사이버안전센터 운영

메두사 랜섬웨어, 주요 사이버 보안 위협으로 부상
제목 메두사 랜섬웨어, 주요 사이버 보안 위협으로 부상
작성자 사이버보안팀 등록일 2025-04-30 조회수 6
내용

메두사 랜섬웨어 (출처: thehackernews)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C1.png
메두사 랜섬웨어 랜섬노트 (출처: unit42)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C21.png
 

메두사 랜섬웨어란? 


메두사(Medusa) 랜섬웨어는 2022년 후반부터 활동이 포착된 RaaS(Ransomwareas-a-Service) 플랫폼으로 2023년 초부터 주로 Windows 기반 환경을 대상으로 활 발하게 활동하며 악명을 떨쳤습니다. 


해당 랜섬웨어는 의료, 교육, 법률, 보험, 기술, 제조 등 다양한 산업 분야의 조직을 공격 대상으로 삼고 있습니다. 공격자들은 주로 피싱 캠페인, 공개된 인터넷 자산, 패치되지 않은 취약점을 이용하여 초기 침투에 성공하며 경우에 따라 초기 접근 브로커를 통해 외 부로부터 접근 권한을 구매하기도 합니다.


메두사 랜섬웨어는 침투 이후 데이터를 암호화한 뒤 유출 사실을 공개하겠다고 협박하 는 이중 갈취(Double Extortion) 전략을 사용해 피해자에게 금전을 요구합니다. 또한 운영 체제에 내장된 도구 등 정상 소프트웨어를 악용하는 자급자족형(living-off-theland) 기술을 통해 보안 탐지를 회피하고 은밀하게 활동합니다. 

2023~2025 메두사 랜섬웨어 공격 건수 (출처: Medusa leaks site)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C31.png 

메두사 랜섬웨어, 2025년 40건 이상 공격


2025년 들어 메두사 랜섬웨어의 활동은 급격히 증가하였습니다. 2023년부터 현재까지 총 400건 이상의 공격을 감행했으며 이들은 주로 의료, 교육, 법률, 보 험, 기술, 제조 등 다양한 산업을 표적으로 삼았습니다. 2023년과 2024년 사이 공격 건수가 42% 증가한 것으로 나타났으며 2025년 초 두 달 동안에만 40건 이상의 공격이 확인되어 공격 빈도가 가파르게 증가하고 있습니다. 


몸값 요구 금액은 최소 10만 달러에서 최대 1,500만 달러에 이르렀으며, 피해 기업의 규모나 중요도에 따라 크게 차이가 났습니다. 이 가운데 의료 기관과 교 육 기관이 가장 많은 공격을 받은 것으로 나타났습니다. 특히 의료 기관은 민감 한 환자 데이터를 보유하고 있고 교육 기관은 연구 데이터 및 학생 정보를 이유 로 협박의 강도가 높은 경향을 보였습니다.

메두사 랜섬웨어 블로그 (출처: unit42)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C43.png

메두사 랜섬웨어 공격 기법


메두사 랜섬웨어는 Microsoft Exchange Server 등의 취약점을 악용하거나 초기 접근 브로커(IAB)를 통해 조직 내부로 침투합니다.


침투 후에는 SimpleHelp, AnyDesk, MeshAgent 등의 원격 관리 도구를 설치해 지속적인 접근을 유지하고 PDQ Deploy를 활용해 악성 파일을 내부에 전파합니다. 


보안 우회를 위해 BYOVD 기법으로 취약한 드라이버를 실행하고 KillAV 도구를 사 용해 백신과 보안 프로그램을 종료시킵니다. 


이후 NetScan으로 네트워크를 탐색하고 크리덴셜 덤핑을 통해 관리자 권한을 탈취 한 뒤 측면 이동(lateral movement)을 수행합니다. 


마지막으로 RoboCopy와 Rclone 같은 도구를 이용해 데이터를 유출하고 암호화한 뒤 유출 정보를 공개하겠다고 협박하는 이중 갈취 전략을 실행합니다.

결론

메두사 랜섬웨어는 2022년 후반부터 활동이 포착된 RaaS 플랫폼으로 2023년 초부터 주로 Windows 기반 환경을 대상으로 활발 하게 활동하며 악명을 떨쳤습니다. 해당 랜섬웨어는 의료, 교육, 법률, 보험, 기술, 제조 등 다양한 산업 분야의 조직을 공격 대상으 로 삼고 있습니다. 


2023년부터 현재까지 총 400건 이상의 공격을 감행했으며 2025년 초 두 달 동안에만 40건 이상의 공격이 확인되어 공격 빈도가 가파르게 증가하고 있습니다. 이는 메두사 랜섬웨어 조직이 전 세계적으로 공격을 확대하면 주요 사이버 보안 위협으로 부상하고 있어 각별한 주의가 필요합니다.


메두사 랜섬웨어에 대응하기 위한 조치사항


• 운영 체제, 소프트웨어, 펌웨어 등 알려진 취약점이 악용되지 않도록 위험 수준에 따라 적절한 시기에 패치하고 최신 상태로 유지합니다. 


• 초기 감염된 장치나 동일 조직 내 다른 장치로의 측면 이동을 차단하기 위해 네트워크를 분할합니다. 


• 신뢰할 수 없거나 출처가 불분명한 트래픽이 내부 시스템의 원격 서비스에 접근하지 못하도록 네트워크 트래픽을 필터링합니다. 


• 계정이 탈취되더라도 추가 인증 없이 접근하지 못하도록 다중 인증을 활성화합니다. 


• 정기적인 백업을 통해 데이터 복구가 가능하도록 하며 피싱 및 악성 이메일에 대한 교육을 통해 보안 인식을 높일 수 있도록 합니다. 


이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
이전 글&다음 글
이전 글 랜섬웨어 수익 감소, 그 이유는?
다음 글 다음글이 없습니다.


  • 담당부서 : 사이버보안팀
  • 전화번호 : 02-6908-8235
  • 담당자 : 심재인

Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?

평균 4.5점 / 35명 참여