본문으로 건너뛰기
J
피드

교육 플랫폼 캔버스가 뚫렸다, 9000개 기관과 2억7500만 명 위협한 ShinyHunters

security 약 9분
tags
#breach#extortion#canvas#phishing#saas
vote
0
댓글
북마크

교육 플랫폼 Canvas를 운영하는 Instructure가 데이터 탈취와 협박 공격을 당했고, 공격자는 로그인 페이지에 랜섬 요구 메시지를 띄웠다. ShinyHunters는 약 9000개 교육기관의 학생과 교직원 2억7500만 명 데이터를 유출하겠다고 위협했고, Instructure는 결국 도난 데이터 파기 약속을 받는 조건으로 금전을 지급했다고 밝혔다. 사건은 기말고사 기간에 서비스 중단까지 일으켜 교육 SaaS 공급망 리스크를 크게 드러냈다.

  • 1

    Canvas 로그인 페이지가 ShinyHunters의 협박 메시지로 변조되며 서비스가 중단됨

  • 2

    공격자는 9000개 교육기관, 2억7500만 명 학생·교직원 데이터를 위협

  • 3

    Instructure는 이름, 이메일, 학생 ID, 사용자 간 메시지 등 일부 식별 정보가 유출됐다고 밝힘

  • 4

    비밀번호, 생년월일, 정부 식별번호, 금융정보 유출 증거는 없다고 주장

  • 5

    업데이트에서 Free-for-Teacher 계정 관련 이슈가 원인이라고 설명하고 해당 계정을 임시 중단

  • 6

    Instructure는 협박범에게 금전을 지급했고, 데이터 파기 디지털 확인을 받았다고 밝힘

Canvas 로그인 페이지가 협박장으로 바뀜

  • 미국 전역 학교와 대학에서 쓰는 교육 플랫폼 Canvas가 데이터 협박 공격으로 중단됨

    • 공격자는 Canvas 로그인 페이지를 랜섬 요구 메시지로 바꿔버림
    • 메시지에는 약 9000개 교육기관, 학생과 교직원 2억7500만 명의 데이터를 유출하겠다는 위협이 담김

  • Canvas 운영사 Instructure는 서비스를 내리고 포털에 “예약된 점검 중”이라는 메시지를 띄움

    • Canvas는 수업 자료, 과제, 학생 커뮤니케이션을 관리하는 플랫폼임
    • 기말고사 기간에 터진 장애라 학교 입장에서는 타이밍이 최악이었음

⚠️주의

> 보안 사고로 플랫폼을 내리면서 상태 페이지에는 “예약된 점검”이라고 표시한 점이 강하게 비판받음. 사고 대응에서 기술 복구만큼 중요한 게 신뢰인데, 이런 표현은 고객 입장에선 꽤 세게 받아들여질 수 있음.

유출된 데이터와 공격자 주장

  • Instructure는 앞서 데이터 침해를 인정했고, 유출 정보 범위를 일부 설명함

    • affected institutions의 사용자 이름, 이메일 주소, 학생 ID 번호, 사용자 간 메시지 등이 포함됐다고 밝힘
    • 비밀번호, 생년월일, 정부 식별번호, 금융정보 같은 더 민감한 정보가 포함됐다는 증거는 없다고 함

  • 공격 그룹 ShinyHunters의 주장은 훨씬 공격적임

    • 수천만 명 학생과 교직원 데이터를 들고 있다고 주장함
    • 학생과 교사 사이의 비공개 메시지 수십억 건, 이름, 전화번호, 이메일 주소가 포함됐다고 주장함

  • 협박 메시지는 Instructure만이 아니라 각 학교에도 돈을 내라고 압박함

    • “Instructure가 지불하든 말든, 데이터 공개를 막고 싶으면 각 학교가 직접 협상하라”는 식의 메시지였음
    • 조사에 가까운 소식통은 이미 여러 대학이 공격자에게 접촉했다고 전함

“침해는 끝났다” 다음 날 벌어진 공개 시위

  • Instructure는 5월 6일 기준으로 사건이 통제됐다고 봤음

    • 당시 업데이트에서는 Canvas가 정상 운영 중이고, 플랫폼에서 진행 중인 무단 활동은 보이지 않는다고 설명함
    • 그런데 5월 7일 낮부터 학생과 교직원들이 소셜미디어에 로그인 페이지 협박 메시지를 올리기 시작함

  • 보안업체 Cloudskope의 Dipan Mann은 이 대응을 강하게 비판함

    • ShinyHunters가 5월 1일 침해를 입증했고, 5월 2일 Instructure CISO가 사건이 통제됐다고 봤다는 흐름을 지적함
    • Mann은 이번 일이 지난 8개월 동안 ShinyHunters가 Instructure를 침해한 최소 세 번째 사례라고 주장함

  • Mann은 2025년 9월 펜실베이니아대 침해도 Instructure 경로와 연결해 봄

    • 당시 ShinyHunters는 기부자 기록, 내부 메모 등 수천 개 파일을 공개함
    • 2026년 3월 5일에는 Penn에서 훔친 461MB 데이터를 공개했고, 그 전에는 100만 달러 랜섬 요구가 있었다고 함

ShinyHunters는 어떤 그룹인가

  • ShinyHunters는 데이터 탈취와 협박을 전문으로 하는 사이버 범죄 그룹임

    • 보통 음성 피싱(voice phishing)과 사회공학으로 직원 계정이나 신뢰 관계를 뚫는 방식이 자주 언급됨
    • IT 담당자나 내부자로 가장해 접근권을 빼내는 패턴이 많음

  • 최근 사례도 만만치 않음

    • ADT에서는 550만 명 고객 개인정보를 탈취한 것으로 보도됨
    • 당시 공격자는 직원의 Okta 단일 로그인 계정을 음성 피싱으로 장악했고, 이를 통해 ADT의 Salesforce 인스턴스에 접근했다고 주장함
    • Medtronic, Rockstar Games, McGraw Hill, 7-Eleven, Carnival 같은 이름도 최근 협박 공격 대상으로 언급됨

  • Google 소유 Mandiant Consulting의 CTO Charles Carmakal도 ShinyHunters 활동이 동시에 여러 건 진행 중이라고 말함

    • Canvas 사건 자체에 대한 구체 코멘트는 피했지만, 여러 개의 독립적인 침입과 협박 캠페인이 동시에 벌어지고 있다고 설명함

업데이트에서 드러난 원인과 결말

  • 5월 8일 Instructure는 추가 업데이트를 통해 Canvas 포털이 다시 정상 동작한다고 밝힘

    • 해커들이 Free-for-Teacher 계정 관련 이슈를 악용했다고 설명함
    • 이 문제는 그 전주 무단 접근을 일으킨 것과 같은 이슈라고 함
    • 결국 Free-for-Teacher 계정을 임시 중단하는 결정을 내림

  • Instructure는 영향을 받은 조직에는 5월 6일 통지했다고 설명함

    • 확인되지 않은 제3자 목록이나 소셜미디어 게시물에 의존하지 말라고 안내함
    • 실제 affected organization은 Instructure가 직접 연락하겠다고 함

중요

> 5월 11일 업데이트에서 Instructure는 협박범에게 금전을 지급했고, 훔친 데이터가 반환됐으며 데이터 파기 디지털 확인, 즉 shred logs를 받았다고 밝혔다. 공격자가 약속을 지킬지는 별개의 문제지만, 회사가 지불 사실을 공개한 건 꽤 큰 대목임.

  • 이 사건의 핵심은 교육 SaaS 하나가 뚫리면 수천 개 기관의 수업 운영과 개인정보 리스크가 동시에 흔들린다는 점임
    • 학교마다 보안팀 규모가 다르고, 공급업체를 깊게 감사하기 어려운 경우도 많음
    • 그래서 공급업체 사고를 ‘남의 일’로 보기 어렵고, 실제로는 고객 기관 전체의 운영 리스크가 됨

기술 맥락

  • 이 사건에서 가장 큰 기술적 선택지는 교육기관이 직접 학습관리시스템을 운영하지 않고 Canvas 같은 SaaS에 맡기는 구조예요. 왜냐하면 수업, 과제, 메시지, 계정 관리를 한 플랫폼에서 처리하면 운영은 편하지만, 공급업체 하나가 뚫렸을 때 영향 범위가 크게 넓어지거든요.

  • Instructure가 언급한 Free-for-Teacher 계정은 별도 제공 경로가 전체 보안 경계에 영향을 줄 수 있다는 점을 보여줘요. 무료 계정, 체험 계정, 외부 사용자 계정은 본 서비스와 다르게 관리되기 쉬워서 공격자가 우회로로 노릴 만해요.

  • ShinyHunters가 자주 쓰는 음성 피싱도 중요한 맥락이에요. 기술 취약점 하나만 보는 게 아니라, 직원의 Okta 같은 단일 로그인 계정을 속여 빼앗고 그 권한으로 Salesforce나 SaaS 관리 영역에 들어가는 식의 공격이 반복되고 있어요.

  • 고객 기관 입장에서는 공급업체가 “통제됐다”고 말하는지만 믿기 어려워요. 로그, 계정 경계, 무료 계정 정책, 고객별 데이터 분리, 사고 통지 절차를 계약과 감사 항목에서 확인해야 하는 이유가 여기에 있어요.

  • 특히 학생 메시지와 식별 정보는 비밀번호보다 덜 민감해 보일 수 있지만, 실제로는 피싱과 사칭에 바로 쓰일 수 있어요. 그래서 이런 사고는 데이터베이스 유출 한 번이 아니라 이후 사회공학 공격의 재료가 되는 문제로 봐야 해요.

이 사건은 단순한 교육 플랫폼 해킹이 아니라 SaaS 공급업체 하나가 수천 개 기관의 운영을 동시에 멈출 수 있다는 사례다. 특히 ‘예약된 점검’으로 표시한 커뮤니케이션은 보안 사고 대응에서 신뢰를 얼마나 빨리 잃을 수 있는지도 보여줌.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

AI 에이전트 보안, 이제 권한이 아니라 ‘실행 증거’ 싸움으로 간다

오페이크가 AI 에이전트의 ID, 실행 환경, 도구 호출, 정책 적용 여부를 암호학적으로 검증하는 오페이크 3.0을 공개했다. 핵심은 에이전트 매니페스트와 컨피덴셜 MCP라는 두 오픈소스 기술이며, 기밀 컴퓨팅과 서명된 실행 증거를 결합해 감사자나 규제기관도 독립적으로 확인할 수 있게 하는 방향이다. AI 에이전트가 업무 시스템과 데이터를 직접 만지는 시대에는 접근 권한보다 ‘무슨 일을 했는지 증명할 수 있느냐’가 더 중요해지고 있다.

security

취약점 제보가 더 이상 특별하지 않은 시대가 왔다

전 Go 보안팀 리드였던 필리포 발소르다가 LLM 이후 취약점 제보의 의미가 바뀌었다고 주장한다. 예전에는 희소한 통찰과 비공개 제보가 귀했지만, 이제는 잠재 취약점을 찾는 것보다 실제 영향도를 빠르게 가려내는 triage가 병목이라는 얘기다.

security

스패로우, AI가 만든 코드 취약점 잡는 ‘Sparrow MCP’ 출시

스패로우가 AI 코딩 에이전트가 생성한 코드의 보안 취약점과 사용된 오픈소스를 실시간으로 검사하는 보안 어시스턴트 ‘Sparrow MCP’를 출시했다. 핵심 기능은 취약점 분석과 소프트웨어 자재명세서(SBOM) 생성이며, 앤트로픽의 모델 컨텍스트 프로토콜(MCP)을 지원하는 AI와 연결할 수 있다는 점이다. AI 코딩이 빨라질수록 보안 검증과 오픈소스 추적이 개발 파이프라인 안으로 더 깊게 들어오는 흐름이다.

security

오픈AI, 오픈소스 취약점 고치는 ‘패치 더 플래닛’ 시작

오픈AI가 트레일 오브 비츠와 함께 주요 오픈소스 프로젝트의 취약점을 AI로 찾고, 사람 검토를 거쳐 실제 패치까지 연결하는 프로그램을 시작했다. 파이썬, 고, cURL, 시그스토어, NATS 서버 같은 핵심 프로젝트가 초기 대상이고, 지금까지 수백 건의 보안 이슈와 수십 건의 병합된 패치가 나왔다. 핵심은 AI가 보안팀을 대체하는 게 아니라, 탐지·검증·패치·공개 조율을 빠르게 만드는 보조 엔진이라는 점이다.

security

오픈AI, 취약점 찾기부터 패치까지 돕는 ‘코덱스 시큐리티’ 공개

오픈AI가 사이버보안 이니셔티브 데이브레이크를 확대하면서 보안 전용 도구 코덱스 시큐리티와 GPT-5.5-사이버를 공개했다. 목표는 취약점 탐지에서 끝나는 게 아니라 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 AI로 지원하는 것이다. cURL, Go, Python, Sigstore 등 30개 이상 오픈소스 프로젝트도 패치 지원 프로그램에 참여한다.