17일 체크포인트는 워너크라이 랜섬웨어와 관련된 비트코인 계정 3개에 3만3000달러 이상이 누적됐음에도 파일을 돌려받았다는 사람을 찾을 수 없었다고 밝혔다.

이 랜섬웨어는 지난 12일(현지시간)부터 확산되기 시작했다. 해커는 일주일 후에도 대가를 지불하지 않으면 데이터를 삭제하겠다고 협박하고 있다.

체크포인트는 이 랜섬웨어 복호화 프로세스에 문제가 있다고 설명했다. 워너크라이는 다른 랜섬웨어와 달리 지불 수단과 지불하는 사람 사이에는 별다른 연결고리가 없다는 것이다.

또 다른 랜섬웨어 케르베르(Cerber) 등 대부분 랜섬웨어는 각 피해자의 고유 ID와 비트코인 지갑을 생성하기 때문에 누구에게 복호화키를 보내야 할지 알고 있다. 반면, 워너크라이는 돈을 지불한 후 계속 기다리라고만 한다.

체크포인트 관계자는 “랜섬웨어는 고객을 지원하는 데 자부심을 가지고 있으며 연락하기도 쉬운데, 워너크라이는 그렇지 않다”며 “웨어 개발자에게 연락하는 방법은 랜섬 노트 화면에 있는 문의하기 옵션뿐이며, 최선을 다해 연락을 시도했지만 아직 회신을 받지 못했다”고 말했다.

이 랜섬웨어는 두 가지 개별 복호화·암호화 루틴이 있다. 하나는 피해자의 파일 전체에 적용하는 것으로, 각 파일을 고유키로 암호화한다. 파일을 복호화하려면 개발자가 제공하는 비공개 RSA키(.dky 파일로 제공)가 필요하다.

또 다른 루틴은 무료 데모로 10개 파일을 복호화하는 것이다. 마치 파일 복호화가 가능한 것처럼 피해자를 안심시키고 랜섬을 지불하도록 설득하기 위한 것. 이 10개 파일은 암호화 당시 무작위로 선택되고 각 파일이 고유키로 암호화된다. 그러나 이 10개 파일의 비공개 RSA 키는 피해자의 컴퓨터에 로컬로 저장된다.

체크포인트 관계자는 “워너크라이의 개발자가 파일을 복호화할 능력이 있는지조차 의심스럽다”고 전했다.

<최민지 기자>cmj@ddaily.co.kr