[보안뉴스 강현주 기자] 교원그룹 랜섬웨어 감염 사고로 가상 서버 약 600대와 서비스 이용자 약 960만명이 영향권에 포함된 것으로 추정됐다.

14일 업계에 따르면 한국인터넷진흥원(KISA) 등으로 구성된 조사단은 교원그룹 전체 800대 서버 중 가상 서버 약 600대가 랜섬웨어 감염 영향 범위에 포함된 것으로 봤다. 영업 관리 시스템, 홈페이지 등 주요 서비스 8개 이상에서 장애가 발생한 것으로 파악된다.


[출처: 연합]

조사단은 8개 계열사 전체 이용자 1300만명(중복 제거 시 554만명) 중 랜섬웨어 감염에 영향받는 주요 서비스의 이용자는 960만명으로 추산했다. 중복 이용자가 포함된 수치다.

조사단은 방화벽을 통해 공격자 IP와 외부 접근을 차단하고 악성파일 삭제 등 긴급 조치를 마친 것으로 알려졌다. 공격자 IP와 랜섬웨어 공격에 사용된 웹셸 등 악성파일을 확보해 분석 중이다.

조사단 분석에 따르면 교원그룹이 다행히 백업 서버를 갖추고 있으며 백업 서버의 감염 징후는 확인되지 않았다.

교원그룹은 지난 10일 오전 8시경 사내 일부 시스템에서 비정상 징후를 확인하고 같은 날 오후 9시쯤 KISA와 관련 수사 기관에 침해 정황을 신고했다. 지난 12일 오후에는 데이터 유출 정황을 확인하고 전날 KISA와 개인정보보호위원회에 관련 내용을 신고했다. 아직 고객 개인 정보 유출 여부를 확정하지 못했다.

교원그룹은 이용자들에게 문자를 통해 ”다수의 외부 전문 보안기관과 정밀조사를 진행한 결과, 랜섬웨어 공격으로 일부 데이터가 외부로 유출되었다는 정황을 확인할 수 있었지만 고객 정보가 포함되었는지 여부는 현재 확인 중”이라고 밝혔다.

이어 “추가 조사를 통해 고객정보 유출이 확인되면 신속하고 투명하게 안내드리고, 필요한 보호 및 지원조치를 제공할 예정”이라며 “고객 여러분께 불편과 심려를 끼쳐드린 점 진심으로 사과드린다“고 안내했다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>