워너크라이(WannaCry) 랜섬웨어에 감염되면 어떻게 해야 할까. 어제 오후 6시까지 한국인터넷진흥원의 집계에 따르면, 이번 랜섬웨어 국내 감염신고는 총 12건이다. 이럴 경우 공격자들이 요구하는대로 돈을 지불해야 할까 말아야 할까. 결론부터 말하자면 워너크라이 랜섬웨어가 요구하는 랜섬을 지불하지 말아야 한다.

체크포인트는 그 이유를 다음과 같이 설명하고 있다.

워너크라이 랜섬웨어와 관련된 비트코인 계정 3개에 33,000달러 이상이 누적되었다. 그럼에도 불구하고 파일을 돌려받았다는 사람은 단 한 명도 없기 때문이다.

간단히 말하면, 복호화 프로세스에도 문제가 있다. 워너크라이는 다른 랜섬웨어와 달리 지불 수단과 지불하는 사람 사이에는 별다른 연결 고리가 없다. 케르베르(Cerber)와 같은 대부분 랜섬웨어는 각 피해자의 고유 ID와 비트코인 지갑을 생성하기 때문에 누구에게 복호화키를 보내야 할지 알고 있다. 반면 워너크라이는 돈을 지불한 후 계속 기다리라고만 한다. ‘지불하기(Check Payment)’ 버튼을 누를 수도 있지만 지금까지는 다음과 같은 결과만 나왔다.

대부분 A급 랜섬웨어는 고객을 지원하는 데 자부심을 가지고 있으며 연락하기도 쉽다. 하지만 워너크라이는 그렇지 않다. 이 멀웨어 개발자에게 연락하는 방법은 랜섬노트 화면에 있는 “문의하기” 옵션뿐이다. 체크포인트도 최선을 다해 연락을 시도했지만 아직 회신을 받지 못했다고 밝혔다.

마지막으로, 지금까지 체크포인트가 조사한 바에 따르면 워너크라이 개발자가 파일을 복호화할 능력이 있는지조차 의심스럽다고 말했다.

이 멀웨어에는 두 가지 개별 복호화/암호화 루틴이 있다. 하나는 피해자의 파일 전체에 적용하는 것으로, 각 파일을 고유 키로 암호화한다. 파일을 복호화하려면 개발자가 제공하는 비공개 RSA 키(“.dky” 파일로 제공)가 필요하다.

두 번째 암호화/복호화 루틴은 “무료 데모”로 10개 파일을 복호화하는 것이다. 마치 파일 복호화가 가능한 것처럼 피해자를 안심시키고 랜섬을 지불하도록 설득하기 위한 것이다. 이 10개 파일은 암호화 당시 무작위로 선택되고 각 파일이 고유 키로 암호화된다. 그러나 이 10개 파일의 비공개 RSA 키는 피해자의 컴퓨터에 로컬로 저장된다. 이 내용은 아래에서 확인할 수 있다.

그림 A에서와 같이 메인 복호화 함수는 비공개 RSA 키가 들어 있는 “.dky” 파일을 호출한다. 그러면 피해자 컴퓨터의 모든 파일이 복호화되어야 한다. 그림 B에서도 유사한 함수를 확인할 수 있다. 이번에는 암호화 모듈이 드롭한 “f.wnry” 파일을 호출하는데, 여기에는 데모 파일 목록이 포함되어 있다. 비공개 RSA 키는 이미 모듈에 하드 코드되어 있다. 두 함수는 모두 import_RSA_key(그림 C) 모듈을 호출한다. 메인 암호 해독기는 “.dky” 파일의 경로를 인수로 사용하고, 데모는 null을 인수로 사용한다.

체크포인트 측은, 아직 파일을 돌려받은 사람이 아무도 나타나지 않은 데다 문제가 있는 지불, 복호화 시스템 및 거짓 복호화 작업 데모까지 고려했을 때, 워너크라이 개발자가 파일을 복호화하겠다는 약속을 지킬 수 있는지 의심스럽다고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★