교원그룹에서 발생한 랜섬웨어 해킹 사고가 나흘째 이어지고 있지만, 회사는 아직까지 고객 개인정보 유출 여부조차 확인하지 못하고 있는 상황입니다. 조사 결과 가상 서버 수백 대와 수백만 명의 서비스 이용자가 이번 사고의 영향권에 포함된 것으로 추정되면서, 교원그룹의 초기 대응과 보안 관리 체계를 둘러싼 우려가 커지고 있습니다.
14일 업계와 관계 기관에 따르면 한국인터넷진흥원(KISA) 등으로 구성된 조사단은 교원그룹이 운영 중인 전체 서버 약 800대 가운데 가상 서버 약 600대가 이번 랜섬웨어 감염 영향 범위에 포함된 것으로 보고 있습니다. 이로 인해 영업관리 시스템과 홈페이지 등 최소 8개 이상의 주요 서비스에서 장애가 발생한 것으로 파악됐습니다.
조사단은 교원그룹 8개 계열사의 전체 서비스 이용자를 약 1,300만 명으로 보고 있으며, 이 가운데 랜섬웨어 감염 영향권에 포함된 주요 서비스 이용자는 중복을 포함해 약 960만 명에 이르는 것으로 추산하고 있습니다. 중복 이용자를 제거하더라도 영향권에 포함된 이용자 수는 500만 명을 웃도는 수준입니다.
사고 규모의 윤곽은 점차 드러나고 있지만, 정작 핵심인 고객 개인정보 유출 여부는 여전히 확인되지 않고 있습니다. 해킹 사고가 발생한 지 나흘째가 됐지만, 교원그룹은 "데이터 외부 유출 정황을 확인한 단계"라는 설명만 반복하고 있습니다.
교원그룹은 지난 10일 오전 8시께 사내 일부 시스템에서 비정상 징후를 처음 인지했으며, 같은 날 오후 9시께 KISA와 수사 기관에 침해 정황을 신고했습니다. 이후 12일 오후 데이터 외부 유출 정황을 확인했고, 13일에는 KISA와 개인정보보호위원회에 관련 내용을 추가로 신고했습니다. 고객 대상 문자와 알림톡 안내는 그 이후에야 이뤄졌습니다.
조사단은 공격자 IP와 랜섬웨어 공격에 사용된 웹셸(Web Shell) 등 악성 파일을 확보해 분석을 진행 중입니다. 해당 웹셸은 과거 KT 서버 해킹에도 활용된 사례가 있는 악성코드로, 보안 업계에서는 비교적 탐지가 어렵지 않은 유형으로 분류합니다. 조사단은 방화벽을 통해 외부 접근을 차단하고 악성 파일 삭제 등 긴급 조치는 마무리했으며, 백업 서버에서는 감염 징후가 확인되지 않았다고 보고 있습니다.
교원그룹은 내부망 차단으로 중단됐던 홈페이지와 온라인 서비스에 대해 단계적으로 정상화 작업을 진행했고, 현재 대부분의 서비스가 재개된 상태라고 설명했습니다. 다만 서비스 복구와 달리, 외부로 유출된 데이터에 실제 고객 개인정보가 포함됐는지 여부에 대해서는 아직 결론을 내리지 못하고 있습니다.
교원그룹은 "관계 기관과 보안 전문기관과 협력해 정밀 조사를 진행 중이며, 고객 정보 유출 사실이 확인될 경우 투명하게 안내하겠다"는 입장을 밝혔습니다. 그러나 사고 발생 이후 나흘이 지났음에도 유출 정보의 범위와 성격이 특정되지 않으면서 소비자 불안은 쉽게 가라앉지 않는 모습입니다.
특히 교원그룹이 교육 사업을 주력으로 운영하고 있다는 점에서 학생 이름과 주소 등 미성년자 개인정보가 대규모로 포함됐을 가능성 때문에 우려가 큽니다. 렌털·상조 등 생활 사업 분야의 고객 계좌번호나 카드 정보 등 금융 정보까지 동일한 시스템 내에 존재했을 가능성을 배제할 수 없다는 지적이 나옵니다.
업계에서는 서버 수백 대와 이용자 수백만 명이 영향권에 포함된 대규모 해킹 사고에서, 사고 발생 나흘째까지 개인정보 유출 여부를 확인하지 못하고 있다는 점 자체가 이례적이라는 평가를 내놓고 있습니다. 사고 대응 속도와 함께 교원그룹의 보안 관리 체계 전반에 대한 점검이 불가피하다는 지적도 이어지고 있습니다.