후이즈(해커그룹)

최근 편집일시 :

분류


1. 개요
2. 상세
3. 연관 해커그룹
3.1. 후엠아이(Who Am I)
3.2. 킴수키(Kimsuky)
3.3. 다크호텔(Darkhotel)
3.4. 61398 부대(Unit 61398)
4. 후일담



1. 개요[편집]

후이즈(Whois)는 대한민국의 사회 인프라를 주 공격 대상으로 삼는 것으로 추정되는 해커그룹의 필명이다.


2. 상세[편집]

2013년 3월 20일, KBS, MBC, YTN 등 국내 주요 방송사와 농협, 신한은행 등 금융기관의 내부 전산망이 마비되고, LG유플러스그룹웨어아시아나항공 웹사이트 등이 변조 공격을 받는 사건이 있었다. 공격을 받은 시스템은 공통적으로 'Hacked By Whois'라는 메시지가 나타나서 보안업계에서는 이들을 '후이즈팀'이라고 명명했다.

이 사건 이후 1년 뒤 후엠아이라는 유사한 필명을 사용하는 해커가 발전소와 연관된 기관에서 사용하던 PC 4대에 침입하여 정보를 유출한 뒤 시스템을 파괴하였고, 대한민국 내에서 운영되는 원자력 발전소의 설계도를 인터넷에 공개하면서 동일한 인물 또는 조직의 소행일 가능성이 제기되었지만 근거가 부족하여 조사과정에서는 인정되지 않았다.

당시 해당 두 사건으로 인해 스턱스넷을 소재로 다루었던 2012년 방영된 드라마 <유령>이 재조명되기도 했다. 2019년 유튜브로 송출된 웹드라마인 <남과 북>에서도 비슷한 소재가 쓰였다.

공교롭게도 2014년 전후를 기점으로 화제가 된 해킹이 많았다. 북한이 배후로 지목된 소니 픽처스 해킹 사건도 이 시기에 일어났다. 2015년에는 국가정보원이 자국민을 감청할 목적으로 해킹 프로그램을 구매한 사실이 밝혀지는 등 대한민국 역사상 가장 치열했던 사이버 전쟁의 시기였다.

이후 공공기관이 공격대상에 포함된 대량 해킹 사례로는 2017년 'S알바 사건'(트위터 대량해킹 사건)이 있다. 2017년부터는 내용을 유심히 보면 알겠지만 대한민국에서 2014년과 2017년에 화제가 된 사이버 범죄가 그 유형이 많이 다름을 알 수 있다.

2014년 전후에 화제가 된 사이버 범죄는 주로 자국민 대상 또는 국가 사이의 군사 작전이라 볼 수 있는 사건이 주를 이룬 만큼 주체도 군사와 연관이 있는 단체였다. 이후, 2017년 전후에 화제가 된 사이버 범죄는 민생 영역을 파고드는 경향으로 크게 바뀌었다.

가령, 2014년 파밍 악성코드 유행을 시발점으로 컴퓨터 기술이 동원된 사이버 범죄에 의한 전자금융사기(예를 들어, 악성코드를 동반한 보이스피싱몸캠피싱 등)가 지속적으로 증가했고, 랜섬웨어가 지금과 같은 모습으로 2012년에 알려진 이래 전례없는 호황을 맞았으며, 2019년에 일어난 N번방 사건과 2020년에 일어난 중계동 가정집 해킹 사건에서 그 특징이 뚜렷하게 나타난다.


3. 연관 해커그룹[편집]



3.1. 후엠아이(Who Am I)[편집]

후엠아이(Who Am I)는 대한민국의 원자력 발전소를 공격 대상으로 삼는 해커그룹의 필명이다.

2014년 한국수자원공사가 관리하는 원자력 발전소의 설계도가 인터넷에 그대로 올라오는 사건이 있었다. 강제 오픈소스 공개된 자료에는 워터마크로 'Who Am I'라는 문구가 적혀있었으며, 이로 인해 '후엠아이' 사건으로도 불린다.

비슷한 필명을 가진 해커 그룹으로는 후이즈(Whois)가 있다. 두 해커 그룹은 비슷한 시기(2013년~2014년)에 대한민국의 인터넷 기반을 공격한 공통점을 가지고 있다.


3.2. 킴수키(Kimsuky)[편집]

킴수키(Kimsuky)는 북한의 지원을 받는 국가지원 해커그룹의 별칭이다. 그들의 공격 대상은 다양한 국가의 개인, 기업, 기관을 포함하고 있어 활동 범위가 매우 넓다.

북한의 자금책 역할로서 수행한 공격이 일반에 주로 알려져 있다. 해외의 은행을 해킹하여 무단인출 사고를 종종 일으켰는데, 최근에는 가상화폐를 거래하는 개인이나 거래소 등을 상대로 비슷한 일을 벌이고 있다.

2015년에는 대한민국의 원자력 발전소를 공격한 적이 있으며 #, 2021년에는 대한민국의 선박 설계 및 건조 업체를 공격하여 핵잠수함 관련 자료를 유출하였다. #

북한의 또 다른 국가지원 해커그룹인 라자루스와도 여러 방면에서 비슷하다. 큰 차이점은 킴수키(Kimsuky)는 정보수집이 주 목적인 반면, 라자루스(Lazarus)는 공격 대상의 파괴를 추구하는 경향이 있다.


3.3. 다크호텔(Darkhotel)[편집]

다크호텔(Darkhotel)은 북한, 중국을 제외한 동아시아권 및 유럽권 국가로 부터 지원을 받는 것으로 추정되는 다국적 연합 해커그룹이다.

대한민국의 경우 특정 정보기관이 이 연합에 가입되어 있다는 주장이 있다.

주로 자료수집 활동을 한다. 주로 북한 동향이나 동아시아권의 대규모 조직 임원과 연관된 자료를 수집한다.

협력 해커그룹으로는 스카크러프트(ScarCruft)가 있다. 특이하게도, 스카크러프트(ScarCruft)는 북한의 국가지원 해커그룹임에도 대한민국의 정보기관이 지원하는 것으로 추정되는 다크호텔(Darkhotel)과 협력 관계를 가지고 있다. 이렇게 남북한의 해커그룹이 협력하는 이유로는 중국을 견제하기 위함이라는 주장이 있다.


3.4. 61398 부대(Unit 61398)[편집]

61398 부대(Unit 61398)는 중국의 군부대에 기반을 둔 해커그룹이다. 해당 군부대는 중국 인민해방군 총참모부 3부 2국이다.

중국에는 현재 수십개의 국가지원 해커그룹이 있다. 현존하는 중국의 모든 국가지원 해커그룹의 원형이라고 할 수 있다. 61398 부대는 오늘날의 형태를 가진 국가지원 해커그룹이라는 개념을 전 세계에 알린 시초이다.

사실상 세계 모든 국가를 상대로 온갖 다양한 해킹을 행해왔다. 그래서 보안업계에서 붙인 별칭도 APT1이다. #


4. 후일담[편집]

해당 해커그룹이 사이버 공격을 감행한 날, 이름이 동일한 국내 호스팅 업체는 갑자기 늘어난 관련 문의를 감당해야 했다고 한다.

파일:크리에이티브 커먼즈 라이선스__CC.png 이 문서의 내용 중 전체 또는 일부는 2023-12-27 07:55:36에 나무위키 후이즈(해커그룹) 문서에서 가져왔습니다.

관련 문서