[IT·보안] ‘캔버스’ 운영사 인스트럭처, 해커와 협상 타결… 2억 7천만 명 개인정보 유출

테크크런치

세계적인 교육 정보 포털 ‘캔버스(Canvas)’의 운영사인 인스트럭처(Instructure)가 자사 시스템을 두 차례 공격하고 방대한 학생 및 교직원 데이터를 탈취한 해커 집단과 협상을 타결했다고 12일(현지 시간) 발표했다. 이번 사건으로 전 세계 약 9,000여 개 학교의 학사 운영이 차질을 빚었으며, 역대급 규모의 개인정보가 유출된 것으로 확인됐다.

---

1. 해킹 피해 규모와 해커의 정체

이번 공격은 금전적 이익을 목적으로 하는 사이버 범죄 집단 ‘샤이니헌터스(ShinyHunters)’의 소행으로 밝혀졌다.

• 유출 데이터: 해커들은 지난 4월 29일 발생한 1차 공격을 통해 학생과 교직원을 포함한 약 2억 7,500만 명의 개인정보를 훔쳤다고 주장했다. 여기에는 이름, 개인 이메일 주소, 교사와 학생 간의 사적인 대화 내용 등이 포함됐다.
• 추가 공격: 해커들은 지난주 인스트럭처 시스템에 두 번째로 침입하여 학교 웹사이트의 캔버스 로그인 페이지를 변조하는 등 사측에 몸값 지불을 압박하는 대담한 행보를 보였다.

2. 인스트럭처의 대응과 협상 타결

인스트럭처는 공식 사건 페이지를 통해 해커들과 “합의에 도달했다”고 공지했다.

• 합의 내용: 사측은 해커들이 탈취한 데이터를 파괴했다는 증거를 제공받았으며, 캔버스 이용 고객(학교 및 학생)들에 대한 추가적인 갈취 행위는 없을 것이라고 설명했다.
• 몸값 지불 여부: 구체적인 합의 조건과 금액은 공개되지 않았으나, 샤이니헌터스의 유출 사이트에서 관련 게시물이 삭제된 점으로 보아 상당한 액수의 몸값이 지불된 것으로 추정된다. 샤이니헌터스 측은 매체와의 인터뷰에서 “데이터는 삭제되었으며, 해당 기업과 고객들을 다시 공격하지 않을 것”이라고 밝혔다.

---

3. ‘몸값 지불’에 대한 비판과 우려

미국 정부와 FBI는 사이버 범죄자들에게 몸값을 지불하지 말 것을 강력히 권고하고 있어, 인스트럭처의 이번 결정은 논란이 될 전망이다.

• 신뢰성 문제: 보안 전문가들은 범죄자가 데이터를 삭제했다는 말을 전적으로 신뢰할 수 없다고 경고한다. 실제로 2024년 유사한 공격을 받은 ‘파워스쿨(PowerSchool)’ 역시 몸값을 지불했으나, 이후 다른 범죄 집단이 동일한 데이터를 이용해 고객들을 다시 협박한 사례가 있다.
• 책임론 부상: 인스트럭처는 1년 사이 두 번이나 시스템이 뚫리는 보안 취약점을 드러냈다. 현재 FBI가 이번 사건을 주시하고 있는 가운데, 스티브 달리(Steve Daly) CEO를 포함한 경영진의 책임론과 사퇴 여부에도 관심이 쏠리고 있다.

인스트럭처 측은 현재 정확한 유출 경위를 조사 중이며, 이번 두 건의 침입이 서로 다른 시스템을 통한 별개의 사건이라고 해명했다. 하지만 전 세계 교육 현장의 핵심 인프라인 ‘캔버스’가 해킹에 무방비로 노출되었다는 점에서 사용자들의 불안은 당분간 지속될 것으로 보인다.

---

#캔버스해킹 #인스트럭처 #샤이니헌터스 #개인정보유출 #사이버보안 #교육용소프트웨어 #Canvas #2026IT뉴스 #해킹피해 #보안이슈 #디지털보안 #미국교육뉴스