워너크라이 랜섬웨어, 북한 아닌 중국과 연관 의혹

오리지널 버전, 중국어와 영어로 쓰여…나머지는 구글 번역

이달 초 150개국 이상을 휩쓸며 어마어마한 피해를 냈던 워너크라이 랜섬웨어가 기존에 의심됐던 북한이 아닌, 중국인 해커들의 소행인 것으로 보인다는 의혹이 제기됐다.

30일(현지시간) 영국 텔레그래프의 보도에 따르면, 보안업체 플래시포인트의 연구원들은 이 랜섬웨어의 메시지가 원래 중국어와 영어로 쓰였고 이후 각국으로 퍼지면서 해당 국가의 언어로 번역되었다는 흔적을 찾아냈다.

그들은 중국어를 유창하게 구사하는 사람이 워너크라이 랜섬웨어를 만들었다고 보고 있다. 그들은 연구 보고서에서 “워너크라이 랜섬웨어 노트는 지속적으로 중국 남부 지역이나 홍콩, 대만 또는 싱가포르 등지에서 사용되는 언어로 작성됐다”고 밝혔다.

이 연구원들은 워너크라이가 PC를 점령하고 비트코인 지불을 요구하는 메시지를 띄웠을 때 나타난 28개의 언어들을 분석했다. 플래시포인트는 “분석 결과는 대부분의 랜섬웨어 메시지가 구글 번역을 통해 번역됐고 영어 버전과 중국어 버전만 사람이 기계 대신 직접 작성했다는 것을 보여준다”고 말했다.

반면 한국어로 된 노트는 여러 문법과 구두점 사용에서 오류가 발견됐는데 이는 영어를 컴퓨터로 번역했을 때 나타나는 문제로 보인다.

연구원들은 특히 중국어 버전 메시지가 원어민에 의해 작성됐을 것이라고 말한다. 즉 랜섬웨어 배포자가 중국인일 수 있다는 말이다.

이들은 “중국어로 된 두 메시지는 내용이나 형식, 톤에서 다른 메시지들과 많이 다르다”며 “중국어 버전은 다른 언어의 버전에서는 전혀 나오지 않는 내용을 담고 있기도 하다. 물론 다른 언어 버전에서 나오지 않은 내용이 중국어 버전에서 나오는 경우는 없었다”고 말했다.

연구원들은 “다른 언어와 비교했을 때 중국어 텍스트에서 발견된 상대적 유사성은 랜섬웨어 제작자들이 중국어에 매우 능숙했고, 첫 버전을 쓸 때 중국어를 쓸 정도로 중국어를 편하게 느낀다는 점을 시사한다”고 말했다.

한편 영어로 된 버전은 중국어 버전과 다르게 아주 중요한 문법적 오류를 하나 포함하고 있기 때문에 연구원들은 제작자가 영어 원어민일 가능성이 낮다고 말했다. 그들이 지적한 문제의 구절은 “But you have not so enough time(당신에게 주어진 시간이 그렇게 많지 않다)"이다.

플래시포인트는 워너크라이 랜섬웨어의 노트를 다른 이전 버전의 랜섬웨어 프로그램들의 노트와도 비교해보았지만 유의미한 연관성은 찾지 못했다고 전했다.

아시아경제 티잼 박혜연 기자 hypark17@asiae.co.kr