교원그룹 해킹 공격과 관련, 한국인터넷진흥원(KISA)·개인정보보호위원회에 이어 경찰도 조사에 착수했다.

14일 경찰 등에 따르면 경찰청 국가수사본부 사이버테러수사대는 11일 교원그룹의 랜섬웨어 공격 피해 신고를 받고 입건 전 조사(내사)에 들어갔다.

앞서 교원은 이달 10일 오전 8시쯤 랜섬웨어 공격을 받고 같은 날 오후 KISA에 신고를 했다. 이틀 후인 13일에는 일부 데이터가 외부로 유출된 정황을 확인, KISA와 개인정보위에 추가신고해 해당 기관들이 조사에 착수한 상태다.

교원 등에 따르면 KISA 등으로 구성된 조사단은 교원그룹 전체 800대 서버 중 가상 서버 약 600대가 랜섬웨어 감염 영향 범위에 포함된 것으로 보고 있다. 8개 계열사 이용자 554만명(중복 인원 제외)이 영향 받을 가능성이 있는 것으로 파악됐다.

교원측 침해 사고 신고를 접수한 조사단은 방화벽을 통해 공격자 IP와 외부 접근을 차단하고 악성파일 삭제 등 긴급 조치를 마치고 공격자 IP, 랜섬웨어 공격에 사용된 웹셸 등 악성파일을 확보해 분석 중인 것으로 알려졌다.

교원 관계자는 14일 통화에서 “평소 데이터 백업을 해놓고 있어 랜섬웨어 감염 확인 후 바로 악성파일 삭제 및 전산망 정상화를 할 수 있었다”며 “고객정보 유출 여부는 아직 확인중”이라고 설명했다.