티스토리 뷰
목차
교원그룹 랜섬웨어 감염 사고, 구몬·빨간펜 이용자 960만명 영향권
구몬학습·빨간펜 등을 운영하는 교원그룹이 랜섬웨어 감염 사고로 전산망이 마비되고, 서비스 이용자 대규모 개인정보 유출 가능성이 제기되며 파장이 커지고 있다.
■ 사고 개요 — 언제, 어떻게 발생했나
2026년 1월 10일 오전 8시께 교원그룹 내부 시스템에서 이상 징후가 처음 발견됐다. 해당 징후는 랜섬웨어로 추정되는 사이버 침해 공격으로, 이후 내부 전산망 일부가 잠식된 정황이 확인됐다. 교원 측은 같은 날 오후 한국인터넷진흥원(KISA)과 수사기관에 이를 신고했으며, 이후 추가 조사 과정에서 데이터가 외부로 유출됐을 가능성이 있는 정황도 확인해 관련 기관에 재신고를 했다.
조사단은 초기 대응으로 외부 공격자 IP를 차단하고 악성파일 삭제 등의 긴급 조치를 완료했으며, 공격에 사용된 악성 코드 종류(웹셸)도 확보해 분석 중인 상태다.
■ 피해 규모 — 영향받은 서버와 이용자 수
민관 합동 조사단은 교원그룹 IT 네트워크 전체 서버 약 800대 중 가상서버 약 600대가 랜섬웨어 감염 영향범위에 포함된 것으로 파악했다.
조사단은 8개 계열사가 운영하는 서비스 중 주요 시스템이 장애를 겪었으며, 전체 이용자 수는 약 1,300만 명(중복 제거 시 약 554만 명)으로 추산된다. 이중 랜섬웨어 영향권에 포함된 주요 서비스 이용자는 약 960만 명으로 추정된다.
- 영향 서비스 예: 교원구몬, 교원라이프, 교원투어, 교원프라퍼티, 교원헬스케어, 교원스타트원, 교원위즈 등
■ 개인정보 유출 가능성 — 어떤 정보가 위험한가
교원그룹은 현재 고객정보 실제 유출 여부를 최종 확인하지 못했으며, 정밀 조사를 보안 전문기관·수사기관과 함께 진행 중이라고 밝혔다.
하지만 구몬학습과 빨간펜 등 주력 교육 서비스 이용자는 다수가 학생과 학부모로 구성돼 있어, 만약 데이터가 유출된 것으로 확인될 경우 다음과 같은 정보가 위험에 노출됐을 가능성이 제기된다:
- 학생 및 학부모 이름, 주소 등 신상 정보
- 전화번호, 생년월일 등 개인식별 정보
- 납부 관련 계좌번호·카드정보 등 금융 정보
- 학습 이력 및 서비스 이용 내역
이처럼 교육 서비스 회원 정보는 민감도가 높아 유출 시 2차 피해(보이스피싱, 금융사기 등)의 위험이 커질 수 있다는 우려가 확산되고 있다.
■ 사고 대응 현황
- 조사단은 공격자의 접속 IP와 악성코드를 확보하여 분석 중
- 교원그룹은 문자메시지, 알림톡 등을 통해 이용자에게 사고 사실을 안내
- 백업 서버는 현재 감염 징후가 발견되지 않음 → 복원에 활용 가능성 제기됨
- 개인정보보호위원회도 사고 신고를 접수하고 법 위반 여부 검토에 착수함
개인정보보호위원회는 이번 사고에서 개인정보보호법 위반 여부를 점검하고, 위법 사실이 드러날 경우 엄정한 조치를 예고했다.
■ 서비스 영향 — 이용 중단 및 장애
교원그룹 산하 일부 웹사이트와 서비스는 랜섬웨어 공격 이후 접속 장애를 겪었으며, 내부 네트워크 일부는 아예 차단 조치되어 현재 복구 작업이 진행 중이다.
이로 인해 회원들이 서비스 이용에 불편을 겪고 있으며, 정상화 시점은 아직 발표되지 않았다.
■ 사이버 보안 업계 반응과 전망
이번 사고는 단순한 서비스 장애를 넘어 교육·생활·여행·헬스케어 등 다수 계열사를 포괄해 피해가 확산됐다는 점에서 국내 대기업 정보보호 전략의 취약성을 드러냈다는 평가가 나온다.
랜섬웨어 공격은 초기 침투 후 데이터 암호화뿐 아니라, 탈취한 데이터를 인질로 삼아 금전 요구를 하는 경우(더블 익스트션)도 흔하기 때문에, 향후 데이터 유출 여부 확인이 중요하다는 지적이다.
교원그룹 랜섬웨어 감염 사고는 단기간에 대규모 이용자에게 영향을 미치며 정보 유출 가능성을 남겨 두고 있어 사회적 관심이 커지고 있다.
보안 전문가와 관계 기관은 ▲데이터 유출 여부 ▲피해 범위 ▲책임 소재 ▲재발 방지 대책 등을 중심으로 후속 조사를 진행할 것으로 보인다.
사고의 최종 결론은 수사 기관의 조사 결과에 따라 달라질 전망이며, 관련 정보는 공식 기관 발표를 통해 지속 업데이트할 필요가 있다.
