캔버스 LMS 해킹 사태 — 美 의회, 인스트럭처 CEO 청문회 소환 요구

캔버스 LMS 해킹 사태 — 美 의회, 인스트럭처 CEO 청문회 소환 요구

전 세계 수백만 학생 개인정보가 담긴 학습관리시스템(LMS)이 두 번이나 같은 해커에게 뚫렸어요. 그것도 같은 취약점으로요. 미국 의회가 가만있지 않았어요. 결국 하원 국토안보위원회가 칼을 빼들었습니다.

 

캔버스 LMS 해킹 사태 — 美 의회, 인스트럭처 CEO 청문회 소환 요구

핵심만 먼저 (TL;DR)

• 에듀테크 기업 인스트럭처(Instructure)의 캔버스(Canvas)가 동일 해커에게 두 차례 침해당함
• 해커 그룹 샤이니헌터스(ShinyHunters)가 학생 데이터 탈취 + 학교 로그인 페이지 변조
• 인스트럭처는 해커에게 랜섬 지불 후 "데이터 삭제" 합의 — 보안 전문가들은 회의적
• 美 하원 의원 앤드류 가르바리노(Andrew Garbarino)가 CEO 스티브 데일리(Steve Daly)에게 청문회 출석 요구

---

1. 캔버스, 어떤 서비스인가요

캔버스는 인스트럭처가 만든 LMS예요.

LMS(Learning Management System) — 온라인 강의 자료 배포, 과제 제출, 성적 관리를 한 곳에서 하는 교육용 플랫폼이에요.

미국 대학과 K-12 학교에서 특히 많이 써요. 전 세계 수백만 명의 학생·교사 계정이 이 시스템 안에 있어요.

---

2. 무슨 일이 벌어졌나

핵심은 "같은 구멍으로 두 번 털렸다"는 거예요.

해커 그룹 샤이니헌터스가 캔버스의 동일한 취약점을 이용해 두 차례 공격했어요. 학생 개인정보를 빼갔고, 일부 학교의 로그인 페이지를 변조하기까지 했어요.

인스트럭처는 결국 해커 측과 합의했어요. 쉽게 말해 돈을 주고 "데이터 삭제" 약속을 받은 거예요.

그런데 보안 전문가들은 이렇게 말해요. "해커가 진짜로 데이터를 지웠는지 확인할 방법이 없다"고요.

---

3. 왜 이렇게 심각한 문제인가

첫 번째 침해 이후 같은 취약점이 두 번째 공격에도 그대로 쓰였어요.

이게 이번 사태에서 제일 핵심이에요. 패치를 제대로 안 했거나, 사고 대응 자체가 엉망이었다는 뜻이거든요.

가르바리노 의원은 이렇게 말했어요.

"이번 침해의 규모와 시점, 그리고 대형 에듀테크 기업이 초기 침입 이후에도 위협 행위자를 막지 못했다는 사실 — 이런 구조적 취약점이야말로 위원회가 들여다봐야 할 문제입니다."

그러면서 인스트럭처의 사고 대응 능력과 데이터 보호 의무에 대해 "심각한 의문이 든다"고도 했어요.

솔직히 이 부분이 제일 인상적이었어요. 한 번도 아니고 두 번이나 같은 방식으로 뚫렸다는 건, 단순 실수가 아니라 구조적 문제일 가능성이 높거든요.

---

4. 의회는 지금 뭘 요구하고 있나

미국 하원 국토안보위원회가 인스트럭처 CEO 스티브 데일리에게 청문회 출석을 공식 요구했어요.

위원회가 집중하는 포인트는 크게 세 가지예요.

• 왜 같은 취약점이 두 번 모두 악용됐나
• 랜섬 지불 결정은 어떻게 이뤄졌나
• 피해 학생·기관에 대한 통보와 후속 조치는 어떻게 했나

사이버보안·인프라보안국(CISA)도 이 사안을 주시하고 있어요.

---

5. 국내 교육 기관·에듀테크 관점에서 보면

한국에서도 캔버스를 쓰는 대학이 적지 않아요.

그리고 이번 사태는 캔버스만의 문제가 아니에요. LMS 자체가 학생 개인정보를 대규모로 보관하는 시스템이라는 게 문제예요.

국내 에듀테크 기업들도 체크해볼 포인트가 있어요.

• 취약점 발견 후 패치까지 걸리는 시간은 얼마인가
• 동일 취약점 재악용을 막는 사후 검증 절차가 있는가
• 침해 사고 발생 시 사용자에게 얼마나 빨리 통보하는가

개인정보보호법 강화 추세에서 이런 기준이 곧 국내에서도 더 엄격하게 적용될 수 있어요.

---

마치며

같은 구멍으로 두 번 털리는 건 단순한 불운이 아니에요. 사고 대응 프로세스 자체가 제대로 작동하지 않았다는 신호예요.

의회 청문회 결과에 따라 에듀테크 업계 전반의 보안 기준이 새로 정립될 수도 있어요. 국내 LMS 사용 기관들도 지금 자사 시스템의 사고 대응 절차를 점검해볼 좋은 타이밍이에요.

출처: TechCrunch (2026년 5월 13일)