[서울이코노미뉴스 박희만 기자] 교원그룹 8개 계열사에서 랜섬웨어 감염 사고가 발생해 주요서비스에 장애가 발생한 가운데, 가상 서버 약 600대와 서비스 이용자 약 960만명이 영향권에 포함된 것으로 추정됐다.
14일 한국인터넷진흥원(KISA) 등으로 구성된 조사단에 따르면, 교원그룹이 운영중인 전체서버 약 800대 가운데 가상서버 약 600대가 이번 랜섬웨어 감염의 영향을 받은 것으로 파악됐다.
이로 인해 영업관리 시스템과 홈페이지 등 최소 8개 이상의 주요서비스에서 장애가 발생한 것으로 조사됐다.
조사단은 교원그룹 8개 계열사의 전체 이용자수를 1300만명으로 집계했으며, 중복이용자를 제외하면 554만명 수준이다.
이 가운데 랜섬웨어 감염 영향을 받은 주요서비스 이용자는 중복이용자를 포함해 약 960만명으로 추산했다.
침해사고 신고를 접수한 조사단은 방화벽을 통해 공격자 IP와 외부 접근을 차단하고, 악성파일 삭제 등 긴급 대응조치를 완료했다.
현재 공격에 사용된 IP와 랜섬웨어 유포에 활용된 웹셸(Web Shell) 등 악성코드를 확보해 정밀분석을 진행 중이다.
조사단에 따르면 이번 공격에 사용된 웹셸은 SK텔레콤과 KT 등 통신사 서버해킹에도 활용된 것으로 알려진 악성코드로, 비교적 탐지가 쉬운 유형으로 분류된다.
다행히 교원그룹은 별도의 백업서버를 운영 중이며, 현재까지 백업서버에서 감염징후는 확인되지 않은 것으로 조사됐다.
해킹사고 발생이후 닷새가 지났지만, 교원그룹은 아직 고객 개인정보 유출 여부를 최종적으로 확인하지 못한 상태다.
교원그룹은 이날 배포한 보도자료를 통해 “현재 데이터 외부 유출정황을 확인한 단계로, 고객 정보가 실제로 포함됐는지 여부에 대해서는 관계기관 및 보안 전문기관과 협력해 정밀조사를 진행 중”이라고 밝혔다.
이어 “고객정보 유출 사실이 확인될 경우 투명하게 안내하겠다”고 덧붙였다.
교원그룹은 지난 10일 오전 8시께 사내 일부시스템에서 비정상 징후를 확인했으며, 같은 날 오후 9시 한국인터넷진흥원과 관계 수사기관에 침해사고를 신고했다.
이후 지난 12일 오후 데이터 유출정황을 추가로 확인하고, 전날 KISA와 개인정보보호위원회에 관련내용을 재차 신고했다.
교원그룹은 현재 문자메시지와 알림톡 등을 통해 고객들에게 관련사실을 안내하고 있다.
그러나 개인정보 유출 여부가 장기간 확인되지 않으면서 소비자들 사이에서는 불안감이 확산되고 있다.
특히 교원그룹이 구몬학습과 빨간펜 등 교육사업을 운영하고 있는 만큼, 학생 이름과 주소 등 미성년자 개인정보는 물론 계좌번호와 카드번호 등 금융정보까지 유출됐을 가능성이 제기되고 있다.