[속보] 교원그룹, 랜섬웨어 공격 받아…이용자 960만명 영향권

구몬학습·빨간펜 등 주요 서비스 장애
개인정보 유출 여부는 아직 조사 중

교원그룹 건물. (사진=연합뉴스)

구몬학습과 빨간펜을 운영하는 교원그룹이 랜섬웨어 해킹 공격을 받아 대규모 시스템 장애가 발생했다. 이번 사고로 가상 서버 약 600대가 감염 영향권에 들었고, 서비스 이용자 약 960만명이 영향을 받은 것으로 추정된다.

14일 연합뉴스 등에 따르면, 한국인터넷진흥원(KISA)과 관계 기관으로 구성된 조사단은 교원그룹이 보유한 전체 서버 800대 중 가상 서버 600대가 랜섬웨어 감염 범위에 포함된 것으로 보고 있다. 이로 인해 영업관리 시스템과 홈페이지 등 8개 이상의 주요 서비스에서 장애가 발생했다.

조사단은 교원그룹 8개 계열사의 전체 이용자 1300만명 가운데, 랜섬웨어 영향을 받은 주요 서비스 이용자가 약 960만명에 이른다고 밝혔다. 해당 수치는 중복 이용자를 포함한 수치다.

교원그룹의 침해 신고를 접수한 조사단은 즉시 방화벽을 통해 공격자 IP를 차단하고, 외부 접근 통제 및 악성파일 삭제 등 긴급 대응 조치를 완료했다. 현재는 공격에 사용된 웹셸과 악성파일을 확보해 정밀 분석을 진행 중이다. 이 웹셸은 과거 SK텔레콤과 KT 서버 해킹 사건에도 사용된, 비교적 탐지가 쉬운 악성코드로 알려졌다.

다행히 교원그룹은 백업 서버를 별도로 운영 중이며, 현재까지 백업 서버의 감염 정황은 발견되지 않은 상태다. 다만 해킹 사고 발생 닷새가 지난 현재까지도 고객 개인정보 유출 여부는 확인되지 않았다.

교원그룹은 이날 배포한 보도자료에서 “현재 데이터 외부 유출 정황을 확인한 단계로 고객 정보가 실제로 포함됐는지 여부에 대해서는 관계 기관, 보안 전문기관과 협력해 정밀 조사를 진행 중”이라며 “고객정보 유출 사실이 확인되면 투명하게 안내할 방침”이라고 밝혔다.

이번 사고는 지난 10일 오전 8시경 사내 시스템 이상 징후가 처음 포착되면서 드러났으며, 교원그룹은 같은 날 밤 KISA와 수사기관에 침해 사실을 신고했다. 이후 12일 데이터 유출 정황을 확인, 개인정보보호위원회에도 관련 내용을 신고했다.