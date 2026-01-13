교원, 13일 2차 추가 피해 신고 접수 ‘특정 IP로 대량 데이터 유출’ 확인 돼 “개인정보 포함 여부는 계속 확인중” 돈 요구 없는 랜섬웨어 공격… “더 위험” 교원그룹, 줄잡아 1000만명 넘는 회원 보유

[헤럴드경제=홍석희 기자] 교원그룹을 겨냥한 랜섬웨어 해킹 피해가 발생했다. 교원그룹 측은 대량의 데이터가 특정 IP로 빠져나갔다고 밝혔다. 다만 유출된 데이터에 개인정보까지 모두 포함됐는지는 확인중이다. 교원의 온라인 회원은 줄잡아 1000만명이 넘는 것으로 파악되고 있다. 그러나 교원 랜섬 해킹 피해의 경우 통상적인 랜섬 해킹과 달리 몸값(랜섬) 요구가 아직은 없다. 보안 업계에서는 “돈 요구가 없는 해킹이 오히려 더 위험할 수 있다”는 지적이 나온다.

교원 “돈 요구 없없다” … 보안업계 “그게 더 위험”

교원그룹은 13일 보도자료를 통해 “지난 10일 오전 8시께 발생한 랜섬웨어 공격으로 데이터가 외부로 유출된 정황을 전날 오후 확인하고 한국인터넷진흥원(KISA)에 추가 신고를 완료했다”고 밝혔다. 교원측은 “유출 규모와 유출된 데이터에 고객정보가 포함됐는지 여부는 관계 기관, 외부 전문 보안 기관과 함께 면밀히 조사하고 있다”고 덧붙였다. 개인정보보호위원회는 KISA를 통해 정보 유출 신고를 받고 있다.

전체 사고 정황은 이렇다. 해킹 공격자(해커)는 지난 10일 새벽 외부에 노출된 서버를 통해 교원 시스템에 침투했다. 해커는 이후 계열사 간 네트워크를 따라 이동하며 그룹 내 전 계열사 데이터에 접근했다. 이후 해커는 대량의 교원 내부 데이터를 특정 IP로 유출했다. 정확한 전송 데이터 용량은 확인되지 않고 있지만 적게는 수기가, 많게는 테라바이트 규모일 것으로 추정된다.

데이터를 빼돌리는 과정에서 공격자는 시스템 코드 내에 이미지 형태로 ‘우리가 공격했다’는 메시지를 남긴 것으로 알려졌다. 다만 복구를 위해 조건이나 금전 요구는 제시하지 않았다. 공격 주체가 누구인지는 암시했지만, 협상 채널을 본격적으로 가동하지는 않은 셈이다.

이번 사고로 출판·교육 계열사인 교원과 교원구몬, 교원위즈를 비롯해 교원프라퍼티, 교원라이프, 교원투어(여행이지), 교원헬스케어 등 사실상 전 계열사에서 홈페이지 접속 장애와 내부 시스템 오류가 발생했다. 교원그룹은 10일 오전 8시께 비정상 징후를 확인하고 내부망 분리와 접근 차단 조치를 시행한 뒤, 같은 날 오후 9시께 한국인터넷진흥원(KISA)과 관계 수사기관에 침해 정황을 신고했다.

교원그룹은 “유출 규모와 유출된 데이터에 고객정보가 포함됐는지 여부를 관계 기관 및 외부 전문 보안기관과 함께 면밀히 조사 중”이라며 “개인정보 유출이 확인될 경우 관련 법령과 절차에 따라 고객에게 신속히 안내하고 보호 조치를 지원하겠다”고 밝혔다.

미성년자 포함 ‘전 세대 고객’… 우려 커지는 이유

교원그룹은 계열사별 정확한 회원 규모를 공개하지 않고 있다. 다만 공개 자료를 보면 구몬학습은 1990년 3월부터 지난해 5월까지 누적 890만 명에게 학습지를 제공했고, 빨간펜을 운영하는 교원위즈는 621만 명의 회원을 보유한 것으로 알려져 있다. 교원웰스와 교원라이프 역시 각각 100만 계정, 100만 명 이상의 회원을 확보하고 있다.

업계 관계자는 “렌털 사업은 한 명이 여러 계정을 보유하는 경우가 많고, 학습지 사업은 개인정보 보관 기간이 정해져 있다는 점을 감안하더라도 계열사 전체 회원 규모는 최소 수십만~수백만 명 수준으로 추정된다”고 말했다. 고객층이 미취학 아동부터 학부모, 성인, 중·장년층까지 전 세대를 아우른다는 점에서 미성년자 개인정보 유출 가능성에 대한 학부모들의 우려도 커지고 있다.

“돈 요구 없는 랜섬, 더 위험”… 2차 피해 경고

보안 전문가들은 이번 사건의 가장 이례적인 대목으로 ‘돈 요구가 없다는 점’을 꼽는다. 일반적인 랜섬웨어 공격은 내부 데이터를 암호화 하면서 사용자의 접근을 차단하는 방식으로 시스템을 교란시킨 뒤, ‘돈을 주면 암호화를 풀어주겠다’는 식의 금전 요구가 뒤따른다. 그러나 교원 그룹 해킹 사례는 데이터 유출 정황만 남긴 채 요구 조건이 제시되지 않았다.

한 보안 전문가는 “최근에는 피해 기업에 직접 돈을 요구하지 않고, 탈취한 데이터를 제3자에게 판매해 수익을 얻는 유형이 늘고 있다”며 “이 경우 기업 입장에서는 협상 창구조차 열리지 않아 정보에 대한 통제력을 완전히 잃게 되고, 스미싱·보이스피싱 등 2차 피해 위험은 오히려 커진다”고 말했다.

실제 해외에서는 몸값 요구 없이 데이터를 빼내 다크웹이나 해킹 포럼에서 판매하는 사례가 여러 차례 확인됐다. 최근 과학기술정보통신부와 한국인터넷진흥원은 해킹 조직들이 국내 의료·교육기관 및 온라인 쇼핑몰 등의 내부 데이터를 탈취해 판매하는 동향이 확인되기도 했다. 이들 해커들은 해킹 피해를 입은 개별 업체들에 연락을 취해 돈을 얻어내기 보단, 데이터를 외부에 판매하는 방식으로 ‘비즈니스 모델’을 변경했다.

해커들은 아직까지는 돈을 요구하지는 않았지만 앞으로의 가능성은 열려 있다. 2년 전 해킹 피해를 입은 중견 인력업체 A사 관계자는 “해커들로부터 해킹 피해를 입었고 피해 발생 이후 2주일만에 400억원을 달라는 요구를 받은 적이 있다”고 말했다.

교원그룹 해커는 데이터 유출 과정에서 자신들이 누구인지를 밝힌 것으로 확인됐기에, 추후 교원을 대상으로 돈을 요구해올 개연성이 열려 있다. 만일 시간이 더 경과한 뒤에도 돈 요구 등 해킹에 대한 보상 요구가 해커들로부터 없을 경우엔 이미 데이터가 판매되고 난 뒤일 개연성도 열려 있다.