* 출처는 안랩입니다.

2025년 하반기, ‘젠틀맨(Gentlemen)’이라는 이름의 신규 랜섬웨어 그룹이 보안 업계에 처음 모습을 드러냈다. 이들은 등장과 동시에 다수 국가와 산업을 대상으로 공격을 전개하며 빠르게 위협 수위를 높였다. 중대규모 조직을 주요 목표로 삼는 것으로 추정되며, 데이터 암호화와 유출을 결합한 이중 갈취 전략은 물론, 고도화된 내부 침투 기법까지 활용하고 있는 점은 신흥 세력으로 보기 어려운 수준이다. 젠틀맨 랜섬웨어 공격 특징과 내부 동작 구조를 살펴보자.

신흥 랜섬웨어 그룹 젠틀맨의 등장

젠틀맨 랜섬웨어 그룹은 2025년 8월경 처음으로 식별된 신규 랜섬웨어 조직이다. 해당 그룹은 기업 네트워크 침투한 뒤 데이터를 외부로 유출하고, 이후 이를 암호화해 협박 수단으로 활용하는 이중 갈취(Double Extortion) 공격 모델을 운영하고 있다. 단순한 파일 암호화에 그치지 않고, 정보 유출 사실 자체를 압박 카드로 활용하는 점이 특징이다.

침해 과정에서는 그룹 정책 객체(GPO) 변조, 정식 서명이 포함된 취약 드라이버를 악용하는(BYOVD) 기법 등 고도화된 랜섬웨어 조직에서 주로 확인되는 공격 기술이 사용된다. 현재까지 젠틀맨이 RaaS(Ransomware as a Service) 모델로 운영된다는 명확한 증거는 확인되지 않았으며, 기존 랜섬웨어 그룹의 리브랜딩이나 하위 조직 여부 역시 밝혀지지 않았다.

빠르게 확산되는 글로벌 공격 양상

젠틀맨의 공격은 등장 직후 빠르게 확산됐으며, 현재까지 최소 17개국 이상에서 피해 사례가 보고된 것으로 파악된다. 주요 표적 산업은 제조업, 건설업, 의료 및 헬스케어, 보험업 등으로 특정 산업군에 국한되지 않는다. 

지역적으로는 아시아·태평양(APAC)을 비롯해 북미, 남미, 중동 등 다양한 권역에서 공격이 확인됐다. 이는 젠틀맨이 특정 국가나 지역에 제한되지 않고, 글로벌 범위에서 무차별적인 공격 전략을 구사하고 있음을 보여준다. 이런 공격 양상으로 인해 젠틀맨은 2025년 가장 적극적으로 활동하는 신종 랜섬웨어 조직 중 하나로 평가되고 있다. 

* 전체내용은 아래에서 확인하세요.