최근 수정 시각 : 2024-10-27 01:34:32

후이즈(해커그룹)


1. 개요2. 상세3. 해당 사건 이후 발생한 주요 사건들
3.1. 원자력 발전소를 대상으로 한 사이버 위협 가시화3.2. 사이버 전쟁 가시화3.3. 군사 영역에서 민생 영역으로 번지는 사이버 전쟁
4. 유사한 해커 그룹
4.1. 후엠아이(Who Am I)4.2. 김수키(Kimsuky)4.3. 다크호텔(Darkhotel)4.4. 61398 부대(Unit 61398)4.5. 8200 부대(Unit 8200)
5. 후일담

1. 개요

후이즈(Whois)는 대한민국의 사회 인프라를 주 공격 대상으로 삼는 것으로 추정되는 해커그룹의 필명이다.

2. 상세

2013년 3월 20일, KBS, MBC, YTN 등 국내 주요 방송사와 농협, 신한은행 등 금융기관의 내부 전산망이 마비되고, LG유플러스 그룹웨어 아시아나항공 웹사이트 등이 변조 공격을 받는 사건이 있었다. 공격을 받은 시스템은 공통적으로 'Hacked By Whois'라는 메시지가 나타나서 보안업계에서는 이들을 '후이즈팀'이라고 명명했다.

3. 해당 사건 이후 발생한 주요 사건들

후이즈팀의 사례는 한 국가의 기간망이 사이버 공격에 의해 마비되거나 침해될 수 있다는 개념을 증명한 대표적인 사례가 되었으며, 이를 기점으로 유사 사례들이 나오기 시작한다.

3.1. 원자력 발전소를 대상으로 한 사이버 위협 가시화

이 사건 이후 1년 뒤 후엠아이라는 유사한 필명을 사용하는 해커가 발전소와 연관된 기관에서 사용하던 PC 4대에 침입하여 정보를 유출한 뒤 시스템을 파괴한 뒤 대한민국 내에서 운영되는 원자력 발전소의 설계도를 인터넷에 공개하였다. 당시 해당 사건이 후이즈 팀과 동일한 조직 또는 인물의 소행일 가능성이 제기되었지만 근거는 부족하였다고 한다.

후이즈 팀과 후엠아이 팀이 일으킨 사건은 이후 해킹을 소재로 한 국내 방송물에도 영향을 주었다. 스턱스넷을 소재로 다루었던 2012년 방영된 드라마 < 유령>이 종영 이후에 재조명을 받았고, 2019년 유튜브로 송출된 웹드라마인 < 남과 북>에서도 해당 사건이 소재로 쓰였다.

3.2. 사이버 전쟁 가시화

공교롭게도 대한민국에서는 2014년을 기점으로 화제가 된 해킹 사건이 많았다. 소니 픽처스 해킹 사건의 배후로 북한이 지목되기도 했으며, 대한민국에서는 국정원 해킹 프로그램 도입 논란이 일어나는 등 대한민국에서 일어나는 사이버 전쟁의 존재를 세상에 드러낼 수밖에 없는 시기였다.

3.3. 군사 영역에서 민생 영역으로 번지는 사이버 전쟁

이후 공공기관이 공격대상에 포함된 대량 해킹 사례로는 2017년 S알바 사건이 있다. 2017년부터는 내용을 유심히 보면 알겠지만 대한민국에서 2014년과 2017년에 화제가 된 사이버 범죄가 그 유형이 많이 다름을 알 수 있다.

2014년 전후에 화제가 된 사이버 범죄는 주로 자국민 대상 또는 국가 사이의 군사 작전이라 볼 수 있는 사건이 주를 이룬 만큼 주체도 군사와 연관이 있는 단체였다. 이후, 2017년 전후에 화제가 된 사이버 범죄는 민생 영역을 파고드는 경향으로 크게 바뀌었다.

가령, 2014년 파밍 악성코드 유행을 시발점으로 컴퓨터 기술이 동원된 사이버 범죄에 의한 전자금융사기(예를 들어, 악성코드를 동반한 보이스피싱 몸캠피싱 등)가 지속적으로 증가했고, 랜섬웨어가 지금과 같은 모습으로 2012년에 알려진 이래 전례없는 호황을 맞았으며, 2019년에 일어난 N번방 사건과 2020년에 일어난 중계동 가정집 해킹 사건에서 그 특징이 뚜렷하게 나타난다.

4. 유사한 해커 그룹

4.1. 후엠아이(Who Am I)

후엠아이(Who Am I)는 대한민국의 원자력 발전소를 공격 대상으로 삼는 해커그룹의 필명이다.

2014년 한국수자원공사가 관리하는 원자력 발전소의 설계도가 인터넷에 그대로 올라오는 사건이 있었다. 강제 오픈소스 공개된 자료에는 워터마크로 'Who Am I'라는 문구가 적혀있었으며, 이로 인해 '후엠아이' 사건으로도 불린다.

비슷한 필명을 가진 해커 그룹으로는 후이즈(Whois)가 있다. 두 해커 그룹은 비슷한 시기(2013년~2014년)에 대한민국의 인터넷 기반을 공격한 공통점을 가지고 있다.

4.2. 김수키(Kimsuky)

김수키(Kimsuky)는 북한의 지원을 받는 국가지원 해커그룹의 별칭이다. 그들의 공격 대상은 다양한 국가의 개인, 기업, 기관을 포함하고 있어 활동 범위가 매우 넓다.

북한의 자금책 역할로서 수행한 공격이 일반에 주로 알려져 있다. 해외의 은행을 해킹하여 무단인출 사고를 종종 일으켰는데, 최근에는 가상화폐를 거래하는 개인이나 거래소 등을 상대로 비슷한 일을 벌이고 있다.

2015년에는 대한민국의 원자력 발전소를 공격한 적이 있으며 #, 2021년에는 대한민국의 선박 설계 및 건조 업체를 공격하여 핵잠수함 관련 자료를 유출하였다. #

북한의 또 다른 국가지원 해커그룹인 라자루스와도 여러 방면에서 비슷하다. 큰 차이점은 김수키(Kimsuky)는 정보수집이 주 목적인 반면, 라자루스(Lazarus)는 공격 대상의 파괴를 추구하는 경향이 있다.

4.3. 다크호텔(Darkhotel)

다크호텔(Darkhotel)은 북한, 중국을 제외한 동아시아권 및 유럽권 국가로 부터 지원을 받는 것으로 추정되는 다국적 연합 해커그룹이다.

대한민국의 경우 특정 정보기관이 이 연합에 가입되어 있다는 주장이 있다.

주로 자료수집 활동을 한다. 주로 북한 동향이나 동아시아권의 대규모 조직 임원과 연관된 자료를 수집한다.

협력 해커그룹으로는 스카크러프트(ScarCruft)가 있다. 특이하게도, 스카크러프트(ScarCruft)는 북한의 국가지원 해커그룹임에도 대한민국의 정보기관이 지원하는 것으로 추정되는 다크호텔(Darkhotel)과 협력 관계를 가지고 있다. 이렇게 남북한의 해커그룹이 협력하는 이유로는 중국을 견제하기 위함이라는 주장이 있다.

4.4. 61398 부대(Unit 61398)

61398 부대(Unit 61398)는 중국의 군부대에 기반을 둔 해커그룹이다. 해당 군부대는 중국 인민해방군 총참모부 3부 2국이다.

중국에는 현재 수십개의 국가지원 해커그룹이 있다. 현존하는 중국의 모든 국가지원 해커그룹의 원형이라고 할 수 있다. 61398 부대는 오늘날의 형태를 가진 국가지원 해커그룹이라는 개념을 전 세계에 알린 시초이다.

사실상 세계 모든 국가를 상대로 온갖 다양한 해킹을 행해왔다. 그래서 보안업계에서 붙인 별칭도 APT1이다. #

4.5. 8200 부대(Unit 8200)

8200 부대(Unit 8200)는 이스라엘의 군부대에 기반을 둔 해커그룹이다. 해킹을 통해 적국의 주요 시설을 공격한 사례가 유명한데, 2010년 이란의 원자력 발전소를 공격했던 스턱스넷 사건과 2024년 레바논 및 시리아 무선호출기 폭발 등이 알려져 있다.

5. 후일담

해당 해커그룹이 사이버 공격을 감행한 날, 이름이 동일한 국내 호스팅 업체는 갑자기 늘어난 관련 문의를 감당해야 했다고 한다.