캔버스, 샤이니헌터스 데이터 유출 협박 뒤 서비스 장애

• 학습관리 플랫폼 캔버스(Canvas)가 대규모 보안 사고 뒤 한때 내려갔다가 대부분 복구됨

  • 캔버스는 인스트럭처(Instructure)가 운영하는 교육용 학습관리 플랫폼임
  • 사고로 영향을 받은 데이터에는 학생 이름, 이메일 주소, 식별번호, 메시지가 포함된 것으로 전해짐

• 더 심각한 건 단순 유출 의혹이 아니라, 일부 학생과 교사가 로그인했을 때 공격자 메시지가 화면에 떴다는 점임

  • 메시지는 샤이니헌터스(ShinyHunters)를 자처하는 해킹 그룹 명의였음
  • 이들은 인스트럭처가 자신들을 무시하고 “보안 패치”만 했다며, 유출 대상 학교는 사이버 자문 업체를 통해 비공개로 연락하라고 압박함
  • 협박 시한은 2026년 5월 12일 하루가 끝나기 전으로 제시됨

• 인스트럭처는 “권한 없는 행위자가 일부 로그인 페이지를 변경한 사실을 발견했고, 접근을 막고 조사하기 위해 캔버스를 즉시 오프라인으로 전환했다”고 밝힘

  • 현재 캔버스는 대부분 사용자에게 다시 열렸음
  • 다만 Canvas Beta와 Canvas Test 시스템은 아직 유지보수 모드에 남아 있음
  • 일부 사용자는 Student ePortfolios 로그인 문제도 겪고 있어 별도 조사 중임

• 회사는 사고 원인을 Free-For-Teacher 계정 관련 이슈로 확인했다고 설명함

  • 이 계정 유형은 임시로 중단됨
  • 언제 복구될지는 아직 언급되지 않음
  • 지난주에는 침해 사고 이후 시스템 보안을 강화하기 위한 패치를 배포했다고 밝힌 바 있음

• 샤이니헌터스는 이미 여러 대형 공격을 주장해온 그룹임

  • 과거 Ticketmaster, AT&T, Rockstar Games, ADT, Vercel 관련 공격 책임을 주장한 적이 있음
  • Bleeping Computer에 따르면 이들의 유출 사이트에는 9,000개 학교, 학생·교사·직원 2억 7,500만 명 규모의 데이터가 있다고 주장돼 있음
  • 숫자가 사실이라면 교육 SaaS 침해 사고 중에서도 꽤 큰 축에 들어감

---

기술 맥락

• 이번 사고에서 중요한 선택은 서비스를 계속 열어둘지, 일단 내려서 접근을 막을지였어요. 인스트럭처는 일부 페이지 변조를 확인한 뒤 캔버스를 오프라인으로 전환했는데, 공격자가 화면까지 바꿀 수 있는 상황이면 추가 노출을 막는 게 먼저거든요.

• Free-For-Teacher 계정을 임시 중단한 것도 같은 맥락이에요. 회사가 이 계정 유형과 관련된 문제가 악용됐다고 확인했기 때문에, 정확한 패치가 끝나기 전에는 해당 경로를 닫아두는 게 피해 확산을 줄이는 현실적인 대응이에요.

• 교육용 LMS는 일반 SaaS보다 계정 경계가 복잡해요. 학교, 교사, 학생, 테스트 환경, 무료 계정이 섞이고 메시지와 식별정보까지 들어가니까 권한 모델 하나가 흔들리면 영향 범위가 조직 단위로 커져요.

• 베타와 테스트 시스템을 유지보수 모드로 남긴 것도 눈여겨볼 부분이에요. 운영계만 복구했다고 끝이 아니라, 같은 인증 체계나 계정 모델을 공유하는 주변 시스템까지 같이 잠가야 재진입 가능성을 낮출 수 있어요.