박유진기자
최석진로앤비즈 스페셜리스트
빨간펜, 구몬 등 학습지와 상조, 여행 등 사업을 운영 중인 교원그룹 전산망이 랜섬웨어 공격을 당했다.
교원그룹은 여러 계열사를 통해 수백만 명의 회원을 보유하고 있는 데다 학습지 사업을 하고 있는 교원, 교원구몬의 경우 자녀와 부모의 인적 정보는 물론 수업료 결제에 필요한 카드나 계좌 번호 등 정보까지 보유하고 있어 개인정보 유출이 확인될 경우 큰 혼란이 빚어질 것으로 예상된다.
12일 아시아경제 취재에 따르면 교원그룹은 지난 10일 새벽 랜섬웨어 공격을 받아 전 계열사에서 홈페이지 접속 장애와 내부 시스템 오류가 발생했다. 아시아경제가 입수한 한국인터넷진흥원(KISA) 침해사고 신고서에 따르면 이번 사고는 외부에 노출된 서버를 통해 공격자가 내부 시스템에 침투한 뒤 계열사 전반으로 확산된 랜섬웨어 감염 사고였다.
신고서에는 공격자가 외부 포트가 열려 있던 서버를 거점으로 내부 시스템에 추가 침투한 뒤 계열사 간 네트워크를 따라 이동하면서 피해가 계열사 전반으로 확산된 정황이 적시돼 있다. 이 과정에서 주요 서비스와 내부 데이터베이스(DB) 접근에 장애가 발생한 것으로 나타났다.
이번 사고와 관련해 KISA에 침해사고를 신고한 곳은 ▲교원 ▲교원구몬 ▲교원위즈 ▲교원라이프 ▲교원투어 ▲교원프라퍼티 ▲교원헬스케어 ▲교원스타트원 등으로, 교원그룹 핵심 계열사 대부분이 포함됐다.
신고서에는 랜섬웨어 감염 이후 협박 행위가 있었던 사실도 명시돼 있으며, 경찰 신고는 아직 이뤄지지 않은 상태다.
이번 해킹 사고로 교원그룹 내부 인증 및 관리 시스템 KSS(Kyowon Super Star)를 비롯해 대부분 전산망이 차단돼 이용이 불가능한 상황이다. 이날 오전까지도 교원그룹과 여러 계열사 홈페이지에는 '예상치 못한 장애로 인해 웹 서비스 이용이 원활하지 않습니다'라는 서비스 장애 안내 공지가 게재됐다.
교원그룹은 현재 백업 데이터를 활용해 시스템 복구 작업을 진행 중이며, 추가 피해 여부에 대한 정밀 분석을 병행하고 있다. KISA 역시 주말 동안 현장 기술 지원에 나선 것으로 확인됐다. 이동근 KISA 디지털위협대응본부장은 아시아경제와의 통화에서 "현재로서는 피해가 크게 확산되지는 않을 것으로 보고 있다"며 "다만 시스템 장애가 발생하면 복구까지 시간이 소요되는 만큼, 정확한 상황은 조금 더 기다려봐야 안다"고 말했다.
교원그룹 홈페이지의 서비스 장애 안내 공지. 교원그룹 홈페이지 화면 캡처
교원그룹은 이날 오전 배포한 공식 입장 자료를 통해 "지난 10일 오전 8시께 랜섬웨어로 추정되는 외부 사이버 침해의 이상 징후를 발견했다"며 "사고 인지 직후 KISA 및 관련 수사기관에 침해 정황을 신고했고, 외부 전문 보안 업체와 협조해 사고 원인 파악 및 피해 정도를 정밀하게 분석 중"이라고 밝혔다. 이어 "현재까지 개인정보 유출 여부에 대해서는 확인 중"이라며 "조사 결과 개인정보 유출이 확인될 경우, 관련 법령과 절차에 따라 신속하고 투명하게 고객에게 안내하고 필요한 보호 조치를 신속히 마련해 지원할 계획"이라고 덧붙였다.
교원그룹은 상조 회사(교원라이프), 빨간펜, 구몬학습 등 학습지 회사(교원·교원구몬) 외에도 렌털 사업을 하는 교원인베스트, 교원여행 등을 계열사로 두고 있다. 이 때문에 다양한 연령대 가입자의 신상 정보는 물론 아동·청소년의 수년에 걸친 학습 이력이나 여행·숙박 정보 등 방대한 분량의 내밀한 정보를 보유하고 있다. 이미 학부모들의 커뮤니티나 온라인 맘카페를 중심으로 자녀들의 정보 유출을 우려하는 목소리가 커지고 있다.
현재까지 개인정보 유출 정황은 확인되지 않아 개인정보보호위원회 신고는 접수되지 않은 상태다. 다만 구몬·빨간펜 등 학습지 계열사는 학생과 학부모의 개인정보를 대규모로 보유하고 있어 업계에서는 유출 가능성을 완전히 배제하기 어렵다는 지적도 나온다.
교원그룹 관계자는 "이번 사고로 인해 고객 여러분께 심려를 끼쳐드린 점 깊이 사과드린다"며 "현재 전문가들이 투입돼 빠른 복구와 데이터 무결성 점검을 진행 중이며, 향후 재발 방지에 최선을 다할 것"이라고 말했다.