글로벌 학습관리시스템(LMS)의 대명사 ‘Canvas’가 전 세계적인 사이버 공격으로 서비스가 중단되는 초유의 사태를 겪었습니다.

특히 기말고사와 학기말 과제 제출이 한창이던 시기에 발생하여, 수많은 학생과 교육기관에 막대한 혼란을 야기했습니다.

단순한 서비스 마비를 넘어, 민감한 개인 학습 데이터 유출 가능성까지 제기되며 에듀테크 보안의 현주소를 다시 한번 냉철하게 돌아보게 합니다.

글로벌 LMS 강타한 사이버 공격의 실체

이번 공격의 주체는 ‘ShinyHunters’라는 범죄형 갈취 조직으로 확인되었습니다.

이들은 Canvas 시스템 접근을 차단하고, 데이터 유출을 막으려면 협상에 응하라는 메시지를 남겼습니다.

특히 ShinyHunters는 Canvas의 모회사인 Instructure가 과거 자신들의 침해 사실을 무시하고 ‘보안 패치’만 했을 뿐, 해결하려 하지 않았다고 주장하며 오는 2026년 5월 12일까지 협상이 이루어지지 않을 경우 모든 데이터를 유출하겠다고 협박했습니다.

Instructure는 4월 29일 Canvas 시스템에서 이미 “무단 활동”을 감지하고 접근을 차단한 후 조사를 시작했습니다.

당시 유출된 데이터는 이름, 이메일 주소, 학생 ID 번호, 메시지 등 민감한 개인 정보였습니다.

이후 5월 7일, Instructure는 동일한 사건과 연관된 추가적인 무단 활동을 식별하고, 이에 대응하여 Canvas 시스템을 일시적으로 유지보수 모드로 전환했습니다.

이번 공격은 특히 ‘Free-For-Teacher’ 계정의 취약점을 악용한 것으로 파악되었고, 현재 해당 계정은 임시로 폐쇄된 상태입니다.

위기의 학기말, 교육 현장의 혼란과 대응

전 세계적인 서비스 중단은 기말고사와 학기말 과제 제출 기간과 겹치면서 교육 현장에 막대한 혼란을 초래했습니다.

온라인으로 진행되는 시험, 과제 제출, 그리고 성적 확인 등 모든 학습 활동이 전면 마비되는 상황이었습니다.

  • 오클라호마 대학교(University of Oklahoma): 시스템이 부분적으로 복구되었으나 일부 기능은 여전히 불안정하다고 공지했습니다. 또한, 교수진과 학생들에게 중요한 자료를 미리 다운로드할 것을 권고하며, Canvas가 다시 오프라인 상태가 될 경우를 대비한 비상 계획을 수립 중이라고 밝혔습니다.
  • 오클라호마 주립대학교(Oklahoma State University): 최종 성적 제출 기한을 연장하고, 교수진에게 Canvas 성적표를 예방 차원에서 다운로드해둘 것을 권장하는 등 긴급 대응에 나섰습니다. 다행히 졸업식 일정은 예정대로 진행되었습니다.

이번 사태는 디지털 학습 환경에 대한 교육기관의 높은 의존성을 여실히 보여주었습니다.

단일 플랫폼의 중단이 전반적인 학사 운영과 학생들의 학업 성취에 직접적인 영향을 미칠 수 있음을 다시 한번 확인하는 계기가 되었습니다.

Canvas 운영사 Instructure의 고심과 보안 강화 전략

Instructure는 이번 사태에 대해 심각성을 인지하고 신속한 대응에 나섰습니다.

그들은 웹사이트를 통해 대부분의 사용자가 Canvas를 다시 이용할 수 있다고 발표했습니다.

또한, 다음과 같은 조치들을 취하며 보안 강화에 집중하고 있다고 밝혔습니다.

  • 철저한 조사: 제3자 포렌식 전문 업체를 고용하여 사건의 전말을 밝히기 위한 엄격한 조사를 진행 중입니다.
  • 법 집행 기관 통보: 사법 당국에 이번 사이버 공격 사실을 알리고 협력하고 있습니다.
  • 보안 변경 사항 적용: 웹사이트 보안을 강화하기 위한 여러 변경 사항을 적용했습니다.
  • 취약점 조치: 공격에 악용된 ‘Free-For-Teacher’ 계정의 취약점을 해결하기 위해 임시 폐쇄 조치하고, 해당 문제에 대한 심층적인 분석을 진행하고 있습니다.

Instructure는 고객과 학생들의 데이터 보호에 대한 신뢰를 회복하는 것을 최우선 과제로 삼고 있으며, 향후에도 방어 체계를 지속적으로 강화할 것을 약속했습니다.

반복되는 공격, 에듀테크 보안이 직면한 과제

이번 Canvas 공격은 단순히 일회성 해프닝으로 치부할 수 없습니다.

에듀테크 플랫폼은 학생들의 개인 정보, 학습 기록, 성적, 심지어 민감한 소통 내역까지 방대한 양의 데이터를 담고 있어 사이버 범죄자들의 주요 표적이 되고 있습니다.

  • 민감 데이터의 집약: 교육 플랫폼은 미성년자를 포함한 학생들의 신원 정보, 학업 성취도, 건강 상태 등 매우 민감한 개인 데이터를 집중적으로 관리합니다. 이러한 데이터가 유출될 경우, 단순히 금전적 피해를 넘어 장기적인 사생활 침해 및 잠재적 범죄에 악용될 소지가 큽니다.
  • 학습 연속성 위협: 팬데믹 이후 온라인 학습의 비중이 급증하면서, LMS의 서비스 중단은 학사 운영의 마비를 넘어 학습자들의 교육권을 직접적으로 침해하는 결과를 낳습니다.
  • 공급망 보안의 중요성: 이번 사건은 에듀테크 솔루션 제공업체의 보안 취약점이 얼마나 광범위한 영향을 미칠 수 있는지 보여주는 사례입니다. 교육 기관은 단순히 솔루션을 도입하는 것을 넘어, 공급업체의 보안 태세와 위기 대응 능력까지 면밀히 평가하고 관리해야 할 필요성이 부각됩니다.

학습 데이터 보호를 위한 선제적 조치 방안

이번 Canvas 사태를 교훈 삼아, 교육 기관과 학습자 모두가 사이버 위협에 대비하는 선제적인 조치를 취해야 합니다.

다음은 데이터 보호를 위한 실질적인 방안들입니다.

  • 교육 기관의 역할 강화:
  • 정기적인 보안 감사 및 취약점 점검: 외부 전문가를 통한 정기적인 시스템 보안 감사를 실시하고, 발견된 취약점은 즉시 개선해야 합니다.
  • 강력한 인증 시스템 도입: 다단계 인증(MFA)을 모든 시스템에 적용하고, 이에 대한 사용자 교육을 강화해야 합니다.
  • 데이터 백업 및 복구 전략: 정기적인 데이터 백업과 함께, 시스템 마비 시 신속하게 복구할 수 있는 비상 계획을 철저히 수립해야 합니다.
  • 공급업체 보안 평가: 에듀테크 솔루션 공급업체 선정 시, 해당 업체의 보안 정책, 사고 대응 능력, 데이터 처리 기준 등을 면밀히 평가하고 계약에 명시해야 합니다.
  • 학습자 및 교직원의 역할 강화:
  • 중요한 자료 개인 백업: 과제, 성적표, 강의 자료 등 중요한 내용은 주기적으로 개인 컴퓨터나 클라우드 저장소에 별도로 백업하는 습관을 들여야 합니다.
  • 강력한 비밀번호 사용: 추측하기 어려운 강력한 비밀번호를 사용하고, 주기적으로 변경하며, 다른 서비스와 중복되지 않도록 관리해야 합니다.
  • 의심스러운 링크 및 이메일 주의: 피싱(Phishing) 공격에 대비하여 출처가 불분명하거나 의심스러운 링크, 이메일은 절대 클릭하지 않아야 합니다.
  • 최신 보안 공지 확인: 사용하는 플랫폼이나 학교의 보안 관련 공지사항을 수시로 확인하고 권고 사항을 따라야 합니다.

이번 Canvas 해킹은 디지털 교육 환경에서 보안의 중요성을 다시금 강조하는 사건입니다.

교육기관과 솔루션 제공업체는 물론, 사용자 개개인까지 모두가 경각심을 가지고 선제적인 보안 노력을 기울일 때, 안전하고 신뢰할 수 있는 학습 환경을 구축할 수 있을 것입니다.

데이터 보안은 선택이 아닌 필수이며, 이는 교육의 미래를 좌우하는 핵심 요소가 될 것입니다.

자주 묻는 질문 (FAQ)

Q: Canvas 해킹으로 어떤 정보가 유출되었나요?

A: 4월 29일 Instructure가 감지한 무단 활동으로 인해 이름, 이메일 주소, 학생 ID 번호, 그리고 메시지 등 개인 식별 정보가 유출된 것으로 확인되었습니다.

5월 7일 추가 공격에서는 아직 데이터 유출의 구체적인 증거는 발견되지 않았습니다.

Q: 학생이나 교직원은 어떻게 대응해야 하나요?

A: 중요한 학습 자료나 성적 정보는 개인 저장 공간에 정기적으로 백업하는 것이 매우 중요합니다.

또한, 시스템 공지를 주의 깊게 확인하고, 의심스러운 링크나 메시지에 대한 경계를 늦추지 않으며, 강력한 비밀번호와 다단계 인증(MFA)을 적극적으로 활용하여 계정 보안을 강화해야 합니다.

Q: 이번 공격의 근본적인 원인은 무엇이었나요?

A: Canvas 운영사인 Instructure는 ‘Free-For-Teacher’ 계정에서 발견된 특정 취약점이 공격에 악용되었다고 밝혔습니다.

이 취약점을 해결하기 위해 해당 계정은 현재 일시적으로 폐쇄되었으며, Instructure는 이 문제에 대한 심층 조사를 진행하고 있습니다.

Q: 향후 Canvas 시스템의 보안은 어떻게 강화될 예정인가요?

A: Instructure는 사건 해결을 위해 제3자 포렌식 전문 업체를 고용하여 엄격한 조사를 진행하고 있으며, 사법 당국에도 통보했습니다.

또한, 웹사이트 보안을 강화하기 위한 여러 변경 사항을 적용하고, 고객 및 학생 데이터 보호를 위한 방어 체계를 지속적으로 개선해 나갈 것이라고 밝혔습니다.

출처: https://www.kgou.org/education/2026-05-08/learning-management-system-canvas-back-online-after-worldwide-cybersecurity-attack