교원그룹 '서버 600대·이용자 960만명' 해킹 피해 추정

서울 중구 교원그룹 사옥 전경. (교원그룹 제공)

교원그룹에서 발생한 사이버 공격으로 그룹의 가상서버 약 600대와 서비스 이용자 960만명이 피해 영향권에 들었다.

14일 한국인터넷진흥원(KISA) 등으로 구성된 조사단에 따르면 교원그룹 전체 800대 서버 중 가상 서버 약 600대가 랜섬웨어 감염 영향 범위에 포함된 것으로 보인다. 영업관리 시스템, 홈페이지 등 주요 서비스 8개 이상에서 장애가 발생한 것으로 파악된다.

조사단은 8개 계열사 전체 이용자 1300만명 가운데 랜섬웨어 감염에 영향받는 주요 서비스 이용자는 960만명으로 추산했다. 다만, 중복 이용자를 빼면 554만명의 이용자가 이번 공격 영향권 아래 있다.

앞서 교원그룹은 지난 10일 오전 8시께 사내 일부 시스템에서 비정상 징후를 확인하고 같은 날 오후 9시께 KISA와 관련 수사 기관에 침해 정황을 신고했다. 또 지난 12일 오후 데이트 유출 정황을 확인하고 개인정보보호위원회에 지난 13일 관련 내용을 신고했다.

공격으로 홈페이지 접속 장애와 내부 시스템 오류 등 피해를 입은 교원그룹 계열사는 교원과 교원구몬을 포함해 △교원위즈(유아 교육) △교원프라퍼티(임대업) △교원라이프(상조) △교원투어(여행이지) △교원헬스케어(건기식) 등 그룹 내 대부분 법인이다.

사고 신고를 접수한 조사단은 방화벽을 통해 공격자 인터넷 프로토콜(IP)과 외부 접근을 차단하고 악성파일 삭제 등 긴급 조치를 마쳤다. 공격자 IP와 랜섬웨어 공격에 사용된 웹셸 등 악성파일을 확보하고 있다. 웹셸은 SK텔레콤, KT 등 통신사 서버 해킹에도 활용된 악성코드로, 해커가 원격으로 웹서버에 명령을 내리는 해킹 프로그램이다. 상대적으로 탐지하기 용이한 것으로 알려졌다.

조사단은 교원그룹이 다행히 백업 서버를 갖추고 있으며 백업 서버의 감염 징후는 확인되지 않았다고 보고 있다.

다만 교원그룹은 해킹 사고 발생 닷새째에도 아직 고객 개인정보 유출 여부를 확인하지 못하고 있다.

교원그룹은 문자·알림톡을 통해 고객에게 해킹 사고를 알리고 있으며, 관계 기관 및 보안 전문 업체와 정밀 조사를 진행하고 있다.

교원그룹 관계자는 “고객 보호와 피해 최소화에 전사 역량을 집중 중”이라며 “관계 기관 조사에 협조해 불안을 해소하겠다”고 말했다.

조재학 기자 2jh@etnews.com