교원그룹 홈페이지

‘구몬·빨간펜’ 교원그룹 해킹…랜섬웨어 공격에 960만명 영향권 추정

교원그룹이 랜섬웨어로 추정되는 사이버 공격을 받아 그룹 주요 서비스에 장애가 발생했고, 데이터 외부 유출 정황까지 확인되며 파장이 커지고 있다. 조사단 추정치로는 가상 서버 약 600대가 감염 영향 범위에 포함됐고, 서비스 이용자 약 960만명이 영향권에 들어간 것으로 파악됐다.

1월 10일 ‘비정상 징후’로 시작…12일 ‘외부 유출 정황’ 확인

교원그룹은 1월 10일 오전 8시쯤 사내 일부 시스템에서 비정상 징후를 확인한 뒤 내부망 분리·접근 차단 등 비상 대응 체계를 가동했다고 밝혔다. 이후 같은 날 오후 9시쯤 한국인터넷진흥원(KISA)과 수사기관에 침해 정황을 신고했다는 게 그룹 측 설명이다.

문제는 ‘장애’ 수준을 넘어 ‘유출 가능성’이 제기됐다는 점이다. 교원그룹은 분석 과정에서 1월 12일 오후 데이터가 외부로 유출됐을 가능성이 있는 정황을 확인했다고 밝혔고, 현재 고객 개인정보 포함 여부는 관계기관 및 보안전문기관과 함께 정밀 조사 중이라고 했다.

교원그룹 홈페이지

조사단 “서버 600대·이용자 960만명 영향권”…서비스 장애도 광범위

연합뉴스 취재를 종합한 조사단 설명에 따르면 교원그룹 전체 800대 서버 중 가상 서버 약 600대가 랜섬웨어 감염 영향 범위에 포함된 것으로 보고 있다. 이에 따라 영업관리 시스템과 홈페이지 등 주요 서비스 다수에서 장애가 발생한 것으로 파악됐다.

이용자 규모도 적지 않다. 조사단은 8개 계열사 전체 이용자 1300만명(중복 제거 시 554만명) 가운데, 감염 영향권에 든 주요 서비스 이용자를 960만명으로 추산했다는 보도가 나왔다.

고객 안내는 시작…“개인정보 유출은 확인 중”이 핵심 문장

교원그룹은 1월 13일 KISA에 ‘데이터 유출 정황’을 신고한 뒤 고객 대상 문자·알림톡 안내를 시작했다고 밝혔다. 다만 현시점에서 확인된 것은 ‘외부 유출 정황’ 수준이며, 고객 개인정보 유출 여부는 아직 결론이 나지 않았다는 입장이다.

기업이 사고 사실을 알리면서도 “유출 여부는 확인 중”이라고 반복할 수밖에 없는 이유는 단순하다. 랜섬웨어 사고는 복구와 차단이 먼저 진행되고, 실제 유출 데이터의 범위·종류·대상은 포렌식(디지털 증거 분석)으로 시간이 걸려 확정되는 경우가 많다. 이번 사건도 ‘장애’와 ‘유출 가능성’이 동시에 걸린 전형적인 복합 사고 양상이다.

교원그룹 홈페이지

경찰·개인정보위 조사 착수…책임 공방은 이제 시작

수사와 규제기관 움직임도 본격화됐다. 보도에 따르면 경찰은 이번 해킹 사건에 대해 내사에 착수했고, 개인정보보호위원회(개보위)도 교원그룹 8개 계열사에 대한 개인정보 유출 신고를 접수해 조사에 들어갔다.

향후 쟁점은 세 갈래로 갈릴 가능성이 크다. 첫째, 실제 유출이 있었는지와 유출 범위. 둘째, 침투 경로와 계열사 전반으로 확산된 과정에서 보안 통제가 적절했는지. 셋째, 피해 최소화 조치와 이용자 고지의 적시성이다. 교원그룹은 “고객 보호에 기업 역량을 총동원하겠다”는 입장을 내놓았다.

이용자가 당장 할 수 있는 ‘현실적’ 대응

개인정보 유출 여부가 확정되기 전이라도 이용자 입장에서 기본 대응은 필요하다. 교원 계열 서비스와 동일 비밀번호를 다른 사이트에서도 쓰고 있다면 즉시 변경하고, 휴대전화로 오는 인증 문자·결제 알림을 평소보다 꼼꼼히 확인하는 게 안전하다. 기업 안내 문자·알림톡을 사칭한 피싱이 뒤따를 수 있어, 링크 클릭은 특히 주의해야 한다.

사건은 ‘유출 확정’이냐 ‘미확인’이냐의 흑백을 넘어, 기업의 보안 체계와 사고 대응 역량을 시험하는 국면으로 넘어갔다. 결론은 조사 결과가 말해주겠지만, 소비자가 체감하는 불안은 이미 시작됐다.