언어 분석 결과, 공격 배후에 중국어 구사자 있어
협박 편지, 중국어→영어→기타 언어 순으로 작성
북한 라자루스 연관성 부정하는 결과는 아니야
[보안뉴스 오다인 기자] 워너크라이 랜섬웨어 공격에 사용된 협박 편지를 언어학적으로 분석한 결과, 공격 배후에 중국어를 구사하는 사람이 있었던 것으로 나타났다.
[이미지=iclickart]
그러나 이번 사건을 분석한 보안 전문업체 플래시포인트(Flashpoint)의 언어 전문가들은 이 같은 사실이 시만텍, 카스퍼스키 랩, BAE 시스템즈 등의 연구결과와 상충하는 것은 아니라고 지적했다. 즉, 워너크라이 랜섬웨어가 악명 높은 해커 그룹인 북한 라자루스의 소행일 가능성을 배제할 순 없다는 것이다.
“플래시포인트의 발견은 라자루스의 연관성을 꼭 부정하는 것이라고 보긴 어렵습니다. 누구의 소행인지 가려내는 데 추가적인 정보가 됐을 뿐이죠. 일단 저희가 라자루스에 대해 잘 모르기 때문에, 만약 플래시포인트의 분석이 정확하다면 라자루스 내에 중국어 사용자가 있을 가능성도 충분히 있습니다.” 플래시포인트 아태지역 연구이사 존 콘드라(Jon Condra)의 말이다. 라자루스 자체가 중국어권 사람들로 구성됐을 수도 있고, 또는 모국어와 더불어 중국어를 구사하는 사람들로 구성됐을 수도 있다는 의미다.
시만텍은 역대급 워너크라이 랜섬웨어가 북한 해커들의 소행이라는 자사 주장을 이번 주에 한 차례 더 강조했지만 국가의 지원을 받은 캠페인은 아니었다고 덧붙였다. 워너크라이는 지난 5월 12일에 공격을 시작한 이래 150여 개국 23만 대의 기기를 감염시켰지만, 그 규모에 비해 벌어들인 랜섬은 약 1억1천만 원으로 상당히 저조한 수준이다. 구글, 카스퍼스키 랩, BAE 시스템즈 등의 연구자들도 라자루스의 연관성을 의심하고 있는데, 아직 누구의 소행인지 말하기는 너무 이르다고 말하는 보안 기업들도 있다.
북한은 매우 고립돼있고 비밀에 싸여있는데 온라인은 특히 더 그렇다. 이 때문에 북한의 사이버 기기들을 살펴보는 것이 매우 어려운데, 전문가들은 오랜 기간 북한이 중국 같은 외국에서 해커들을 운영해왔다고 분석한다. 해킹 활동을 숨기고 조사관들을 따돌리기 위해서 말이다.
콘드라는 북한 사람들이 중국 등지로 자주 돌아다니며 타국에선 현지 언어를 사용하는 것으로 알려져 있다고 말한다. 북한 해커들은 중국에서 활동하는 것으로 추정되며, 특히 중국 북동 쪽과 말레이시아, 그리고 동남아 지역에서 점점 더 많이 활동하고 있다. 콘드라는 “라자루스 내부의 누군가나 그 누군가를 알고 있는 관계자가 워너크라이 작업에 참여했을 가능성”이 매우 높다고 설명했다.
어떤 보안 전문가들은 북한의 사이버 작전이 북한 국경을 넘어 확산하고 있다고 짚었다. 보안 전문업체 피델리스 사이버 보안(Fidelis Cybersecurity)의 위협 첩보 시스템 관리자인 존 밤베넥(John Bambenek)은 북한 정부가 지원하는 사이버 작전이 북한 내에서 펼쳐지는 게 아니라서 효과적이라고 말한다.
그러나 플래시포인트의 콘드라와 그의 팀을 당황케 한 사실도 있다. 한국어로 된 협박 편지가 아주 기본적인 오류나 잘못된 문법 구조가 보이는 등 통사적으로 형편없이 쓰였다는 것이다. “왜 그렇게 한국어를 난도질했을까요? 이건 자체만으로도 연구해볼 주제입니다. 한국어를 일부러 엉망진창으로 길게 사용해서 모국어로 한국어를 쓰지 않는다는 걸 보여주면서도, 라자루스 그룹의 공격 인프라를 바꾸지 않은 건 뭘까요?”
플래시포인트는 워너크라이 공격에서 발견된 협박 편지 28건을 연구했는데, 이 편지들은 27개의 다른 언어로 쓰였다. 중국어로 된 편지는 두 건 있었는데 하나는 간체로, 다른 하나는 번체로 쓰였다. 연구자들은 두 개의 중국어 협박 편지가 다른 언어들보다 상세하게 쓰인 데다 직접 작성한 것처럼 보인다고 밝혔다. 다른 편지들이 영어 원문을 다른 언어들로 자동 번역한 것처럼 보이는 것과 대조되는 부분이다. 다른 언어들로는 불가리아어, 불어, 독일어, 이탈리아어, 일본어, 한국어, 러시아어, 스패인어, 베트남어 등이 있었다.
“플래시포인트는 워너크라이 랜섬웨어의 협박 편지를 만든 사람이 중국어를 유창하게 구사한다는 사실을 아주 자신 있게 말씀드릴 수 있습니다. 왜냐하면 편지에 사용된 중국어가 중국 남부, 홍콩, 대만, 싱가포르에서 사용하는 중국어와도 일관되게 나타났기 때문입니다. 플래시포인트는 편지를 쓴 사람이 영어를 모국어로 사용하는 사람은 아니지만 그래도 편안하게 영어를 구사하는 사람이라는 점도 확실하게 말씀드릴 수 있습니다. 그 사람의 국적을 판단하기에 충분한 정보는 아니지만요.” 플래시포인트 연구자들은 25일 자사 블로그를 통해 이 같이 밝혔다.
콘드라는 플래시포인트가 찾은 실마리들이 너무나 흥미롭다고 강조한다. “중국어 협박 편지는 현저하게 다릅니다. 예를 들어, 다른 언어로 된 편지들에선 보이지 않는 구어체적 표현이 중국어 편지에선 대여섯 군데나 나타났습니다.” 콘드라는 설명했다.
“아 참, 깜빡하고 못 말할 뻔 했네”라든지 “하느님이 오셔도 서류를 복구할 순 없을 거야”라는 문구들은 이런 중국어 편지에서 독특하게 드러나는 점이라고 콘드라는 말한다. “이런 작은 문구들은 다른 편지에선 볼 수 없는 맛과 색깔을 더해주고 있습니다.”
콘드라는 중국어 협박 편지가 구글 번역기나 다른 애플리케이션을 통해 번역된 것이 아니라 직접 손으로 타이핑된 것이라고 판단한다. “중국어 협박 편지에는 오타가 있어요. 기계 번역기는 이런 실수를 하지 않습니다.”
한편, 영어로 된 협박 편지도 자연스럽게 읽히는데 영어를 구사하는 사람이 번역 프로그램을 통하지 않고 작성한 것처럼 보인다. 플래시포인트는 영어 편지가 중국어를 제외한 다른 언어로 자동 번역하기 위한 기본 재료로 활용됐을 것이라 말한다.
플래시포인트 연구에 따르면, 영어 협박 편지는 올바르게 철자를 쓰고 대소문자 구분도 했지만 영어가 모국어인 사람에 의해 쓰인 것으로는 보이지 않는다. 이를 알 수 있는 단서로는, 이 편지의 작성자가 어떤 문장에서 “can’t”를 써야할 자리에 “couldn’t”를 사용했다는 점, “당신에게 허락된 시간은 많지 않다”라는 뜻의 “You don’t have enough time”을 “You have not so enough time”과 같이 부정확한 단어 순서로 배치했다는 점 등을 들 수 있다. 이런 패턴들은 고의적인 위장술일 수 있다고 콘드라는 말한다.
플래시포인트는 협박 편지 작성자가 영어에 친숙한 사람이며, 최초 작성한 중국어 편지에 기초해서 영어 편지를 작성하고, 그 영어 편지를 활용해 다른 모든 언어로 기계 번역했을 거라고 설명했다.
플래시포인트의 언어 분석은 북한 라자루스 그룹의 연관성을 확증하거나 부인하는 증거는 아니다. 콘드라는 “안타깝게도 우리는 라자루스에 대해 충분히 알지 못한다”며 “(워너크라이가) 북한과 중국 해커들의 합작일지도 모르는 일”이라고 말했다.
콘드라는 라자루스가 협박 편지 제작을 하청인에게 맡겼을 수도 있다고 짚었는데, 연구자들은 이 편지들이 예전 랜섬웨어 공격에서 사용된 걸 재활용한 것이 아니라 이번 워너크라이 공격을 위해 제작됐다고 결론 내렸다.
[국제부 오다인 기자(boan2@boannews.com)]
협박 편지, 중국어→영어→기타 언어 순으로 작성
북한 라자루스 연관성 부정하는 결과는 아니야
[보안뉴스 오다인 기자] 워너크라이 랜섬웨어 공격에 사용된 협박 편지를 언어학적으로 분석한 결과, 공격 배후에 중국어를 구사하는 사람이 있었던 것으로 나타났다.
[이미지=iclickart]
그러나 이번 사건을 분석한 보안 전문업체 플래시포인트(Flashpoint)의 언어 전문가들은 이 같은 사실이 시만텍, 카스퍼스키 랩, BAE 시스템즈 등의 연구결과와 상충하는 것은 아니라고 지적했다. 즉, 워너크라이 랜섬웨어가 악명 높은 해커 그룹인 북한 라자루스의 소행일 가능성을 배제할 순 없다는 것이다.
“플래시포인트의 발견은 라자루스의 연관성을 꼭 부정하는 것이라고 보긴 어렵습니다. 누구의 소행인지 가려내는 데 추가적인 정보가 됐을 뿐이죠. 일단 저희가 라자루스에 대해 잘 모르기 때문에, 만약 플래시포인트의 분석이 정확하다면 라자루스 내에 중국어 사용자가 있을 가능성도 충분히 있습니다.” 플래시포인트 아태지역 연구이사 존 콘드라(Jon Condra)의 말이다. 라자루스 자체가 중국어권 사람들로 구성됐을 수도 있고, 또는 모국어와 더불어 중국어를 구사하는 사람들로 구성됐을 수도 있다는 의미다.
시만텍은 역대급 워너크라이 랜섬웨어가 북한 해커들의 소행이라는 자사 주장을 이번 주에 한 차례 더 강조했지만 국가의 지원을 받은 캠페인은 아니었다고 덧붙였다. 워너크라이는 지난 5월 12일에 공격을 시작한 이래 150여 개국 23만 대의 기기를 감염시켰지만, 그 규모에 비해 벌어들인 랜섬은 약 1억1천만 원으로 상당히 저조한 수준이다. 구글, 카스퍼스키 랩, BAE 시스템즈 등의 연구자들도 라자루스의 연관성을 의심하고 있는데, 아직 누구의 소행인지 말하기는 너무 이르다고 말하는 보안 기업들도 있다.
북한은 매우 고립돼있고 비밀에 싸여있는데 온라인은 특히 더 그렇다. 이 때문에 북한의 사이버 기기들을 살펴보는 것이 매우 어려운데, 전문가들은 오랜 기간 북한이 중국 같은 외국에서 해커들을 운영해왔다고 분석한다. 해킹 활동을 숨기고 조사관들을 따돌리기 위해서 말이다.
콘드라는 북한 사람들이 중국 등지로 자주 돌아다니며 타국에선 현지 언어를 사용하는 것으로 알려져 있다고 말한다. 북한 해커들은 중국에서 활동하는 것으로 추정되며, 특히 중국 북동 쪽과 말레이시아, 그리고 동남아 지역에서 점점 더 많이 활동하고 있다. 콘드라는 “라자루스 내부의 누군가나 그 누군가를 알고 있는 관계자가 워너크라이 작업에 참여했을 가능성”이 매우 높다고 설명했다.
어떤 보안 전문가들은 북한의 사이버 작전이 북한 국경을 넘어 확산하고 있다고 짚었다. 보안 전문업체 피델리스 사이버 보안(Fidelis Cybersecurity)의 위협 첩보 시스템 관리자인 존 밤베넥(John Bambenek)은 북한 정부가 지원하는 사이버 작전이 북한 내에서 펼쳐지는 게 아니라서 효과적이라고 말한다.
그러나 플래시포인트의 콘드라와 그의 팀을 당황케 한 사실도 있다. 한국어로 된 협박 편지가 아주 기본적인 오류나 잘못된 문법 구조가 보이는 등 통사적으로 형편없이 쓰였다는 것이다. “왜 그렇게 한국어를 난도질했을까요? 이건 자체만으로도 연구해볼 주제입니다. 한국어를 일부러 엉망진창으로 길게 사용해서 모국어로 한국어를 쓰지 않는다는 걸 보여주면서도, 라자루스 그룹의 공격 인프라를 바꾸지 않은 건 뭘까요?”
플래시포인트는 워너크라이 공격에서 발견된 협박 편지 28건을 연구했는데, 이 편지들은 27개의 다른 언어로 쓰였다. 중국어로 된 편지는 두 건 있었는데 하나는 간체로, 다른 하나는 번체로 쓰였다. 연구자들은 두 개의 중국어 협박 편지가 다른 언어들보다 상세하게 쓰인 데다 직접 작성한 것처럼 보인다고 밝혔다. 다른 편지들이 영어 원문을 다른 언어들로 자동 번역한 것처럼 보이는 것과 대조되는 부분이다. 다른 언어들로는 불가리아어, 불어, 독일어, 이탈리아어, 일본어, 한국어, 러시아어, 스패인어, 베트남어 등이 있었다.
“플래시포인트는 워너크라이 랜섬웨어의 협박 편지를 만든 사람이 중국어를 유창하게 구사한다는 사실을 아주 자신 있게 말씀드릴 수 있습니다. 왜냐하면 편지에 사용된 중국어가 중국 남부, 홍콩, 대만, 싱가포르에서 사용하는 중국어와도 일관되게 나타났기 때문입니다. 플래시포인트는 편지를 쓴 사람이 영어를 모국어로 사용하는 사람은 아니지만 그래도 편안하게 영어를 구사하는 사람이라는 점도 확실하게 말씀드릴 수 있습니다. 그 사람의 국적을 판단하기에 충분한 정보는 아니지만요.” 플래시포인트 연구자들은 25일 자사 블로그를 통해 이 같이 밝혔다.
콘드라는 플래시포인트가 찾은 실마리들이 너무나 흥미롭다고 강조한다. “중국어 협박 편지는 현저하게 다릅니다. 예를 들어, 다른 언어로 된 편지들에선 보이지 않는 구어체적 표현이 중국어 편지에선 대여섯 군데나 나타났습니다.” 콘드라는 설명했다.
“아 참, 깜빡하고 못 말할 뻔 했네”라든지 “하느님이 오셔도 서류를 복구할 순 없을 거야”라는 문구들은 이런 중국어 편지에서 독특하게 드러나는 점이라고 콘드라는 말한다. “이런 작은 문구들은 다른 편지에선 볼 수 없는 맛과 색깔을 더해주고 있습니다.”
콘드라는 중국어 협박 편지가 구글 번역기나 다른 애플리케이션을 통해 번역된 것이 아니라 직접 손으로 타이핑된 것이라고 판단한다. “중국어 협박 편지에는 오타가 있어요. 기계 번역기는 이런 실수를 하지 않습니다.”
한편, 영어로 된 협박 편지도 자연스럽게 읽히는데 영어를 구사하는 사람이 번역 프로그램을 통하지 않고 작성한 것처럼 보인다. 플래시포인트는 영어 편지가 중국어를 제외한 다른 언어로 자동 번역하기 위한 기본 재료로 활용됐을 것이라 말한다.
플래시포인트 연구에 따르면, 영어 협박 편지는 올바르게 철자를 쓰고 대소문자 구분도 했지만 영어가 모국어인 사람에 의해 쓰인 것으로는 보이지 않는다. 이를 알 수 있는 단서로는, 이 편지의 작성자가 어떤 문장에서 “can’t”를 써야할 자리에 “couldn’t”를 사용했다는 점, “당신에게 허락된 시간은 많지 않다”라는 뜻의 “You don’t have enough time”을 “You have not so enough time”과 같이 부정확한 단어 순서로 배치했다는 점 등을 들 수 있다. 이런 패턴들은 고의적인 위장술일 수 있다고 콘드라는 말한다.
플래시포인트는 협박 편지 작성자가 영어에 친숙한 사람이며, 최초 작성한 중국어 편지에 기초해서 영어 편지를 작성하고, 그 영어 편지를 활용해 다른 모든 언어로 기계 번역했을 거라고 설명했다.
플래시포인트의 언어 분석은 북한 라자루스 그룹의 연관성을 확증하거나 부인하는 증거는 아니다. 콘드라는 “안타깝게도 우리는 라자루스에 대해 충분히 알지 못한다”며 “(워너크라이가) 북한과 중국 해커들의 합작일지도 모르는 일”이라고 말했다.
콘드라는 라자루스가 협박 편지 제작을 하청인에게 맡겼을 수도 있다고 짚었는데, 연구자들은 이 편지들이 예전 랜섬웨어 공격에서 사용된 걸 재활용한 것이 아니라 이번 워너크라이 공격을 위해 제작됐다고 결론 내렸다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
