본문으로 건너뛰기
J
피드

교육 플랫폼 캔버스가 뚫렸다, 9000개 기관과 2억7500만 명 위협한 ShinyHunters

security 약 9분
tags
#breach#extortion#canvas#phishing#saas
vote
0
댓글
북마크
원문 보기

교육 플랫폼 Canvas를 운영하는 Instructure가 데이터 탈취와 협박 공격을 당했고, 공격자는 로그인 페이지에 랜섬 요구 메시지를 띄웠다. ShinyHunters는 약 9000개 교육기관의 학생과 교직원 2억7500만 명 데이터를 유출하겠다고 위협했고, Instructure는 결국 도난 데이터 파기 약속을 받는 조건으로 금전을 지급했다고 밝혔다. 사건은 기말고사 기간에 서비스 중단까지 일으켜 교육 SaaS 공급망 리스크를 크게 드러냈다.

  • 1

    Canvas 로그인 페이지가 ShinyHunters의 협박 메시지로 변조되며 서비스가 중단됨

  • 2

    공격자는 9000개 교육기관, 2억7500만 명 학생·교직원 데이터를 위협

  • 3

    Instructure는 이름, 이메일, 학생 ID, 사용자 간 메시지 등 일부 식별 정보가 유출됐다고 밝힘

  • 4

    비밀번호, 생년월일, 정부 식별번호, 금융정보 유출 증거는 없다고 주장

  • 5

    업데이트에서 Free-for-Teacher 계정 관련 이슈가 원인이라고 설명하고 해당 계정을 임시 중단

  • 6

    Instructure는 협박범에게 금전을 지급했고, 데이터 파기 디지털 확인을 받았다고 밝힘

Canvas 로그인 페이지가 협박장으로 바뀜

  • 미국 전역 학교와 대학에서 쓰는 교육 플랫폼 Canvas가 데이터 협박 공격으로 중단됨

    • 공격자는 Canvas 로그인 페이지를 랜섬 요구 메시지로 바꿔버림
    • 메시지에는 약 9000개 교육기관, 학생과 교직원 2억7500만 명의 데이터를 유출하겠다는 위협이 담김

  • Canvas 운영사 Instructure는 서비스를 내리고 포털에 “예약된 점검 중”이라는 메시지를 띄움

    • Canvas는 수업 자료, 과제, 학생 커뮤니케이션을 관리하는 플랫폼임
    • 기말고사 기간에 터진 장애라 학교 입장에서는 타이밍이 최악이었음

⚠️주의

> 보안 사고로 플랫폼을 내리면서 상태 페이지에는 “예약된 점검”이라고 표시한 점이 강하게 비판받음. 사고 대응에서 기술 복구만큼 중요한 게 신뢰인데, 이런 표현은 고객 입장에선 꽤 세게 받아들여질 수 있음.

유출된 데이터와 공격자 주장

  • Instructure는 앞서 데이터 침해를 인정했고, 유출 정보 범위를 일부 설명함

    • affected institutions의 사용자 이름, 이메일 주소, 학생 ID 번호, 사용자 간 메시지 등이 포함됐다고 밝힘
    • 비밀번호, 생년월일, 정부 식별번호, 금융정보 같은 더 민감한 정보가 포함됐다는 증거는 없다고 함

  • 공격 그룹 ShinyHunters의 주장은 훨씬 공격적임

    • 수천만 명 학생과 교직원 데이터를 들고 있다고 주장함
    • 학생과 교사 사이의 비공개 메시지 수십억 건, 이름, 전화번호, 이메일 주소가 포함됐다고 주장함

  • 협박 메시지는 Instructure만이 아니라 각 학교에도 돈을 내라고 압박함

    • “Instructure가 지불하든 말든, 데이터 공개를 막고 싶으면 각 학교가 직접 협상하라”는 식의 메시지였음
    • 조사에 가까운 소식통은 이미 여러 대학이 공격자에게 접촉했다고 전함

“침해는 끝났다” 다음 날 벌어진 공개 시위

  • Instructure는 5월 6일 기준으로 사건이 통제됐다고 봤음

    • 당시 업데이트에서는 Canvas가 정상 운영 중이고, 플랫폼에서 진행 중인 무단 활동은 보이지 않는다고 설명함
    • 그런데 5월 7일 낮부터 학생과 교직원들이 소셜미디어에 로그인 페이지 협박 메시지를 올리기 시작함

  • 보안업체 Cloudskope의 Dipan Mann은 이 대응을 강하게 비판함

    • ShinyHunters가 5월 1일 침해를 입증했고, 5월 2일 Instructure CISO가 사건이 통제됐다고 봤다는 흐름을 지적함
    • Mann은 이번 일이 지난 8개월 동안 ShinyHunters가 Instructure를 침해한 최소 세 번째 사례라고 주장함

  • Mann은 2025년 9월 펜실베이니아대 침해도 Instructure 경로와 연결해 봄

    • 당시 ShinyHunters는 기부자 기록, 내부 메모 등 수천 개 파일을 공개함
    • 2026년 3월 5일에는 Penn에서 훔친 461MB 데이터를 공개했고, 그 전에는 100만 달러 랜섬 요구가 있었다고 함

ShinyHunters는 어떤 그룹인가

  • ShinyHunters는 데이터 탈취와 협박을 전문으로 하는 사이버 범죄 그룹임

    • 보통 음성 피싱(voice phishing)과 사회공학으로 직원 계정이나 신뢰 관계를 뚫는 방식이 자주 언급됨
    • IT 담당자나 내부자로 가장해 접근권을 빼내는 패턴이 많음

  • 최근 사례도 만만치 않음

    • ADT에서는 550만 명 고객 개인정보를 탈취한 것으로 보도됨
    • 당시 공격자는 직원의 Okta 단일 로그인 계정을 음성 피싱으로 장악했고, 이를 통해 ADT의 Salesforce 인스턴스에 접근했다고 주장함
    • Medtronic, Rockstar Games, McGraw Hill, 7-Eleven, Carnival 같은 이름도 최근 협박 공격 대상으로 언급됨

  • Google 소유 Mandiant Consulting의 CTO Charles Carmakal도 ShinyHunters 활동이 동시에 여러 건 진행 중이라고 말함

    • Canvas 사건 자체에 대한 구체 코멘트는 피했지만, 여러 개의 독립적인 침입과 협박 캠페인이 동시에 벌어지고 있다고 설명함

업데이트에서 드러난 원인과 결말

  • 5월 8일 Instructure는 추가 업데이트를 통해 Canvas 포털이 다시 정상 동작한다고 밝힘

    • 해커들이 Free-for-Teacher 계정 관련 이슈를 악용했다고 설명함
    • 이 문제는 그 전주 무단 접근을 일으킨 것과 같은 이슈라고 함
    • 결국 Free-for-Teacher 계정을 임시 중단하는 결정을 내림

  • Instructure는 영향을 받은 조직에는 5월 6일 통지했다고 설명함

    • 확인되지 않은 제3자 목록이나 소셜미디어 게시물에 의존하지 말라고 안내함
    • 실제 affected organization은 Instructure가 직접 연락하겠다고 함

중요

> 5월 11일 업데이트에서 Instructure는 협박범에게 금전을 지급했고, 훔친 데이터가 반환됐으며 데이터 파기 디지털 확인, 즉 shred logs를 받았다고 밝혔다. 공격자가 약속을 지킬지는 별개의 문제지만, 회사가 지불 사실을 공개한 건 꽤 큰 대목임.

  • 이 사건의 핵심은 교육 SaaS 하나가 뚫리면 수천 개 기관의 수업 운영과 개인정보 리스크가 동시에 흔들린다는 점임
    • 학교마다 보안팀 규모가 다르고, 공급업체를 깊게 감사하기 어려운 경우도 많음
    • 그래서 공급업체 사고를 ‘남의 일’로 보기 어렵고, 실제로는 고객 기관 전체의 운영 리스크가 됨

기술 맥락

  • 이 사건에서 가장 큰 기술적 선택지는 교육기관이 직접 학습관리시스템을 운영하지 않고 Canvas 같은 SaaS에 맡기는 구조예요. 왜냐하면 수업, 과제, 메시지, 계정 관리를 한 플랫폼에서 처리하면 운영은 편하지만, 공급업체 하나가 뚫렸을 때 영향 범위가 크게 넓어지거든요.

  • Instructure가 언급한 Free-for-Teacher 계정은 별도 제공 경로가 전체 보안 경계에 영향을 줄 수 있다는 점을 보여줘요. 무료 계정, 체험 계정, 외부 사용자 계정은 본 서비스와 다르게 관리되기 쉬워서 공격자가 우회로로 노릴 만해요.

  • ShinyHunters가 자주 쓰는 음성 피싱도 중요한 맥락이에요. 기술 취약점 하나만 보는 게 아니라, 직원의 Okta 같은 단일 로그인 계정을 속여 빼앗고 그 권한으로 Salesforce나 SaaS 관리 영역에 들어가는 식의 공격이 반복되고 있어요.

  • 고객 기관 입장에서는 공급업체가 “통제됐다”고 말하는지만 믿기 어려워요. 로그, 계정 경계, 무료 계정 정책, 고객별 데이터 분리, 사고 통지 절차를 계약과 감사 항목에서 확인해야 하는 이유가 여기에 있어요.

  • 특히 학생 메시지와 식별 정보는 비밀번호보다 덜 민감해 보일 수 있지만, 실제로는 피싱과 사칭에 바로 쓰일 수 있어요. 그래서 이런 사고는 데이터베이스 유출 한 번이 아니라 이후 사회공학 공격의 재료가 되는 문제로 봐야 해요.

이 사건은 단순한 교육 플랫폼 해킹이 아니라 SaaS 공급업체 하나가 수천 개 기관의 운영을 동시에 멈출 수 있다는 사례다. 특히 ‘예약된 점검’으로 표시한 커뮤니케이션은 보안 사고 대응에서 신뢰를 얼마나 빨리 잃을 수 있는지도 보여줌.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

윈도우 11 BitLocker 우회 취약점 ‘YellowKey’ 공개, WinRE 경로가 문제로 지목됨

YellowKey라는 BitLocker 우회 취약점 공개 글이 올라왔고, 작성자는 Windows Recovery Environment에만 있는 특정 구성요소가 보호된 볼륨 접근을 허용한다고 주장한다. 공개 내용은 Windows 11과 Windows Server 2022/2025가 영향권이고 Windows 10은 제외된다고 설명하며, Microsoft 보안 조직과의 공개 조율도 언급한다.

security

해고 직후 정부 DB 96개 삭제 혐의, 내부자 접근권 회수의 무서운 사례

미국 정부 고객을 상대하던 IT 업체에서 해고된 쌍둥이 형제가 몇 분 뒤 정부 정보가 담긴 데이터베이스 96개를 삭제한 혐의를 받고 있다. 기사에는 이들이 이전에도 컴퓨터 범죄 전력이 있었고, 회사 네트워크에서 5,400개 계정 정보를 모아 Python 스크립트로 외부 서비스 로그인을 시도했다는 정황도 나온다.

security

EFF, 국경 전자기기 수색에도 영장이 필요하다고 제4순회항소법원에 주장

EFF와 ACLU 등은 미국 제4순회항소법원에 국경에서 휴대폰·노트북 같은 전자기기를 수색하려면 영장이 필요하다는 의견서를 냄. 사건은 Dulles 공항에서 미국 시민의 휴대폰이 영장 없이 수색된 뒤 형사 사건으로 이어진 사례이며, EFF는 수동 수색과 포렌식 수색 모두 같은 높은 기준을 적용해야 한다고 주장함.

security

안드로이드 17, 내 폰 OS가 진짜인지 직접 보여준다

구글이 안드로이드 17에 OS 검증 기능을 넣는다. 사용자는 기기가 공식 안드로이드 빌드를 돌리고 있는지, 부트로더 상태와 빌드 정보까지 확인할 수 있고, 구글 앱과 API의 정식 배포 여부를 검증하는 공개 원장도 제공된다.

security

마이크로소프트 취약점 공개전이 또 터짐, 이번엔 2건

익명의 공개자가 마이크로소프트 관련 취약점 2건을 추가로 공개했다고 주장했어. 구체적인 기술 분석은 본문에 거의 없지만, 패치 튜즈데이를 앞두고 더 큰 공개를 예고해 윈도우 보안 운영팀 입장에선 신경 써야 할 신호야.