랜섬웨어 WannaCry를 언어학적으로 분석하다

이코노미스트지 단신[1]으로 흥미로운 이야기를 들어서 좀 검색을 해 봤다. ㅋㅋㅋ

일전에 워너크라이 랜섬웨어에 대한 이야기[2]를 한 바 있는데, 카스퍼스키나 시만텍 등의 각종 보안 전문가들은 북한이 하지 않았을까 하는 추정울 하는 모양[3]이다. 일전에 swift 해킹사건[4]도 북한의 가능성이 나오고 있는데, 이거 뭐 만물 북한설-_-도 아니고 ㅋㅋㅋ

한편 워너크라이 랜섬웨어가 각종 언어를 지원한다는 점에서 착안하여 Flashpoint라는 회사에서 언어학적인 접근을 시도해 본 모양[5]이다. 이게 뭔 회사인가 싶었는데, 홈페이지에 있는 자신들의 소개[6]에 의하면, 데이터 분석으로 어떤 컨설팅을 제공하는 회사인 듯 하다.

이 회사의 주장[5]에 의하면 비록 워너크라이가 28개 국어의 지원을 하고 있으나 각종 번역문과 구글 번역기와의 단어 매칭을 하면 영어, 중국어 번체, 중국어 간체를 제외한 모든 언어가 98% 이상의 높은 매칭을 보인다. 따라서 모두 기계번역에 의한 문장이고 인간이 쓴 문장은 아니라는 추정이 가능하다. 영어 버전은 비록 인간이 쓰긴 했으나 치명적인 문법적 오류가 있어, 모국어가 영어는 아닌 사람인 걸로 추정된다.

많은 부분에서 워너크라이의 안내문구를 쓴 사람은 매우 유창한 중국어 화자라는 추정을 할 수 있다고 하는데, 본인이 중국어에 까막눈이라 잘 모르겠다-_- ㅋㅋㅋ 워너크라이의 문구에는 help를 의미하는 ‘帮助‘ 대신에 ‘帮组’ 라고 오타가 있는 모양인데, 이것은 기계 번역으로 작성한 것이 아니라 작성자가 자판으로 직접 친 글임을 강력하게 시사한다고 한다.

한편 week를 의미하는 ‘礼拜‘는 남중국, 홍콩, 타이완에서 흔히 쓰이는 표현이고, 안티바이러스를 의미하는 ‘杀毒软件‘는 중국 본토에서 더 흔한 표현이라고 한다.

어쨌든 그들의 결론은 워너크라이를 제작한 사람은 중국어에 유창하고, 중국 남부지방 사람일 가능성이 높다고 판단하는 듯. 문장이 좀 길었다면 일전에 롤링씨 사건[7]처럼 Forensic Linguistics를 동원할 수도 있지 않을까 싶다. ㅋ

Flashpoint는 안내 문구만 분석했는데, 코드 속에는 좀 더 많은 내셔널리티가 있지 않을까 하는 생각이 든다. 일전에 Dark Hotel에서 한국어 화자로 추정되는 코드가 보인다는 이야기[8]를 한 적이 있는데, 부지불식간에 언어적 습관이 코드에 남아 있을 수도 있다. 그래서 CIA에서는 국적 혼동용의 obfuscater 같은 것도 사용하는 모양[9]이다. 앞으로 멀웨어 제작자는 다국어 능력도 필요할 듯 ㅋㅋㅋ

 


2017.6.8
보안뉴스 워너크라이 협박 편지, 중국어 하는 사람이 썼다 2017-05-26 14:25

 


2017.6.18
보안뉴스 [주말판] 해커 잡기 위해 동원되는 언어 분석의 가치란 2017-06-17 11:05

 


[1] 이코노미스트 에스프레소 The world in brief, May 30th 2017
[2] 내 백과사전 랜섬웨어 WannaCry 확산 2017년 5월 15일
[3] the hacker news Google Researcher Finds Link Between WannaCry Attacks and North Korea Monday, May 15, 2017
[4] 내 백과사전 방글라데시 SWIFT 해킹 사건과 북한의 관련성 2017년 3월 26일
[5] Linguistic Analysis of WannaCry Ransomware Messages Suggests Chinese-Speaking Authors in Flashpoint blog
[6] https://www.flashpoint-intel.com/about/
[7] 내 백과사전 법언어학으로 밝혀낸 롤링의 정체 2013년 7월 21일
[8] 내 백과사전 Regin과 Dark Hotel : 악성코드로 이루어지는 사이버 첩보활동 2014년 11월 29일
[9] the hacker news WikiLeaks Reveals ‘Marble’ Source Code that CIA Used to Frame Russia and China Friday, March 31, 2017

Advertisements

2 thoughts on “랜섬웨어 WannaCry를 언어학적으로 분석하다

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

%s에 연결하는 중