[[분류:컴퓨터 보안]]
[목차]

== 개요 ==
후이즈(Whois)는 [[대한민국]]의 사회 인프라를 주 공격 대상으로 삼는 것으로 추정되는 해커그룹의 필명이다.

== 상세 ==
2013년 3월 20일, [[KBS]], [[MBC]], [[YTN]] 등 국내 주요 방송사와 [[농협]], [[신한은행]] 등 금융기관의 내부 전산망이 마비되고, [[LG유플러스]]의 [[그룹웨어]]와 [[아시아나항공]] 웹사이트 등이 변조 공격을 받는 사건이 있었다. 공격을 받은 시스템은 공통적으로 'Hacked By Whois'라는 메시지가 나타나서 보안업계에서는 이들을 '후이즈팀'이라고 명명했다.

이 사건 이후 1년 뒤 [[Who Am I(동음이의어)#s-6|후엠아이]]라는 유사한 필명을 사용하는 해커가 발전소와 연관된 기관에서 사용하던 PC 4대에 침입하여 정보를 유출한 뒤 시스템을 파괴하였고, 대한민국 내에서 운영되는 [[원자력 발전소]]의 설계도를 인터넷에 공개하면서 동일한 인물 또는 조직의 소행일 가능성이 제기되었지만 근거가 부족하여 조사과정에서는 인정되지 않았다.

당시 해당 두 사건으로 인해 [[스턱스넷]]을 소재로 다루었던 2012년 방영된 드라마 <[[유령(드라마)|유령]]>이 재조명되기도 했다. 2019년 [[유튜브]]로 송출된 [[웹드라마]]인 <[[POWER MOVIE/작품/남과 북|남과 북]]>에서도 비슷한 소재가 쓰였다.

공교롭게도 2014년 전후를 기점으로 화제가 된 해킹이 많았다. 북한이 배후로 지목된 [[소니 픽처스#s-5.2|소니 픽처스 해킹 사건]]도 이 시기에 일어났다. 2015년에는 [[국가정보원]]이 자국민을 감청할 목적으로 [[국정원 해킹 프로그램 도입 논란|해킹 프로그램을 구매]]한 사실이 밝혀지는 등 [[대한민국]] 역사상 가장 치열했던 [[사이버 전쟁]]의 시기였다.

이후 공공기관이 공격대상에 포함된 대량 해킹 사례로는 [[블로그 납치#s-2.2|2017년 'S알바 사건'(트위터 대량해킹 사건)]]이 있다. 2017년부터는 내용을 유심히 보면 알겠지만 대한민국에서 2014년과 2017년에 화제가 된 사이버 범죄가 그 유형이 많이 다름을 알 수 있다.

2014년 전후에 화제가 된 사이버 범죄는 주로 자국민 대상 또는 국가 사이의 군사 작전이라 볼 수 있는 사건이 주를 이룬 만큼 주체도 군사와 연관이 있는 단체였다. 이후, 2017년 전후에 화제가 된 사이버 범죄는 [[서민|민생]] 영역을 파고드는 경향으로 크게 바뀌었다.

가령, 2014년 [[파밍 악성코드]] 유행을 시발점으로 컴퓨터 기술이 동원된 사이버 범죄에 의한 [[전기통신금융사기|전자금융사기]](예를 들어, [[악성코드]]를 동반한 [[보이스피싱]]과 [[통신매체이용음란죄#s-4|몸캠피싱]] 등)가 지속적으로 증가했고, [[랜섬웨어]]가 지금과 같은 모습으로 2012년에 알려진 이래 전례없는 호황을 맞았으며, 2019년에 일어난 [[n번방 성착취물 제작 및 유포 사건|N번방 사건]]과 2020년에 일어난 [[중계동 가정집 해킹 사건]]에서 그 특징이 뚜렷하게 나타난다.

== 연관 해커그룹 ==

=== 후엠아이(Who Am I) ===
후엠아이(Who Am I)는 대한민국의 [[원자력 발전소]]를 공격 대상으로 삼는 해커그룹의 필명이다.

2014년 한국수자원공사가 관리하는 원자력 발전소의 설계도가 인터넷에 그대로 올라오는 사건이 있었다. ~~강제 오픈소스~~ 공개된 자료에는 워터마크로 'Who Am I'라는 문구가 적혀있었으며, 이로 인해 '후엠아이' 사건으로도 불린다.

비슷한 필명을 가진 해커 그룹으로는 후이즈(Whois)가 있다. 두 해커 그룹은 비슷한 시기(2013년~2014년)에 대한민국의 인터넷 기반을 공격한 공통점을 가지고 있다.

=== 킴수키(Kimsuky) ===
킴수키(Kimsuky)는 [[북한]]의 지원을 받는 국가지원 해커그룹의 별칭이다. 그들의 공격 대상은 다양한 국가의 개인, 기업, 기관을 포함하고 있어 활동 범위가 매우 넓다.

[[북한]]의 자금책 역할로서 수행한 공격이 일반에 주로 알려져 있다. 해외의 은행을 해킹하여 무단인출 사고를 종종 일으켰는데, 최근에는 가상화폐를 거래하는 개인이나 거래소 등을 상대로 비슷한 일을 벌이고 있다.

2015년에는 대한민국의 [[원자력 발전소]]를 공격한 적이 있으며 [[https://www.segye.com/newsView/20150317004650?OutUrl=naver|#]], 2021년에는 대한민국의 선박 설계 및 건조 업체를 공격하여 [[핵잠수함]] 관련 자료를 유출하였다. [[https://news.joins.com/article/24086464|#]]

북한의 또 다른 국가지원 해커그룹인 [[라자루스]]와도 여러 방면에서 비슷하다. 큰 차이점은 킴수키(Kimsuky)는 정보수집이 주 목적인 반면, 라자루스(Lazarus)는 공격 대상의 파괴를 추구하는 경향이 있다.

=== [[다크호텔]](Darkhotel) ===
[[다크호텔]](Darkhotel)은 [[북한]], [[중국]]을 제외한 동아시아권 및 유럽권 국가로 부터 지원을 받는 것으로 추정되는 다국적 연합 해커그룹이다.

대한민국의 경우 특정 정보기관이 이 연합에 가입되어 있다는 주장이 있다.

주로 자료수집 활동을 한다. 주로 북한 동향이나 동아시아권의 대규모 조직 임원과 연관된 자료를 수집한다.

협력 해커그룹으로는 스카크러프트(ScarCruft)가 있다. 특이하게도, 스카크러프트(ScarCruft)는 [[북한]]의 국가지원 해커그룹임에도 [[대한민국]]의 정보기관이 지원하는 것으로 추정되는 다크호텔(Darkhotel)과 협력 관계를 가지고 있다. 이렇게 남북한의 해커그룹이 협력하는 이유로는 중국을 견제하기 위함이라는 주장이 있다.

=== 61398 부대(Unit 61398) ===
61398 부대(Unit 61398)는 [[중국]]의 군부대에 기반을 둔 해커그룹이다. 해당 군부대는 중국 인민해방군 총참모부 3부 2국이다.

중국에는 현재 수십개의 국가지원 해커그룹이 있다. 현존하는 중국의 모든 국가지원 해커그룹의 원형이라고 할 수 있다. 61398 부대는 오늘날의 형태를 가진 국가지원 해커그룹이라는 개념을 전 세계에 알린 시초이다.

사실상 세계 모든 국가를 상대로 온갖 다양한 해킹을 행해왔다. 그래서 보안업계에서 붙인 별칭도 APT1이다. [[https://www.fireeye.kr/current-threats/apt-groups.html|#]]

== 후일담 ==
해당 해커그룹이 사이버 공격을 감행한 날, 이름이 동일한 국내 [[호스팅]] 업체는 갑자기 늘어난 관련 문의를 감당해야 했다고 한다.

  * [[http://www.inews24.com/view/732221|'이름이 같아서' 호스팅 업체 후이즈 곤혹 (아이뉴스24, 2013월 3월 21일)]]
  * [[https://www.etoday.co.kr/news/view/707142|도메인업체 후이즈, 해커그룹 후이즈와 이름같아 곤욕 (이투데이, 2013년 3월 22일)]]