--- title: "교육 플랫폼 캔버스가 뚫렸다, 9000개 기관과 2억7500만 명 위협한 ShinyHunters" published: 2026-05-09T23:46:26.000Z canonical: https://jeff.news/article/2545 --- # 교육 플랫폼 캔버스가 뚫렸다, 9000개 기관과 2억7500만 명 위협한 ShinyHunters 교육 플랫폼 Canvas를 운영하는 Instructure가 데이터 탈취와 협박 공격을 당했고, 공격자는 로그인 페이지에 랜섬 요구 메시지를 띄웠다. ShinyHunters는 약 9000개 교육기관의 학생과 교직원 2억7500만 명 데이터를 유출하겠다고 위협했고, Instructure는 결국 도난 데이터 파기 약속을 받는 조건으로 금전을 지급했다고 밝혔다. 사건은 기말고사 기간에 서비스 중단까지 일으켜 교육 SaaS 공급망 리스크를 크게 드러냈다. ## Canvas 로그인 페이지가 협박장으로 바뀜 - 미국 전역 학교와 대학에서 쓰는 교육 플랫폼 Canvas가 데이터 협박 공격으로 중단됨 - 공격자는 Canvas 로그인 페이지를 랜섬 요구 메시지로 바꿔버림 - 메시지에는 약 9000개 교육기관, 학생과 교직원 2억7500만 명의 데이터를 유출하겠다는 위협이 담김 - Canvas 운영사 Instructure는 서비스를 내리고 포털에 “예약된 점검 중”이라는 메시지를 띄움 - Canvas는 수업 자료, 과제, 학생 커뮤니케이션을 관리하는 플랫폼임 - 기말고사 기간에 터진 장애라 학교 입장에서는 타이밍이 최악이었음 > [!WARNING] > 보안 사고로 플랫폼을 내리면서 상태 페이지에는 “예약된 점검”이라고 표시한 점이 강하게 비판받음. 사고 대응에서 기술 복구만큼 중요한 게 신뢰인데, 이런 표현은 고객 입장에선 꽤 세게 받아들여질 수 있음. ## 유출된 데이터와 공격자 주장 - Instructure는 앞서 데이터 침해를 인정했고, 유출 정보 범위를 일부 설명함 - affected institutions의 사용자 이름, 이메일 주소, 학생 ID 번호, 사용자 간 메시지 등이 포함됐다고 밝힘 - 비밀번호, 생년월일, 정부 식별번호, 금융정보 같은 더 민감한 정보가 포함됐다는 증거는 없다고 함 - 공격 그룹 ShinyHunters의 주장은 훨씬 공격적임 - 수천만 명 학생과 교직원 데이터를 들고 있다고 주장함 - 학생과 교사 사이의 비공개 메시지 수십억 건, 이름, 전화번호, 이메일 주소가 포함됐다고 주장함 - 협박 메시지는 Instructure만이 아니라 각 학교에도 돈을 내라고 압박함 - “Instructure가 지불하든 말든, 데이터 공개를 막고 싶으면 각 학교가 직접 협상하라”는 식의 메시지였음 - 조사에 가까운 소식통은 이미 여러 대학이 공격자에게 접촉했다고 전함 ## “침해는 끝났다” 다음 날 벌어진 공개 시위 - Instructure는 5월 6일 기준으로 사건이 통제됐다고 봤음 - 당시 업데이트에서는 Canvas가 정상 운영 중이고, 플랫폼에서 진행 중인 무단 활동은 보이지 않는다고 설명함 - 그런데 5월 7일 낮부터 학생과 교직원들이 소셜미디어에 로그인 페이지 협박 메시지를 올리기 시작함 - 보안업체 Cloudskope의 Dipan Mann은 이 대응을 강하게 비판함 - ShinyHunters가 5월 1일 침해를 입증했고, 5월 2일 Instructure CISO가 사건이 통제됐다고 봤다는 흐름을 지적함 - Mann은 이번 일이 지난 8개월 동안 ShinyHunters가 Instructure를 침해한 최소 세 번째 사례라고 주장함 - Mann은 2025년 9월 펜실베이니아대 침해도 Instructure 경로와 연결해 봄 - 당시 ShinyHunters는 기부자 기록, 내부 메모 등 수천 개 파일을 공개함 - 2026년 3월 5일에는 Penn에서 훔친 461MB 데이터를 공개했고, 그 전에는 100만 달러 랜섬 요구가 있었다고 함 ## ShinyHunters는 어떤 그룹인가 - ShinyHunters는 데이터 탈취와 협박을 전문으로 하는 사이버 범죄 그룹임 - 보통 음성 피싱(voice phishing)과 사회공학으로 직원 계정이나 신뢰 관계를 뚫는 방식이 자주 언급됨 - IT 담당자나 내부자로 가장해 접근권을 빼내는 패턴이 많음 - 최근 사례도 만만치 않음 - ADT에서는 550만 명 고객 개인정보를 탈취한 것으로 보도됨 - 당시 공격자는 직원의 Okta 단일 로그인 계정을 음성 피싱으로 장악했고, 이를 통해 ADT의 Salesforce 인스턴스에 접근했다고 주장함 - Medtronic, Rockstar Games, McGraw Hill, 7-Eleven, Carnival 같은 이름도 최근 협박 공격 대상으로 언급됨 - Google 소유 Mandiant Consulting의 CTO Charles Carmakal도 ShinyHunters 활동이 동시에 여러 건 진행 중이라고 말함 - Canvas 사건 자체에 대한 구체 코멘트는 피했지만, 여러 개의 독립적인 침입과 협박 캠페인이 동시에 벌어지고 있다고 설명함 ## 업데이트에서 드러난 원인과 결말 - 5월 8일 Instructure는 추가 업데이트를 통해 Canvas 포털이 다시 정상 동작한다고 밝힘 - 해커들이 Free-for-Teacher 계정 관련 이슈를 악용했다고 설명함 - 이 문제는 그 전주 무단 접근을 일으킨 것과 같은 이슈라고 함 - 결국 Free-for-Teacher 계정을 임시 중단하는 결정을 내림 - Instructure는 영향을 받은 조직에는 5월 6일 통지했다고 설명함 - 확인되지 않은 제3자 목록이나 소셜미디어 게시물에 의존하지 말라고 안내함 - 실제 affected organization은 Instructure가 직접 연락하겠다고 함 > [!IMPORTANT] > 5월 11일 업데이트에서 Instructure는 협박범에게 금전을 지급했고, 훔친 데이터가 반환됐으며 데이터 파기 디지털 확인, 즉 shred logs를 받았다고 밝혔다. 공격자가 약속을 지킬지는 별개의 문제지만, 회사가 지불 사실을 공개한 건 꽤 큰 대목임. - 이 사건의 핵심은 교육 SaaS 하나가 뚫리면 수천 개 기관의 수업 운영과 개인정보 리스크가 동시에 흔들린다는 점임 - 학교마다 보안팀 규모가 다르고, 공급업체를 깊게 감사하기 어려운 경우도 많음 - 그래서 공급업체 사고를 ‘남의 일’로 보기 어렵고, 실제로는 고객 기관 전체의 운영 리스크가 됨 --- ## 기술 맥락 - 이 사건에서 가장 큰 기술적 선택지는 교육기관이 직접 학습관리시스템을 운영하지 않고 Canvas 같은 SaaS에 맡기는 구조예요. 왜냐하면 수업, 과제, 메시지, 계정 관리를 한 플랫폼에서 처리하면 운영은 편하지만, 공급업체 하나가 뚫렸을 때 영향 범위가 크게 넓어지거든요. - Instructure가 언급한 Free-for-Teacher 계정은 별도 제공 경로가 전체 보안 경계에 영향을 줄 수 있다는 점을 보여줘요. 무료 계정, 체험 계정, 외부 사용자 계정은 본 서비스와 다르게 관리되기 쉬워서 공격자가 우회로로 노릴 만해요. - ShinyHunters가 자주 쓰는 음성 피싱도 중요한 맥락이에요. 기술 취약점 하나만 보는 게 아니라, 직원의 Okta 같은 단일 로그인 계정을 속여 빼앗고 그 권한으로 Salesforce나 SaaS 관리 영역에 들어가는 식의 공격이 반복되고 있어요. - 고객 기관 입장에서는 공급업체가 “통제됐다”고 말하는지만 믿기 어려워요. 로그, 계정 경계, 무료 계정 정책, 고객별 데이터 분리, 사고 통지 절차를 계약과 감사 항목에서 확인해야 하는 이유가 여기에 있어요. - 특히 학생 메시지와 식별 정보는 비밀번호보다 덜 민감해 보일 수 있지만, 실제로는 피싱과 사칭에 바로 쓰일 수 있어요. 그래서 이런 사고는 데이터베이스 유출 한 번이 아니라 이후 사회공학 공격의 재료가 되는 문제로 봐야 해요. ## 핵심 포인트 - Canvas 로그인 페이지가 ShinyHunters의 협박 메시지로 변조되며 서비스가 중단됨 - 공격자는 9000개 교육기관, 2억7500만 명 학생·교직원 데이터를 위협 - Instructure는 이름, 이메일, 학생 ID, 사용자 간 메시지 등 일부 식별 정보가 유출됐다고 밝힘 - 비밀번호, 생년월일, 정부 식별번호, 금융정보 유출 증거는 없다고 주장 - 업데이트에서 Free-for-Teacher 계정 관련 이슈가 원인이라고 설명하고 해당 계정을 임시 중단 - Instructure는 협박범에게 금전을 지급했고, 데이터 파기 디지털 확인을 받았다고 밝힘 ## 인사이트 이 사건은 단순한 교육 플랫폼 해킹이 아니라 SaaS 공급업체 하나가 수천 개 기관의 운영을 동시에 멈출 수 있다는 사례다. 특히 ‘예약된 점검’으로 표시한 커뮤니케이션은 보안 사고 대응에서 신뢰를 얼마나 빨리 잃을 수 있는지도 보여줌.