교원그룹 랜섬웨어 비상... 서버 600대 감염·이용자 960만 명 영향권

국내 대표 교육 기업인 교원그룹이 랜섬웨어 공격을 받아 대규모 시스템 장애가 발생했습니다. 2026년 1월 14일 한국인터넷진흥원(KISA)과 관련 업계에 따르면, 이번 사고로 교원그룹 전체 서버의 75%에 달하는 가상 서버가 감염되었으며 약 960만 명(중복 포함)의 이용자가 서비스 이용에 차질을 겪고 있는 것으로 나타났습니다.

---

1. 피해 규모 및 현재 상황

사고 발생 5일째를 맞이했지만, 주요 서비스의 완전 복구와 개인정보 유출 여부 확인에는 시간이 더 소요될 것으로 보입니다.

구분	상세 내용
서버 피해	전체 800대 중 가상 서버 약 600대 감염
서비스 장애	영업 관리 시스템, 홈페이지 등 주요 서비스 8개 이상
영향권 이용자	약 960만 명 (계열사 전체 이용자 1,300만 명 중)
침해 수법	웹셸(WebShell) 등을 활용한 외부 공격 (공격자 IP 차단 완료)

---

2. 개인정보 유출 여부: "정밀 조사 중"

가장 우려되는 부분은 고객의 개인정보 유출입니다. 교원그룹 측은 아직 확정적인 결론을 내리지 못하고 있습니다.

• 현재 단계: 데이터가 외부로 유출된 정황은 확인했으나, 그 데이터에 **'실제 고객 정보'**가 포함되었는지는 분석 중입니다.
• 백업 서버 건재: 다행히 백업 서버는 감염되지 않은 것으로 확인되어 시스템 복구 자체는 가능할 전망입니다.
• 대응 절차: 교원 측은 10일 비정상 징후 발견 직후 KISA에 신고했으며, 12일 유출 정황 확인 후 개인정보보호위원회에도 관련 내용을 알렸습니다.

---

3. 공격 수법: 탐지 쉬운 ‘웹셸’에 왜 뚫렸나?

이번 공격에는 최근 통신사 해킹 등에도 사용된 **'웹셸(WebShell)'**이 활용된 것으로 파악되었습니다.

• 웹셸이란?: 웹 서버의 취약점을 통해 업로드되는 악성 코드로, 공격자가 원격에서 서버의 파일을 조작하거나 명령을 수행하게 합니다.
• 보안의 맹점: 전문가들은 웹셸이 비교적 탐지가 쉬운 악성코드임에도 불구하고, 600대의 서버가 동시에 감염된 것은 내부 네트워크의 '측면 이동(Lateral Movement)' 방어 체계나 실시간 모니터링에 허점이 있었을 가능성을 제기하고 있습니다.

---

 이용자 대응 가이드: "비밀번호 변경 및 스팸 주의"

교원그룹(구몬, 빨간펜 등) 서비스를 이용 중인 고객이라면 다음 조치를 권장합니다.

1. 비밀번호 변경: 교원 계정과 동일한 아이디/비밀번호를 사용하는 타 사이트가 있다면 즉시 변경하세요.
2. 2차 인증 설정: 지원되는 서비스의 경우 OTP나 SMS 인증 등 2차 보안을 강화하세요.
3. 피싱 주의: 유출 정황이 확인된 만큼, 교원그룹을 사칭한 사과문이나 보상 안내를 빙자한 '스미싱 문자' 또는 **'피싱 메일'**이 발송될 수 있으니 출처가 불분명한 링크는 클릭하지 마세요.