[이코노믹데일리] 교육·렌털·상조 등 생활 밀착형 사업을 영위하는 교원그룹에서 랜섬웨어로 추정되는 사이버 공격이 발생해 관계 당국이 본격 조사에 착수했다. 전체 서버 상당수가 감염 영향권에 포함된 것으로 파악되면서 개인정보 유출 여부와 피해 규모에 관심이 쏠리고 있다. 특히 교육 서비스 이용 고객 다수가 미성년자인 점에서 2차 피해 우려도 제기된다.
14일 개인정보보호위원회에 따르면 전날 오전 9시께 교원그룹 8개 계열사로부터 개인정보 유출 신고를 접수하고 조사에 착수했다. 신고 내용에는 비정상적인 트래픽 발생과 데이터 유출 정황이 포함됐으며 실제 개인정보 유출 여부와 유출 규모는 현재 확인 중이다.
조사 대상은 교원, 교원구몬, 교원라이프, 교원투어, 교원프라퍼티, 교원헬스케어, 교원스타트원, 교원위즈 등 8개사다. 개인정보위는 사고 경위와 침해 경로, 안전조치 의무 준수 여부, 개인정보 보호법 위반 여부 등을 종합적으로 점검해 위반 사항이 확인될 경우 과징금 부과 등 관련 법령에 따른 처분을 내릴 방침이다.
이에 한국인터넷진흥원 등이 참여한 합동 조사단도 긴급 대응에 나섰다. IT 업계에 따르면 교원그룹 전체 서버 약 800대 가운데 가상 서버 600대가량이 랜섬웨어 감염 영향 범위에 포함된 것으로 파악됐다. 감염 영향 범위에는 내부 업무 시스템뿐 아니라 일부 대외 서비스 영역도 포함된 것으로 전해졌다. 이로 인해 영업관리 시스템과 홈페이지 등 최소 8개 이상의 주요 서비스에서 장애가 발생한 것으로 조사됐다.
조사단은 침해사고 신고 접수 직후 방화벽을 통해 공격자 IP와 외부 접근을 차단하고 악성 파일 삭제, 추가 확산 방지 조치 등을 진행했다. 공격자 IP와 랜섬웨어 공격에 사용된 웹셸 등 악성코드를 확보해 유입 경로와 정보 유출 여부를 분석하고 있으며 해당 웹셸은 과거 통신사 서버 해킹 사건에서도 활용된 유형으로 알려졌다. 이번 해킹 방식은 서버 취약점을 악용해 원격에서 명령을 실행하는 방식으로 작동하는 것으로 알려졌다.
교원그룹은 지난 10일 오전 8시께 일부 내부 시스템에서 비정상적인 움직임을 포착하고 즉시 내부 네트워크 망분리와 접근 차단 조치를 시행했다고 밝혔다. 침해 정황 확인 후 약 13시간 만인 같은 날 오후 9시께 KISA와 관계 수사기관에 신고했다. 이후 비상 대응 체계를 가동하고 외부 보안 전문 업체를 투입해 포렌식 조사에 착수했다.
현재 교원그룹은 KISA 및 외부 보안 업체와 협력해 사고 원인과 피해 범위를 정밀 분석하고 있으며 백업 데이터를 활용한 시스템 복구와 전반적인 보안 점검을 병행하고 있다. 조사단은 별도로 운영 중인 백업 서버에서는 현재까지 감염 징후가 발견되지 않았다고 설명했다. 이에 따라 핵심 데이터의 완전 소실 가능성은 낮은 것으로 추정되지만, 실제 외부 유출 여부는 추가 확인이 필요한 상황이다.
이번 사고는 랜섬웨어 공격이 제조·공공기관을 넘어 교육·상조·렌털 등 고객 데이터가 대량 축적된 생활 서비스 기업으로 확산되는 흐름을 보여준 사례로 분석된다. 특히 교육 사업의 경우 장기간에 걸쳐 아동·청소년의 이름, 주소, 연락처, 학습 정보 등이 축적되는 구조여서 민감도가 높다.
다만 현재까지 개인정보 유출이 공식적으로 확인된 것은 아니다. 개인정보위와 조사단은 로그 기록과 서버 저장 데이터, 외부 전송 기록 등을 토대로 실제 유출 여부와 범위를 확인한 뒤 구체적인 결과를 발표할 예정이다.
교원그룹은 개인정보 유출이 확인될 경우 관련 법령과 절차에 따라 신속하고 투명하게 고객에게 사실을 알리고 필요한 보호 조치를 지원하겠다는 입장이다. 조사 진행 상황과 확인된 내용도 단계별로 공식 홈페이지 등을 통해 공유할 계획이다.
교원그룹 관계자는 "초기 대응이 중요한 만큼 고객 보호와 피해 최소화를 위해 모든 역량을 총동원하고 있다"며 "관계 기관 조사에 적극 협조하는 한편 고객 불안을 최소화하는 데 최선을 다하겠다"고 말했다.
댓글 더보기