 |
랜섬웨어 공격이 발생한 후 나흘이 지났지만 교원그룹은 아직 고객 개인정보 유출 여부를 확인하지 못하고 있다. 대신 이번 사태에 대한 안내를 문자와 알림톡으로 발송해 고객 불안을 잠재우기 위한 작업에 돌입했다.
14일 보안업계에 따르면 교원그룹 사태를 분석 중인 한국인터넷진흥원(KISA) 등 조사단은 전체 800대 서버 중 가상서버 약 600대가 감염됐을 것으로 보고 있다.
랜섬웨어 감염에 영향을 받는 서비스 이용자 규모는 960만명으로 추산됐다. 8개 계열사 전체 이용자가 1300만명이라는 점을 고려했을 때 절반 이상에 해당하는 수준이다. 통합 집계 특성상 중복 이용자가 존재한다는 점을 고려하면, 여러 계열사에서 영향을 받은 이도 있을 것으로 보인다. 중복 이용자를 뺀 8개 계열사 전체 이용자 수는 554만명이다.
조사단은 방화벽을 통해 공격자 인터넷프로토콜(IP)와 외부 접근을 차단하고 악성파일을 삭제하는 긴급 조치를 취하고 있다. 웹셸을 비롯해 공격에 악용된 악성파일도 확보한 것으로 전해진다. 웹셸은 공격자가 서버에서 악의적인 명령을 실행하도록 만든 스크립트 프로그램으로 취약점을 통해 시스템에 접근하거나 정보를 탈취할 수 있는 통로 역할을 한다.
교원그룹은 데이터 유출 정황을 확인하고 KISA와 개인정보보호위원회에 관련 내용을 신고한 상태다. 개인정보위는 13일 오전 9시경 교원그룹으로부터 신고를 받아 조사에 착수했다. 영향권에 든 교원그룹 계열사로는 교원, 교원구몬, 교원라이프, 교원투어, 교원프라퍼티, 교원헬스케어, 교원스타트원, 교원위즈가 있다.
교원그룹은 10일 오전 8시경 랜섬웨어 공격이 발생했다는 점을 인정했지만 고객정보가 탈취 혹은 유출됐는지 밝히지 않고 있다. 대신 "12일 오후 데이터가 외부로 유출된 정황이 확인돼 고객 불안을 해소하기 위해 선제적 고객 안내 절차에 착수했다"고 밝혔다. 또한 "현재 데이터 외부 유출 정황을 확인한 단계로 고객정보가 실제 포함됐는지 여부에 대해서는 관계기관 및 보안 전문기관과 협력해 정밀 조사를 진행 중"이라고 부연했다.
홈페이지와 온라인 서비스 정상화 작업은 마무리되고 있다. 교원그룹은 "지난 10일 내부망 차단과 함께 일시적으로 중단됐던 홈페이지 접속은 12일부터 단계적으로 재개되고 있다"며 "현재 대부분 홈페이지 접속과 주요 기능이 정상 제공되고 있다"고 안내했다.
보안업계에서는 교원그룹이 구몬학습과 빨간펜 등 교육 사업뿐만 아니라 계열사별 사업이 다양한 만큼 고객정보 유출이 있었을 경우 파장이 클 것으로 예상하고 있다. 미성년자 개인정보와 카드번호 등 금융 정보가 유출됐을 가능성도 점쳐진다.
교원그룹은 "초기 대응이 중요한 만큼 고객 보호와 피해 최소화를 위해 기업이 모든 역량을 총동원하는 상황"이라며 "관계기관 조사에 협조하는 한편, 고객 불안을 최소화하는 데 최선을 다하겠다"고 말했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
