박유진기자
서울 중구 교원그룹. 사진=강진형 기자aymsdream@
교원그룹 다수 계열사에서 발생한 랜섬웨어 공격으로 가상 서버 약 600대와 서비스 이용자 약 960만명이 영향 범위에 포함된 것으로 추정됐다.
14일 한국인터넷진흥원(KISA) 등으로 구성된 조사단은 교원그룹이 보유한 전체 서버 800대 가운데 가상 서버 약 600대가 이번 랜섬웨어 감염의 영향 범위에 들어간 것으로 보고 있다. 이로 인해 영업 관리 시스템과 각종 홈페이지 등 최소 8개 이상의 주요 서비스에서 장애가 발생한 것으로 파악됐다.
조사단은 교원그룹 8개 계열사의 전체 이용자 수를 1300만명으로 보고 있으며, 중복 이용자를 제외하면 554만명 수준이다. 이 가운데 랜섬웨어 감염으로 영향을 받은 주요 서비스의 이용자는 중복 기준 약 960만명으로 추산됐다.
교원 측의 침해사고 신고를 접수한 조사단은 방화벽을 통해 공격자 IP와 외부 접속을 차단하고, 악성 파일을 삭제하는 등 긴급 대응 조치를 완료했다. 현재 공격에 사용된 IP와 랜섬웨어에 활용된 웹셸 등 악성파일을 확보해 정밀 분석을 진행 중이다.
교원그룹은 다행히 백업 서버를 별도로 운영하고 있고, 해당 백업 서버에서는 현재까지 감염 징후가 발견되지 않은 상황이다. 다만 해킹 사고 발생 이후 닷새가 지났음에도 고객 개인정보의 실제 유출 여부는 아직 확인되지 않은 상태다.
교원그룹은 이날 배포한 보도자료에서 "현재 데이터 외부 유출 정황을 확인한 단계로, 고객 정보가 실제로 포함됐는지 여부에 대해서는 관계 기관과 보안 전문기관과 협력해 정밀 조사를 진행 중"이라며 "고객정보 유출 사실이 확인될 경우 투명하게 안내하겠다"고 밝혔다.
앞서 교원그룹은 지난 10일 오전 8시께 사내 일부 시스템에서 이상 징후를 감지했고, 같은 날 오후 9시께 KISA와 수사기관에 침해 정황을 신고했다. 이후 지난 12일 오후 데이터 유출 정황을 추가로 확인하고, 전날 오전 KISA와 개인정보보호위원회에 관련 내용을 신고했다.
교원그룹은 이번 사고와 관련한 진행 상황을 문자 메시지와 알림톡 등을 통해 고객들에게 안내하고 있다. 그러나 개인정보 유출 여부가 아직 명확히 확인되지 않으면서 소비자들 사이에서는 불안감이 확산하는 분위기다.
특히 교원그룹이 구몬학습과 빨간펜 등 교육 사업을 운영하고 있어 학생의 이름과 주소 등 미성년자 개인정보는 물론 계좌번호와 카드번호 등 금융 정보까지 유출됐을 가능성도 나오고 있다.