랜섬웨어 공격 받은 교원그룹 ″트래픽 분석 과정서 데이터 외부 유출 정황 확인″

10일 오전 8시 공격 정황 인지 후 대응, 특정 IP 트래픽서 이상 흔적 포착

교원그룹이 랜섬웨어 공격을 받아 내부 시스템 일부에서 비정상 징후가 발생한 사실이 확인됐다. 교원그룹은 사고 인지 직후 내부 망 분리와 접근 차단 등 비상 대응 체계를 가동했으며, 이후 분석 과정에서 데이터가 외부로 유출됐을 가능성이 있는 정황을 확인했다.

교원그룹에 따르면, 사고는 2026년 1월 10일 오전 8시경 사내 일부 시스템에서 발생했다. 회사는 즉시 내부 시스템 접근을 차단하고 보안 점검과 복구 작업에 착수했다. 동시에 외부 침입 경로를 추적하는 과정에서 해커로 추정되는 특정 외부 IP를 확인했다.

이후 해당 IP와 연관된 트래픽 로그를 확보해 분석한 결과, 일반적인 업무 트래픽과 비교해 특정 시점에 비정상적으로 많은 데이터 이동이 발생한 흔적이 포착됐다.

교원그룹 관계자는 “전문가 검토 결과 단순 접속이나 스캔 수준이 아니라, 데이터가 실제로 오간 것으로 해석될 수 있는 트래픽이라는 의견이 나왔다”며 “보수적으로 판단해 외부 유출 가능성을 전제로 선제적으로 신고했다”고 설명했다.

교원그룹은 이러한 정황을 토대로 12일 한국인터넷진흥원(KISA)에 추가 신고를 완료했다. 다만 현재까지 유출된 데이터의 구체적인 범위와 개인정보 포함 여부는 확인되지 않았다. 회사는 추후 개인정보 유출 여부에 따라 개인정보보호위원회에도 신고할 예정이다.

현재 회사는 복수의 외부 전문 보안업체들과 함께 복수의 분석을 병행하며 삭제되거나 훼손된 로그 복구, 데이터 무결성 점검, 침투 경로 분석을 진행 중이다. 랜섬웨어 공격 특성상 일부 기록이 삭제된 상태여서 정확한 피해 범위를 파악하는 데 시간이 필요하다는 설명이다.

교원그룹은 2차 피해를 막기 위해 전사 시스템 전수 조사, 보안 취약점 정밀 분석, 비정상 접근에 대한 24시간 실시간 모니터링 강화, 사고 대응 절차 전반에 대한 재점검에 착수했다. 개인정보 유출이 최종 확인될 경우 관련 법령에 따라 즉각 조치하고, 고객에게도 신속하고 투명하게 안내할 방침이다.

현재 해당 사고는 KISA가 접수해 관계 기관과 함께 조사 중이다. 교원그룹 관계자는 “이번 사고로 고객에게 심려를 끼쳐드린 점을 무겁게 받아들이고 있다”며 “사고 원인이 명확히 규명될 때까지 모든 과정을 철저히 점검하고, 재발 방지를 위한 보안 체계 전면 재정비에 나서겠다”고 밝혔다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network