닷새 지나도 뭘 털렸는지 모르는 교원그룹

개인정보 해킹 여부 여전히 감감
서버 600대 감염 960만명 영향권
미성년자 민감정보 유출땐 파장

연합뉴스

교원그룹에서 발생한 대규모 해킹 사고로 가상 서버 약 600대와 서비스 이용자 약 960만여명이 사이버 침해 영향권에 포함된 것으로 추정된다. 하지만 교원그룹이 해킹을 인지한지 닷새가 지나도록 정확한 피해와 개인정보 유출 여부조차 발표하지 못해 소비자들의 불안이 더욱 커지고 있다.

14일 관련 업계에 따르면, 한국인터넷진흥원(KISA)을 포함한 민관 합동 조사단은 교원그룹이 보유한 약 800대의 서버 중 가상 서버 600여대가 랜섬웨어에 감염된 것으로 파악했다. 이로 인해 영업관리 시스템과 공식 홈페이지 등 최소 8개 이상의 핵심 서비스에서 장애가 발생한 것으로 조사됐다.

조사단은 교원그룹 8개 계열사의 전체 이용자 약 1300만명(중복 제거 시 554만명) 가운데 감염 영향을 받은 서비스 이용자가 약 960만명에 이를 것으로 추산하고 있다. 이는 중복 이용자가 포함된 수치다.

조사단은 사고 직후 방화벽을 통해 공격자의 IP 차단 및 외부 접근 차단 조치를 취했으며, 악성 파일 삭제 등 긴급 대응을 완료했다. 현재는 공격에 사용된 웹셸과 랜섬웨어 관련 악성 파일을 확보해 정밀 분석을 진행 중이다. 해당 웹셸은 과거 SK텔레콤과 KT 해킹 사례에서도 사용된 바 있다. 비교적 탐지가 쉬운 악성코드로 알려져 있다.

다행히 교원그룹은 별도의 백업 서버를 운영하고 있으며 현재까지 해당 서버에서는 감염 흔적이 발견되지 않았다. 그러나 사고 발생 닷새가 지난 현재까지도 고객 개인정보 유출 여부는 공식적으로 확인되지 않고 있다.

교원그룹은 “현재 데이터 외부 유출 정황을 확인한 단계로 고객 정보가 실제로 포함됐는지 여부에 대해서는 관계 기관, 보안 전문기관과 협력해 정밀 조사를 진행 중”이라며 “고객정보 유출 사실이 확인되면 투명하게 안내할 방침”이라고 밝혔다.

교원그룹은 지난 10일 오전 8시경 사내 일부 시스템에서 비정상 징후를 포착한 뒤 같은 날 오후 9시께 KISA와 수사기관에 침해 사실을 신고했다. 이어 12일 오후에는 데이터 외부 유출 정황을 추가로 확인하고, KISA 및 개인정보보호위원회에 관련 내용을 신고했다.

현재 교원그룹은 문자메시지와 알림톡 등을 통해 고객에게 상황을 안내하고 있다. 다만 개인정보 유출 여부가 장기간 확인되지 않으면서 소비자들의 불안은 가라앉지 않고 있다. 특히 ‘구몬학습’ ‘빨간펜’ 등 교육 서비스 특성상 미성년자들의 이름과 주소 등 민감한 정보뿐 아니라, 계좌번호·카드정보 등 금융 정보 유출 가능성까지 제기되며 파장이 커지고 있다.

이다연 양윤선 기자 ida@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포 및 AI학습 이용 금지