[케이스스터디]구글 번역본 돌린 워너크라이 랜섬웨어

워너크라이 랜섬웨어에 나오는 한국어는 영문 원본을 구글로 번역한 것으로 나타났다. 워너크라이가 암호화하는 파일 확장자는 '.hwp'를 포함해 179개다. 워너크라이는 16일 오후2시까지 수익을 7800만원 낸 것으로 확인됐다.

이스트시큐리티(대표 정상원)는 이 같은 내용을 담은 'Trojan.Ransom.WannaCryptor 악성코드 분석 보고서'를 16일 공개했다. 지난주 금요일부터 세계 사이버공간을 강타한 워너크라이 랜섬웨어를 정밀 분석했다.

이스트시큐리티에 따르면, 'D5DCD28612F4D6FFCA0CFEAEFD606BCF.exe'는 악성행위 파일을 드롭·설치하는 기능을 수행한다. 익히 알려진대로 미국 국가안보국(NSA)에 악용된 서버메시지블록(SMB) 취약점인 'MS 17-010'를 사용해 네트워크로 전파됐다.

워너크라이 서비스 설치코드 화면. <자료 이스트시큐리티>
<워너크라이 서비스 설치코드 화면. <자료 이스트시큐리티>>

서비스를 설치하고 드로퍼 기능을 수행하기 위해서는 특정 도메인이 필요하다. 이는 도메인을 통해 공격자가 원하는 시각에 감염을 시키기 위한 행위라는 분석이다. 도메인이 존재하지 않으면 드롭·서비스 설치를 진행한다. 서비스는 'Microsoft Security Center (2.0) Service' 이름으로 생성·실행된다. 네트워크를 통한 랜섬웨어 전파가 주요 기능이다.

워너크라이는 불필요한 암호화 진행을 없애고, 랜섬웨어 실시간 탐지를 방해하기 위해 특정 경로를 활용한다.

워너크라이 파일암호화 제외경로. <자료 이스트시큐리티>
<워너크라이 파일암호화 제외경로. <자료 이스트시큐리티>>

워너크라이에 나오는 한국어는 영문 원본을 구글로 번역했다. 일례로 “확실한. 모든 파일을 안전하고 쉽게 복구 할 수 있습니다. 그러나 너는 그렇게 충분한 시간이 없다.”는 문장은 “Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.”는 영어 문장을 구글로 번역한 것이다.

이스트시큐리티 관계자는 “기존 랜섬웨어 파일이 구글 번역으로 한국어를 지원했다”면서 “다만 워너크라이 직전 랜섬웨어들은 단순 번역이 아닌 직접 작성한 한국어가 나타나는 경향이 뚜렷해지는 추세였다”고 밝혔다.

워너크라이 결제 안내 프로그램 화면. <자료 이스트시큐리티>
<워너크라이 결제 안내 프로그램 화면. <자료 이스트시큐리티>>

이스트시큐리티가 파일 내부 비트코인 지갑 주소를 확인한 결과, 공격자는 16일 오후 2시 기준 우리나라 돈으로 약 7800만원만 수익만 얻은 것으로 확인됐다. 이는 15일(현지시간) 미국 백악관이 공격범에게 지급됐다고 발표한 7만 달러(7800만원)와 동일한 금액이다.

이스트시큐리티는 워너크라이가 한국어와 .hwp 파일을 포함하고 있는 만큼 여전히 주의가 필요하다고 강조했다.

이스트시큐리티 관계자는 “워너크라이는 네트워크를 통한 강력한 전파 기능을 갖고 있는 점과 감염 파일 대상 중 우리나라에서 주로 사용하는 문서파일인 hwp가 존재 한다”면서 “백신 업데이트와 윈도 업데이트를 철저히 해 감염을 사전에 예방해야 한다”고 말했다.

자세한 내용은 이스트시큐리티 알약 블로그에서 확인 가능하다.

변상근기자 sgbyun@etnews.com

위방향 화살표