 선제적으로 무력화하면 보안팀은 가시성을 상실한 채 공격을 받게 된다. Coveware의 2025년 조사에서 랜섬웨어 사례의 60%에서 방어 회피 기법이 확인된 것도, EDR 무력화가 이제 선택이 아니라 필수 전술로 자리 잡았음을 보여준다.
랜섬웨어 그룹들은 공격 성격과 목표 환경에 맞춰 EDR 무력화 도구를 선택하거나 자체 커스터마이징해 활용한다. 이렇게 만들어진 도구들은 그룹 간에 공유되거나 다크웹에서 거래되면서, 합법 소프트웨어 시장을 연상시키는 범죄 생태계를 형성하고 있다. 문제는 이 도구들이 점점 더 정교해져 특정 벤더 한두 개가 아니라 주요 EDR 솔루션을 한꺼번에 무력화할 수 있는 수준에 이르렀다는 점이다. 실제로 RansomHub의 EDRKillShifter는 Sophos, Bitdefender, Cylance, ESET, F-Secure, Fortinet, McAfee, Microsoft Defender, Symantec, Trend Micro 등 시장 상위권 대부분의 보안 제품을 타겟으로 설계되어 광범위한 커버리지로 악명이 높다.
[표 4-2] 주요 EDR Killer 도구 비교
도구명 | 사용그룹 | 타겟 보안 제품 | 특징 및 작동 방식 |
EDRKillShifter | RansomHub, Medusa, BianLian, Play | 10개 이상 | • 취약한 드라이버를 동적으로 로드하며 정상 Windows 서비스로 위장
• 여러 랜섬웨어 그룹이 공통으로 사용하는 것으로 보아 효과가 검증된 도구로 평가 |
RealBlindingEDR | Crypto24 | ~ 30개 제품 | • 오픈소스 도구를 기반으로 제작되어 각 그룹이 필요에 따라 커스터마이징을 할 수 있음
• Crypto24는 이를 수정해 거의 30개 보안 벤더의 제품을 무력화할 수 있도록 만듦 |
ABYSSWORKER | Medusa | 다수 | • CrowdStrike Falcon의 정상 드라이버 (CSAgent.sys) 를 모방한 악성 드라이버(smuol.sys)로 중국 업체로 부터 도난된 것으로 추정되는 인증서로 서명되어 있음
• 2024년 8월부터 2025년 2월까지 수십 개의 변종이 발견됨 |
AuKill | FIN7, 다수 | 다수 | • Microsoft Process Explorer 유틸리티의 구버전 드라이버를 악용
• 정상적인 Microsoft 도구의 취약점을 이용하기 때문에 초기 탐지가 어려움 |
HRSword | 다수 | 다수 | • 악성 코드가 아닌 합법적인 보안 도구 자체를 악용
• 정상 소프트웨어이기 때문에 보안 제품이 차단하거나 탐지하기 매우 어려움 |
이는 단순한 기술적 과시가 아니다. 공격자들이 실제 기업 환경에서 운용 중인 보안 솔루션을 사전에 식별한 뒤, 제품별 탐지·차단 메커니즘을 분석하고 그에 대응하는 우회 기법을 각각 구현해 넣었다는 의미다. 하나의 도구 안에 여러 벤더에 대한 무력화 로직이 축적돼 있다는 사실은 그만큼 체계적인 정보 수집과 리버스 엔지니어링이 선행됐다는 증거다.
더욱 우려스러운 부분은 진화 속도다. 보안 업체가 한 경로를 패치하면 공격자들은 곧바로 다른 취약 드라이버를 악용하거나 새로운 우회 절차를 추가한다. 실제로 EDRKillShifter는 여러 차례 업데이트를 거치며 지원 대상 보안 제품을 늘렸고, 탐지 회피를 위한 은닉 기법도 점차 고도화 했다. 이는 현 시점의 방어-공격 기술 경쟁에서 공격자가 주도권을 쥐고 있음을 시사하며, 단일 보안 제품이나 일회성 패치에 의존한 방어 전략만으로는 충분하지 않다는 점을 분명하게 보여준다.
셋째, 정상 도구를 무기로 삼는다. 공격자들은 새로운 악성코드 대신 시스템에 이미 존재하는 정상 관리 도구를 악용한다. 이른바 'Living Off the Land(LotL)' 전술이다. PowerShell, WMI, PsExec, RDP 같은 도구는 관리자가 일상적으로 사용하기 때문에 그 자체로는 경보를 발생시키지 않는다.
[표 4-3] 주요 도구 및 악용 사례
도구명 | 본래 목적 | 악의적 사용 사례 |
PowerShell | 스크립트 실행 및 시스템 작업 자동화 | • 원격 명령 실행, 메모리 내(파일리스) 페이로드 실행, 로그 및 Artifact 삭제 |
WMI/WMIC | 시스템 관리 및 모니터링 | • 네트워크 정찰, 원격 프로세스 실행, 랜섬웨어 원격 확산 |
PsExec | 원격 프로세스 실행 | • 측면 이동(Lateral Movement), 랜섬웨어 일괄 배포, 도메인·네트워크 전체 감염 |
RDP | 원격 데스크톱 접속 | • 지속적 접근 유지, 수동(Hands-on) 조작, 데이터 탈취 |
Nlteet | 도메인/네트워크 진단 | • 도메인·네트워크 토폴로지 파악, 측면 이동 경로 탐색 |
vssadmin | 볼륨 섀도우 복사본 관리 | • 백업/스냅샷 삭제, 복구 불가능하게 만듦 |
Rclone | 클라우드/저장소 파일 동기화 | • 대량 데이터 유출(이중 갈취 지원), 정상 클라우드 트래픽 위장 |
탐지의 기준점이 '무엇을 실행했는가'에서 '어떤 맥락에서 실행됐는가'로 바뀌면서, 단순 규칙 기반 탐지로는 정상 운영과 공격을 구분하기 매우 어려워진다. 게다가 이들 도구는 이미 높은 권한으로 실행되도록 설계되어 있어, 공격자는 별도의 권한 상승 없이도 민감 시스템에 접근할 수 있다. LotL은 사후 분석도 어렵게 만든다. 디스크에 악성 파일이 남지 않고 명령 실행 내역만 로그에 남기 때문에 방어자는 평상시 관리 패턴 기반의 행위 탐지, 비정상 명령 기준선 설정, 계정·시간대별 도구 실행 제한 같은 다층 방어를 적용해야만 실질적 대응이 가능하다.
넷째, 가상화 인프라와 백업 시스템이 최근 랜섬웨어 조직의 우선 타깃으로 떠오르고 있다. 공격자들은 적은 노력으로 최대 효과를 내기 위해, 한 번만 암호화해도 여러 워크로드가 동시에 중단되는 구간을 집중적으로 노린다. Qilin이 VMware ESXi는 물론 Nutanix AHV까지 식별해 하이퍼컨버지드 인프라로 타깃을 확장한 것이 그 사례다. Chaos 계열 역시 ESXi와 NAS를 겨냥했듯이, 이제는 호스트 레벨을 장악해 그 위에서 돌아가는 수십~수백 개의 VM을 한꺼번에 멈추게 하는 것이 사실상 기본 전술이 됐다. 여기에 더해 백업 서버와 스토리지 시스템도 초기 단계에서 제거 대상이 된다. 복구 경로를 먼저 끊어야 피해 기업이 자체적으로 복원할 수 있는 선택지가 사라지고, 그만큼 협상력이 공격자 쪽으로 기운다는 계산 때문이다.
다섯째, 다중 협박(Multi-Extortion)로 출구를 봉쇄한다. 2019년 Maze와 REvil이 시작한 이중 협박은 이제 업계 표준이 되었고, 2025년 랜섬웨어 사고의 96%에서 데이터 유출이 동반되었다. 단순히 파일을 암호화하던 과거와 달리, 현대 랜섬웨어는 피해 조직을 여러 방향에서 동시에 압박하는 전략적 무기로 진화했다.
[표 4-4] 다중 협박 (Multi-Extortion) 특징
협박 유형 | 공격 방법 | 피해 조직에 미치는 영향 |
단일 협박
(~ 2019년) | • 데이터 암호화 | • 업무 중단, 시스템 접근 불가 |
이중 협박
(2019년 ~ 현재) | • 암호화 + 데이터 유출 협박 | • 업무 중단, 데이터 공개 위협, 평판 손상 |
삼중 협박
(2022 ~ 현재) | • 암호화 + 데이터 유출 협박 + 추가 공격 | • 위 모든 피해
• DDoS 공격 등으로 서비스·업무 마비 |
사중 협박
(2024 ~ 현재) | • 암호화 + 데이터 유출 협박 + 추가 공격 + 비즈니스 파트너, 언론 등 외부 이해 관계자 에게 직접 연락 | • 위 모든 피해
• 장기적인 평판 손상, 계약 해지, 신규 사업 지연 으로 이어질 수 있음 |
단일 협박이 주로 시스템·데이터 손실에 초점을 맞춘다면, 이중·삼중·사중 협박으로 갈수록 피해는 법적·재무적 손실을 넘어 평판, 고객·파트너 관계, 경영진 개인까지 확장되며, 결과적으로 조직 전체의 장기적인 신뢰와 사업 지속성을 위협하게 된다. 이처럼 다중 협박은 단순히 압박의 강도를 높이는 게 아니라, 조직이 선택할 수 있는 모든 출구를 차단하는 전략이다.
[그림 4-3] 랜섬웨어 위협 Kill Chain
이 모든 전술의 배후에는 고도로 전문화된 RaaS(Ransomware-as-a-Service) 생태계가 있다. RaaS는 개발자가 랜섬웨어 도구를 제휴자에게 임대하고 수익의 일부를 공유하는 범죄 프랜차이즈 모델이다. 현대 랜섬웨어 운영은 전문화된 역할을 가진 정교한 비즈니스 기업으로 기능한다. 초기 접근 브로커(Initial access brokers, IAB)는 네트워크 진입점 확보를 전문적으로 하고, RaaS 제공자는 악성코드를 개발 및 유지하며, 제휴자는 특정 표적에 대해 랜섬웨어를 배포한다.
이러한 역할 분담 체계는 각 참여자가 자신의 전문 영역에만 집중하도록 함으로써 전체 공격 체인의 효율을 극대화한다. 한 번 효과가 입증된 TTP가 나오면 동일 인프라를 공유하는 여러 제휴자에게 단기간에 재 적용될 수 있는 것도 이 구조 때문이다. 외형적으로는 같은 업종에서 유사한 유형의 침해가 며칠 간격으로 연속 발생한 것처럼 보이지만, 실제로는 성공한 전술이 수평 확산되면서 나타나는 현상에 가깝다.
[표 4-5] RaaS 생태계의 역할 및 구조
역할계층 | 주요 기능·활동 영역 | 위협 관점에서의 의미 |
Initial access brokers (IAB) | • 대량 인터넷·클라우드·원격관리 자산 스캐닝
• AI 기반 노출 자산 인덱싱 : 배너·버전·구성 정보를 LLM/에이전트로 정규화해서 “동일 환경” 조직을 자동 군집화
• 취약 버전·기본 자격증명·잘못된 ACL 등 저 비지용 진입점 수집
• 조직·산업별 접근권한 패키지화 및 다크웹에 유통 | • AI가 같은 유형의 노출 자산을 빠르게 묶어 주기 때문에, 한 번 인덱싱이 끝나면 동일 환경을 쓰는 여러 조직이 동시에 노출
• 공격자가 정찰을 반복할 필요가 없어지고, 대규모·군집형 공격의 전제가 마련됨 |
RaaS Operators | • 랜섬웨어 페이로드(암호화기, 키관리, 환경체크) 설계·업데이트
• 데이터 유출 포털·협상 패널·결재 워크플로 운영
• 제휴자 관리, 빌더 제공, TTP 패키징 및 문서화 | • 기술·운영을 표준화해 제휴자가 바로 쓸 수 있게 만듦
• IAB가 넘겨준 “동일 환경” 리스트에 즉시 적용할 수 있도록 전술을 재사용 가능 형태로 배포 |
Affiliates | • IAB가 제공한 접근권한을 실제 공격 캠페인에 투입
• 내부 정찰, 권한 상승, 백업 노드 식별 등 환경 맞춤화
• 데이터 탈취, 암호화, 다중 갈취 실행
• 피해자와의 협상 수행 | • 실제 피해를 발생시키는 실행자
• 여러 Affiliates가 같은 유형의 접근권한을 동시에 구매하면 짧은 기간 안에 같은 산업·기술 스택이 연쇄적으로 표적화됨 |
Infrastructure & Tooling Support (옵션) | • Proxy/C2 인프라, 초기 로더, 탐지 회피 스크립트 제공
• 클라우드·SaaS 대상 보조 도구(Credential Harvesting 등) 공급 | • 탐지·차단을 우회하는 공통 부품을 제공 하여 Affiliates 기술 격차를 줄임
• IAB, RaaS가 만들어낸 대량의 접근권한을 최대한 성공적인 공격으로 전환 하게 함 |
RaaS 환경에서는 이렇게 성과가 검증된 전술·기법이 곧바로 상품으로 전환된다. 특정 산업의 IT 환경, 예를 들어 동일한 ERP 벤더를 사용하거나 유사한 서비스 구성을 갖추고 있거나 OT/ICS 구조가 비슷한 조직을 대상으로 한 공격이 한 차례 성공하면, 그때 활용된 초기 침투 경로와 내부 이동 절차가 다른 제휴자에게 신속히 공유되거나 거래된다. 그 결과 기술적 특성이 유사한 조직들이 단기간에 연쇄적으로 표적화될 가능성이 높아진다.
결국 우리가 상대하는 것은 더 이상 '파일을 암호화하는 악성코드'가 아니다. 방어·복구 메커니즘을 단계적으로 무력화하고, 데이터 유출과 공개 협박을 병행하며, 침투부터 협상까지 역할을 분담한 산업화된 공격 체계다. 이러한 랜섬웨어는 한 기업을 멈추는 데서 끝나지 않고, 탈취한 정보로 고객·협력사까지 압박해 생태계 전체에 불안을 전가한다. 2026년을 바라보면, 위협의 본질은 "새로운 초강력 악성코드"가 아니라 "비슷한 환경을 자동으로 묶어 공략하는 방식의 자동화"다. RaaS는 성숙한 범죄 프랜차이즈가 되었고, 한 조직에 효과적이었던 TTP는 같은 기술 스택을 사용하는 수십 개 조직을 향해 즉시 재사용 된다.
[표 4-6] RaaS 생태계 내 전술·기법(TTP) 유통 메커니즘
단계 | 공격자 활동 | 보안 입장에서 관찰 지표 |
전술 검증 | • 특정 산업·플랫폼·원격관리 환경을 겨냥한 공격이 실제로 성공해 수익이 발생
• 이때 침투 경로, 권한상승 방식, 암호화 대상, 유출·협상 절차가 한 번에 기록됨 | • 한 업종에서 동일 벡터의 침해가 단일 건으로 먼저 보고됨
• 초기 사고 조사 보고서에 “특정 버전/특정 서비스 노출” 이 공통 인자로 잡히는 시점 |
내부 유통 | • 성공한 TTP가 RaaS 운영자가 관리하는 포털 ·패널·비공개 채널로 공유됨
• 필요한 경우 자동화 스크립트, C2 프로파일, 탐지 우회 파라미터가 함께 패키징 됨
• 유료 또는 평판 교환 형태로 유통 | • 같은 시기 위협 인텔 소스들에 유사 IOC·도구 해시가 동시에 등장
• 다크웹/텔레그램 기반 유출 사이트에 비슷한 스크린샷·협상 포털 화면이 연달아 올라오기 시작 |
Affiliates 다중 적용 | • 여러 제휴자가 이 패키지를 받아 서로 다른 지리 ·조직에 투입
• IAB는 초기 접근 브로커가 제공한 “동일 환경 조직 목록”으로 대체되므로, 개별 Affiliates 가 별도 정찰을 하지 않아도 됨 | • 짧은 기간에 동일 업종·기술 스택 조직에 비슷한 침해 패턴이 관측됨
• 공격자별 인프라는 다르나, 페이로드 행위와 유출 포맷이 거의 같음
• 동일 취약점 악용 사례가 다수 발생하기 쉬움 |
최적화/저가화 | • Affiliates들이 실제 현장에서 겪은 장애 (AV탐지, EDR 차단, 권한 부족 등)를 피드백 하면 운영자가 스크립트와 가이드를 손질해 더 짧은 실행 체인으로 만듦
• 이후 들어오는 제휴자는 정리된 버전 사용 | • 탐지 규칙이 배포된 뒤에도 변형된 동일 행위가 계속 발생
• 기존 IOC만으로는 차단이 어렵고, 행위 기반 모니터링으로 옮겨가야 하는 시점 |
군집형/표적화 | • 동일 ERP, MSP, OT벤더처럼 구성 특징이 같은 조직 군이 순차적으로 리스트업되 캠페인에 포함됨
• 공격자 간 협의가 없어도 결과적으로 특정 산업군만 집중적으로 침해된 모양새가 됨 | • 같은 제품군/서비스 이용사만 연쇄 피해라는 인식이 생김
• 외부에서는 대규모 사이버 공격 또는 섹터 타깃 캠페인으로 보도되기 쉬움
• 개별 조직 대응보다 IOC·TTP 공유가 효과적 |
이제는 단일 보안 솔루션이나 개별 패치만으로는 대응이 성립하지 않는다. 공급망 보안, 데이터 거버넌스, 사후 위협 헌팅까지 아우르는 다층 방어를 전제로 해야만 리스크를 낮출 수 있다. 랜섬웨어는 IT 보안 문제를 넘어, 경제와 사회를 동시에 타격하는 전략적 공격 프레임이 되었다. 방어자 역시 이에 상응하는 전략적이고 다층적인 접근이 필요하다.
IGLOO Corp. 2025. All rights reserved.