후이즈가 쓴 '악성코드'는 '와이퍼 바이러스'?

[전산망 대란]카스퍼스키랩 "와이퍼바이러스, 모든 데이터 파괴해 추적 불가능"

↑러시아 보안업체 카스퍼스키랩이 블로그를 통해 공개한 '후이즈'팀의 메시지. 카스퍼스키랩측은 이번 전산망 마비의 피해를 입은 피해자가 피해 순간을 남긴 것이라고 설명했다.

KBS, MBC, YTN 등 방송사와 신한은행 등 금융 전산망의 공격자로 'Whois(후이즈)'팀으로 지목된 가운데, 이번 해킹이 지난해 이란과 사우디아라비아 오일회사 등을 공격했던 형태와 유사하다는 주장이 제기됐다.

러시아 보안업체 카스퍼스키 랩(Kaspersky Lab)은 20일(현지시간) 블로그를 통해 "(피해당한 PC의) 스크린 샷을 볼 때 'Wiper(와이퍼)'스타일의 악성코드가 사용된 것으로 보인다"고 밝혔다.

또 이 악성코드는 Iranian Wiper(이란와이퍼)와 Shamoon(샤문) 등으로 불리는 여러 형태의 와이퍼 바이러스와 유사하다고 했다.

지난해 4월 이란 전역에서는 악성코드 공격에 의해 컴퓨터시스템이 다운되는 현상이 발생했다.

또 지난 8월에는 사우디아라비아 국영 정유사 사우디 아람코도 와이퍼 스타일의 신종바이러스 '샤문'바이러스에 감염돼 전체 전산망 가동이 중지됐던 것으로 알려졌다.

당시 카스퍼스키랩은 ITU(국제전기통신연합)의 의뢰로 몇 주간 조사했지만 와이퍼바이러스와 연결된 프로그램은 찾을 수 없었다.

카스퍼스키 측은 지난 8월 "이 공격은 주로 매달 하순(21일~30일)경 발생하는 것으로 추정된다"며 "바이러스를 만든 사람이 아주 주의 깊게 모든 데이터를 파괴하도록 설계했다"고 설명했다. 남은 흔적들로부터 추적당하는 것을 방지하기 위한 것이란 설명이다.


이어 "이번 전산망 공격이 단독소행인지 국가 간 사이버전쟁인지 알 수는 없다"면서도 "국가 차원이 아니라도 사이버테러로는 볼 수 있다"고 설명했다.

한편 '후이즈'는 '해골'사진과 함께 "우리는 해킹에 관심이 많으며 이것은 그저 시작일 뿐이다. 이용자들의 데이터와 계정이 모두 우리 손에 있다. 안타깝게도 우리는 당신들의 데이터를 모두 삭제했다"는 메시지를 올리는 등 이번 전산망 마비의 주범을 자처하고 있다.