[단독] "전산망 대란 주범, '후이즈 팀' 맞다"

↑3.20 LG유플러스 그룹웨어 해킹 당시 변조된 화면.

KBS, MBC, YTN 등 방송사와 신한은행 등 금융 전산망이 일시에 다운된 3.20 사이버 대란을 일으킨 공격자가 당일 LG유플러스 (9,810원 ▲60 +0.62%) 그룹웨어 사이트를 변조시킨 자칭 '후이즈(Whois)'라는 해커팀과 동일하다는 분석이 나왔다. 사상 초유의 3.20 전산망 대란 주범이 후이즈일 가능성이 높아졌다.

지난 20일 '후이즈'가 전산망 대란의 주범이 아니냐는 관측이 제기됐지만 관계당국은 가능성을 일축한 바 있다.


아울러 지난해 6월 발생한 중앙일보 뉴스 사이트 해킹공격도 동일범의 소행 아니냐는 관측까지 제기되고 있다.

21일 악성코드 분석가들에 따르면, 이번에 3.20 사이버 대란시 사용된 것으로 추정된 수종의 악성코드들 가운데 LG유플러스 그룹웨어 사이트 변조화면과 동일하게 바꾸는 '디페이스' 악성파일이 포함돼 있었던 것으로 이날 새벽 추가 확인됐다.

디페이스란 특정 사이트에 접속할 경우, 변조된 화면을 보여주는 기능으로, 당시 LG유플러스 고객들이 그룹웨어 사이트에 접속하면 해골화면이 보여진 바 있다.


변조된 화면에서 '후이즈'라는 해킹 팀은 "We have an Interest in Hacking. This is the Beginning of Our Movement. User Acounts and All Data are in Our Hands. Unfortunately, We have deleted Your Data. We'll be back Soon.(우리는 해킹에 관심 있다. 이것은 우리 행동의 시작이다. 사용자 계정과 데이터는 우리 손에 있다. 불행하게도 우리는 데이터를 삭제했다. 우리는 곧 다시 돌아온다)'라며 전산망 마비사태가 자신들의 소행이라고 주장했다.

잉카인터넷 문종현 보안대응팀장은 "후이즈가 남긴 변조화면을 구성하는 악성파일이 발견됐다는 점에서 실제 LG유플러스의 그룹웨어 해킹했던 공격자가 이번 공격에 가담했을 것"이라고 밝혔다.

그러나 이번 전산망 대란과 LG유플러스 그룹웨어 해킹이 어떤 연관성이 있는지 여부는 구체적으로 밝혀지지 않고 있다.

한편, 이번에 발견된 디페이스 관련 코드는 지난해 6월 중앙일보 뉴스 사이트 해킹당시 보여줬던 고양이 그림의 디페이스 형식과도 매우 유사한 것으로 알려졌다. 당시에는 'Isone'이라는 문구가 포함돼 있었지만, 구성패턴이 거의 비슷하다는 점에서 동일범의 소행일 가능성도 배제할 수 없다는 것이 문종현 팀장의 설명이다.