캔버스(Canvas) 시스템에 접속한 학생들이 마주한 건 강의 자료가 아니었다. ‘샤이니헌터스(ShinyHunters)가 인스트럭처(Instructure)를 또다시 해킹했다’는 경고 메시지. 플랫폼이 먹통이 됐고, 학생 데이터가 위험에 처했다.
또다시 터진 캔버스(Canvas) 데이터 유출 사건
The Verge 보도를 보면 이번 공격 대상은 인스트럭처가 소유·운영하는 캔버스 플랫폼이다. 해커들은 시스템 내부에 직접 메시지를 삽입해 자신들의 침입을 선포했다. 유출 위협을 받은 정보는 학생 이름, 이메일 주소, 학번, 주고받은 메시지로 확인됐다. 개인 식별 정보와 학습 활동 데이터가 한꺼번에 묶였다는 게 문제다. 단순 이메일 유출과 차원이 다르다.
경고 문구에 박힌 ‘또다시’라는 단어가 거슬린다. 이미 한 차례 공격당한 플랫폼을 같은 그룹이 다시 뚫은 것이다. 보안 패치가 실제로 적용됐는지, 아니면 임시방편에 그쳤는지 의문이 드는 대목이다. 전 세계 수백만 명이 매일 쓰는 플랫폼이니, 피해 규모도 그만큼 크다.
악명 높은 해킹 그룹 ‘샤이니헌터스’는 누구인가
샤이니헌터스는 IT 보안 커뮤니티에서 이미 이름이 알려진 그룹이다. 주된 수법은 두 가지다. 대량의 개인 정보를 다크웹에서 판매하거나, 기업을 상대로 금전을 요구하는 것. 과거에는 티켓마스터, AT&T, 산탄데르 은행 등의 데이터를 털어 다크웹에 올린 전적도 있다. 규모도 크고 대담하다.
이번 타깃이 교육 플랫폼이라는 점에서 비판이 더 세게 나온다. 학생들은 금융 이력이 많지 않고 보안 감각도 덜 다듬어진 편이다. 그 약한 고리를 정확히 노린 것이다. 인스트럭처 입장에선 한 번 당하고도 또 뚫렸다는 사실 자체가 치명적이다. 재발 방지에 실패했다는 건 시스템 보안에 구조적 허점이 있다는 의미이기도 하다.
에듀테크 시대, 개인 정보 보호의 민낯
팬데믹 이후 캔버스 같은 LMS는 선택이 아닌 인프라가 됐다. 수업, 과제, 교수·학생 간 메시지까지 모든 학사 활동이 이 안에서 돌아간다. 편리함의 대가는 분명하다. 데이터가 한 곳에 집중된다.
유출 위협에 오른 정보가 이메일, 학번, 개인 메시지라면 이야기가 달라진다. 이 조합이면 피싱 공격이나 신원 도용에 충분히 활용된다. 더 심각한 건 학생들이 피해를 인지하는 데 시간이 걸린다는 점이다. 계정이 도용돼 다른 서비스에서 악용되거나, 개인 정보가 스팸·보이스피싱에 쓰이고 나서야 뒤늦게 알게 되는 경우가 많다. 플랫폼이 사용자를 끌어들이는 속도와 보안에 투자하는 속도가 같이 가야 하는데, 현실은 어디서나 비슷하게 어긋난다.
국내 교육 시스템, 이번 사태를 반면교사 삼아야
국내도 자유롭지 않다. 국내 대학들 역시 자체 LMS를 운영하거나 외산 솔루션을 도입하는 곳이 많고, 캔버스를 직접 쓰는 기관도 있다. 비슷한 취약점이 있다면 우리 학생들 정보 역시 표적이 된다.
정기 보안 감사, 계정 2단계 인증 의무화, 학생 대상 피싱 예방 교육. 말은 쉽다. 실제로 이 세 가지 중 몇 가지가 지금 제대로 돌아가고 있는지가 진짜 문제다. 개인 정보 유출은 재정 피해로 이어지고, 교육기관에 대한 신뢰를 한꺼번에 무너뜨린다. 이번 사건이 국내 에듀테크 전반의 보안 수준을 다시 들여다보는 계기가 됐으면 한다.
출처: The Verge
글로벌뉴스 데스크
Home-In-One 글로벌뉴스 데스크는 전 세계 IT·기술 뉴스를 실시간으로 모니터링하여 한국 독자에게 가장 중요한 소식을 전합니다. 실리콘밸리, 유럽, 아시아의 최신 기술 동향을 한국 시장 관점에서 분석합니다.