교원그룹에서 발생한 랜섬웨어 감염사고로 이용자 960만명(중복 가입자 포함)의 피해 가능성이 제기됐다. 관계 당국은 정보 유출 의혹과 피해 원인 등에 대해 조사에 착수했다.

14일 관련 업계에 따르면 교원그룹 전체 800대 서버 중 가상 서버 약 600대가 랜섬웨어 감염 영향 범위에 포함된 것으로 추정된다. 영업 관리 시스템과 홈페이지 등 주요 서비스 8개 이상에서 장애가 발생했고, 교원그룹 계열사 8곳 이용자 1300만명(중복 제거 시 554만명) 중 960만명이 이번 랜섬웨어 공격 영향 범위에 포함된 것으로 알려졌다.

앞서 한국인터넷진흥원(KISA) 등으로 구성된 사고 조사단은 교원그룹이 랜섬웨어 감염사고를 신고하고 기술지원을 요청하자 조사에 나섰다. 조사단은 방화벽으로 공격자 인터넷 식별 고유번호(IP)와 외부 접근을 차단하고 악성 파일을 지우는 등 긴급 조치를 마친 것으로 전해졌다.

사고가 발생하고 5일째인 이날도 고객 개인정보 유출 여부는 확인되지 않았다. 교원그룹은 “현재 데이터 외부 유출 정황을 확인한 단계로 고객정보가 실제로 포함됐는지에 대해서는 관계 기관, 보안 전문기관과 협력해 정밀 조사를 진행 중”이라며 “고객정보 유출 사실이 확인되면 투명하게 안내할 방침”이라고 밝혔다.

일각에선 교원그룹이 구몬학습과 빨간펜 등 교육 사업을 하고 있어 금융정보 외에도 학생 이름과 주소 등 미성년자 개인정보가 유출됐을 우려도 나온다.

교원그룹은 지난 10일 오전 8시쯤 사내 일부 시스템에서 비정상 징후를 확인하고 같은 날 오후 9시쯤 KISA와 관련 수사기관에 침해 정황을 신고했다. 지난 12일 데이터 유출 정황을 파악한 뒤 이튿날 관련 내용도 보고했다. 고객들에겐 문자와 알림 톡 등으로 사고 상황을 알리고 있다. 경찰청 국가수사본부는 이번 침해사고 사실관계를 파악하기 위한 입건 전 조사(내사)에 착수했다.