Canvas 보안 침해, 전국 학교와 대학에 혼란 초래

Source: Krebs on Security

Canvas (Instructure) 데이터 갈취 공격 – 2026년 5월

광범위하게 사용되는 교육 기술 플랫폼 Canvas를 목표로 한 지속적인 데이터 갈취 공격이 오늘 미국 전역의 학군 및 대학에서 수업과 과제 진행을 방해했습니다. 한 사이버 범죄 조직이 서비스 로그인 페이지를 변조하여 275 백만 명의 학생 및 교직원 데이터가 거의 9,000 개 교육 기관에 걸쳐 유출될 위협과 함께 몸값을 요구했습니다.

![Defaced Canvas login page – extortion message]
독자가 공유한 스크린샷으로, Canvas 로그인 페이지에 나타난 갈취 메시지를 보여줍니다.

Instructure의 초기 대응

• Instructure (NYSE: INST)는 변조 후 플랫폼을 차단했습니다.
• 그 주 초에 사이버 범죄 그룹 ShinyHunters가 책임을 주장하고 수천만 명의 학생 및 교직자 데이터가 몸값이 지불되지 않으면 유출될 것이라고 경고한 뒤, 회사는 데이터 유출을 인정했습니다.
• 원래 지급 기한은 5월 6일이었으나, 이후 5월 12일로 연기되었습니다.

도난된 데이터에 대한 성명 (5월 6일)

5월 6일에 발표된 statement에서 Instructure는 현재까지 조사 결과 도난된 정보에 “해당 기관 사용자들의 이름, 이메일 주소, 학생 ID 번호와 같은 특정 식별 정보 및 사용자 간 메시지”가 포함되어 있다고 밝혔습니다.
회사는 비밀번호, 생년월일, 정부 발급 식별자 또는 재무 정보와 같은 보다 민감한 정보가 유출되었다는 증거가 없다고 밝혔습니다.

• 5월 6일 업데이트에서는 Canvas가 완전히 정상 운영 중이며 Instructure는 현재 진행 중인 무단 활동을 발견하지 못했다고 언급했습니다.
• “현재 단계에서는 사건이 통제된 것으로 판단됩니다,” 라고 회사는 전했습니다.

재발 공격 (5월 7일)

목요일인 5월 7일 정오 무렵, 수십 개의 학교와 대학의 학생 및 교직자들이 ShinyHunters의 랜섬 요구가 일반적인 Canvas 로그인 페이지를 대체했다는 보고를 했습니다. 이에 Instructure는 다음과 같이 대응했습니다:

1. Canvas를 오프라인으로 전환했습니다.

2. 포털을 다음 메시지로 교체했습니다:

   “Canvas는 현재 예정된 유지 보수 중입니다. 곧 다시 확인해 주세요.”

3. 상태 페이지를 다음 내용으로 업데이트했습니다:

   “곧 복구될 것으로 예상되며, 가능한 한 빨리 업데이트를 제공하겠습니다.”
   (상태 페이지 링크)

사용자에게 표시된 갈취 메시지

“ShinyHunters가 Instructure를 (다시) 침해했습니다. 이를 해결하기 위해 우리에게 연락하는 대신 무시하고 ‘보안 패치’를 수행했습니다.”

이 메시지는 영향을 받은 학교들에게 Instructure가 지불 여부와 관계없이 데이터를 공개하지 않도록 자체적으로 몸값을 협상하도록 권고했습니다.

추가 컨텍스트 및 논평

• 데이터 내용: ShinyHunters는 도난당한 데이터에 수십억 개의 개인 메시지와 이름, 전화번호, 이메일 주소가 포함되어 있다고 주장합니다.
• 시기: 영향을 받은 많은 기관들이 기말 시험 중에 있어 장기간 정전이 특히 큰 피해를 줍니다.
• 피해자 협상: 조사에 가까운 소식통(언론에 말할 권한이 없는)이 KrebsOnSecurity에 몇몇 대학이 이미 ShinyHunters에 비용을 지불하겠다고 접근했다고 전했습니다. 같은 소식통은 ShinyHunters 유출 블로그에 더 이상 Instructure가 현재 갈취 피해자 목록에 없으며 Canvas 고객의 샘플 데이터가 삭제되었다고 언급했으며, 이는 지불이나 협상 후에 흔히 나타나는 행동이라고 했습니다.

산업 반응

Dipan Mann, 보안 기업 Cloudskope의 설립자이자 CEO는 인프라스트럭처가 오늘 발생한 장애를 상태 페이지에 “예정된 유지보수”라고 표시한 것을 비판했습니다.

• Mann은 ShinyHunters가 최초로 5월 1일에 침해를 시연했으며, 이로 인해 인프라스트럭처의 CISO Steve Proud가 다음 날 사건을 차단되었다고 선언했다고 강조했습니다.
• 그는 오늘의 공격이 지난 8개월 동안 ShinyHunters에 의해 인프라스트럭처가 침해된 세 번째 사례라고 덧붙였습니다.

과거 침해 (2025년 9월)

블로그 게시물에서 Mann은 2025년 9월에 ShinyHunters가 Canvas/Instructure‑중개 접근 경로를 통해 펜실베니아 대학교 내부 파일(기부자 기록, 내부 메모 등 수천 건)을 공개했다고 언급했습니다.

“Penn은 명시된 피해자였고, Instructure는 그 메커니즘이었습니다. 이 사건은 대부분의 전국 언론에 의해 Penn‑특정 이야기로 다루어졌으며, Instructure는 고객‑특정 사안으로 조용히 처리했습니다. 그때의 프레이밍은 잘못되었습니다. 2026년 5월 사건을 고려하면 그보다 훨씬 더 크게 잘못된 것입니다. 이는 ShinyHunters가 최소 8개월 전부터 Instructure 환경을 대상으로 공격 패턴을 계획적으로 확대해 온 것으로 보입니다. 2025년 9월 Penn 침해는 개념 증명이었고, 2026년 5월 1일 사건은 실제 적용 단계였습니다. 2026년 5월 7일 재침해는 ShinyHunters가 5월 2일 ‘차단’이 이루어지지 않았음을 공개적으로 보여준 것입니다.”
—Mann’s blog post

이전 Penn 몸값 요구

• 2월에 ShinyHunters 대변인은 The Daily Pennsylvanian에게 Penn이 100만 달러 몸값 요구를 지불하지 못했다고 전했습니다.
• 3월 5일, ShinyHunters는 기부자 기록 및 내부 메모를 포함한 461 MB의 도난된 Penn 데이터를 공개했습니다.

ShinyHunters에 대하여

ShinyHunters는 프로‑압류 그룹으로, 일반적으로 피해자가 지불을 하거나 협상에 동의한 후에만 유출 사이트에서 피해자를 제거합니다. 그들의 활동은 반복적으로 Instructure의 Canvas 플랫폼을 표적으로 삼아, 침해, 격리 주장, 그리고 이후 재침해의 패턴을 만들었습니다.

ShinyHunters 갈취 캠페인

데이터 절도와 갈취를 전문으로 하는 다작이며 유동적인 사이버 범죄 조직입니다. 이들은 주로 IT 직원이나 대상 조직의 다른 신뢰받는 구성원을 가장하는 음성 피싱 및 사회공학 공격을 통해 기업에 접근합니다.

• 지난달, ShinyHunters는 홈 보안 대기업 ADT의 5.5 million 고객에 대한 개인 정보를 유출했습니다. 이 갈취 그룹은 BleepingComputer에 음성 피싱 공격으로 직원의 Okta 싱글 사인온 계정을 탈취해 ADT의 Salesforce 인스턴스에 접근함으로써 회사를 침해했다고 밝혔습니다.
• BleepingComputer에 따르면 ShinyHunters는 최근 Medtronic, Rockstar Games, McGraw Hill, 7‑Eleven, 그리고 크루즈 라인 운영사 Carnival 등 고프로파일 조직을 대상으로 한 다수의 갈취 공격에 대해 책임을 인정했습니다.

Canvas 고객에 대한 공격은 현재 ShinyHunters가 진행 중인 여러 주요 사이버 범죄 캠페인 중 하나라고 Google 소유의 Mandiant Consulting 최고 기술 책임자 Charles Carmakal이 말했습니다. Carmakal은 Canvas 침해에 대해 구체적인 언급을 거부했지만 다음과 같이 말했습니다:

“현재 동시에 진행되고 있는 다수의 은밀한 ShinyHunters 침입 및 갈취 캠페인이 있습니다.”

Cloudskope의 Mann은 앞으로의 전개는 Instructure의 고객—대학, K‑12 교육구, 그리고 Canvas에 비용을 지불하는 교육부—이 압박을 가할지, 아니면 침해 사실을 조용히 흡수할지에 크게 달려 있다고 설명했습니다.

“교육 벤더 사고의 역사를 보면 저항이 가장 적은 경로가 두 번째 경우라는 점을 시사합니다.”