교원 해킹 피해 조사, 장기화 ‘조짐’…곧 2주짼데 아직도 “변동 내역 없어”

[교원그룹]

[헤럴드경제=홍석희 기자] 교원그룹의 사이버 침해 사고가 최초 인지 이후 2주 가까이 지났지만, 고객정보 유출 여부 등 핵심 쟁점에 대한 추가 확인은 여전히 이뤄지지 않고 있다. 그룹 측은 “새롭게 확인된 사항이 없다”는 입장을 반복하며 조사 결과를 기다리고 있다는 설명을 내놨다.

교원그룹은 22일 사이버 침해 사고와 관련해 “추가로 확인된 새로운 사항이나 변동 내용은 없다”며 “현재 관계 기관 및 외부 전문 보안업체가 면밀한 조사를 진행 중이고, 조사 과정에서 새롭게 확인되는 사항이 있을 경우 공유하겠다”고 밝혔다.

교원그룹은 지난 10일 내부 시스템 이상 징후를 인지하고 사이버 침해 사실을 확인했다. 이후 관계 기관에 신고하고 외부 보안 전문업체를 투입해 포렌식 조사를 진행 중이라고 밝혔지만, 사고 발생 이후 지금까지 고객정보 유출 여부나 피해 범위에 대한 구체적인 설명은 나오지 않은 상태다.

앞서 교원그룹은 랜섬웨어 사고 특성상 침입 경로가 복잡하고, 단순한 시스템 접근 기록만으로는 정보 유출 여부를 단정하기 어렵다는 입장을 밝힌 바 있다. 로그 훼손 가능성 등 다양한 요소를 함께 검증해야 해 정밀 포렌식에 시간이 소요될 수 있다는 설명도 덧붙였다.

그러나 해킹 피해 사실이 공개된 이후 상당한 시간이 흐른 데다, 개인정보 유출 가능성 여부조차 여전히 ‘조사 중’이라는 답변이 반복되면서 시장과 소비자 불안은 쉽게 가라앉지 않는 분위기다. 특히 교육·출판·생활문화 전반으로 사업을 영위하며 회원 데이터를 다량 보유하고 있는 만큼, 정보 유출 여부에 대한 보다 명확한 설명이 필요하다는 지적도 나온다.

업계에서는 통상 대규모 사이버 침해 사고의 경우 초기 조사 결과라도 단계적으로 공유하는 사례가 적지 않다는 점에서, 교원그룹의 대응이 지나치게 소극적인 것 아니냐는 시선도 제기된다. 사고 인지 시점 이후 2주 가까이 ‘변동 없음’이라는 입장만 반복되는 점이 오히려 불확실성을 키운다는 지적이다.

교원그룹은 지난 10일 오전 8시께 사내 일부 시스템에서 비정상 징후를 확인하고 내부망 분리와 접근 차단 조치를 시행했다. 같은 날 오후 9시에는 한국인터넷진흥원(KISA)과 관계 수사 기관에 침해 정황을 신고했다.

이후 조사 과정에서 랜섬웨어 공격으로 데이터가 외부로 유출된 정황이 확인됐지만, 해당 데이터에 고객 개인정보가 포함됐는지 여부는 아직 특정되지 않았다. 교원그룹은 지난 12일 KISA와 개인정보보호위원회에 데이터 유출 정황을 추가로 신고했다.

정부 조사단은 교원그룹 전체 서버 중 가상 서버 약 600대가 랜섬웨어 감염 영향 범위에 포함됐고, 서비스 이용자 약 960만명(중복 이용자 포함)이 영향권에 들어간 것으로 추산했다.

신고 당시 랜섬웨어 감염으로 서비스 장애가 발생했다는 계열사는 교원, 교원위즈, 교원투어, 교원스타트원, 교원헬스케어, 교원구몬, 교원라이프, 교원프라퍼티 등 8개사였다.

하지만 교원 측이 자체 조사한 결과, 교원위즈가 운영하는 일부 브랜드와 교원투어는 침해 사실이 없는 것으로 확인돼 KISA에 임의로 신고 철회 요청을 했다. 따라서 자체 조사 기준 데이터 유출 정황이 있는 교원그룹 계열사는 교원투어를 제외한 7개사다.

교원그룹은 “랜섬웨어 사고 특성상 침입 경로가 복잡하고 로그 훼손 가능성 등을 종합적으로 검증해야 해 개인정보 유출 여부 판단에 시간이 소요될 수 있다”며 “정밀 포렌식 분석을 통해 정확한 결과를 도출하는 것이 고객 보호를 위한 최우선 가치”라고 설명했다.