구몬학습과 빨간펜으로 잘 알려진 교원그룹이 최근 대규모 랜섬웨어 공격을 받은 사실이 확인되면서 교육업계 전반의 보안 관리 실태에 대한 우려가 커지고 있다.

교원그룹은 지난 10일 새벽 외부로부터 랜섬웨어 공격을 받아 전 계열사 홈페이지와 온라인 서비스 전반에서 접속 장애와 오류가 발생했다고 14일 밝혔다. 

회사 측에 따르면 이번 공격의 영향권에 든 서버는 전체 서버 800대 가운데 가상 서버 약 600대이며, 이를 실제 물리 장비 기준으로 환산하면 서버 30대가 피해 대상에 포함됐다.

이용자 규모와 관련해서는 일부 보도에서 960만명이 피해 영향권에 포함됐다는 관측이 나왔지만, 교원그룹은 “중복 이용자를 합산한 수치”라며 실제 영향권에 포함된 이용자는 554만명이라고 설명했다. 

구몬학습, 빨간펜 등 복수 서비스를 동시에 이용하는 고객이 많아 수치가 과대 산정됐다는 것이다.

교원그룹은 비정상 접속을 인지한 직후 내부 망을 분리하고 외부 접근을 즉각 차단하는 등 긴급 대응에 나섰다. 

사고 발생 약 13시간 뒤인 10일 오후 9시경에는 한국인터넷진흥원(KISA)과 관계 수사기관에 침해 사실을 공식 신고했다.

현재까지 회사 측은 데이터의 외부 유출 정황은 일부 확인했지만, 유출된 데이터에 고객 개인정보가 포함됐는지 여부에 대해서는 관계기관 및 보안 전문기관과 정밀 조사를 진행 중이라고 밝혔다. 

KISA를 중심으로 구성된 조사단은 공격자 IP 차단, 방화벽 강화, 악성 파일 삭제 등 긴급 조치를 완료했으며, 랜섬웨어 공격에 활용된 웹셸 등 악성 파일을 확보해 분석하고 있다.

문제는 교원그룹의 주요 서비스 특성상 이용자 다수가 미성년자라는 점이다. 교육 서비스 이용 과정에서 이름, 생년월일, 연락처, 학습 이력 등 아동·청소년의 개인정보가 다량으로 저장돼 있는 만큼, 만약 개인정보 유출이 확인될 경우 성인 개인정보 유출보다 훨씬 장기적이고 심각한 피해로 이어질 수 있다는 지적이 나온다. 

전문가들은 미성년자 정보가 유출될 경우 스미싱, 계정 도용, 장기간의 신원 악용 등 2차 피해 위험이 성인이 된 이후까지 지속될 수 있다고 경고한다.

교원그룹은 “고객정보 유출 사실이 확인될 경우 관련 법령에 따라 지체 없이 투명하게 안내할 계획”이라며 “조사 결과에 따라 추가 보호 조치도 즉각 시행하겠다”고 밝혔다.

교원그룹 관계자는 “초기 대응이 무엇보다 중요하다고 판단해 고객 보호와 피해 최소화를 위해 전사적 대응에 나서고 있다”며 “관계기관 조사에 적극 협조하는 동시에 고객 불안을 최소화하는 데 최선을 다하겠다”고 밝혔다.