캔버스 해킹 사태 확대: 2억 7500만 건 데이터 탈취에 5월 12일 유출 최후통첩

해커 그룹 샤이니헌터스(ShinyHunters)가 교육 플랫폼 캔버스(Canvas)에서 3.65TB에 달하는 데이터 약 2억 7500만 건을 탈취했다. 첫 보도에서 8,800개 학교 피해가 확인된 이후 사태는 계속 확대되어 현재 전 세계 8,809개 대학과 교육기관이 영향권에 들었으며 역대 최대 규모의 교육 분야 보안 침해 사건으로 기록됐다. 탈취된 정보에는 학생 이름과 이메일 주소 그리고 학생 ID 번호는 물론 교사와 학생 간 주고받은 비공개 메시지까지 포함돼 있다.

사건의 타임라인은 급박하게 전개됐다. 5월 1일 인스트럭처(Instructure)가 보안 사고를 공식 발표한 뒤 5월 3일 랜섬 요구가 접수됐고 5월 7일에는 시스템 전체 장애와 함께 모든 사용자 화면에 랜섬 메시지가 표시됐다. 해커들은 “2026년 5월 12일 영업 종료 시까지” 요구에 응하지 않으면 “모든 데이터를 유출하겠다”고 최후통첩을 보냈다. 인스트럭처는 랜섬 협상 대신 보안 패치를 적용하는 방식으로 대응했지만 기말고사 기간에 시스템이 마비되면서 수백만 학생에게 직접적인 피해가 발생했다.

샤이니헌터스는 앞서 의료기기 대기업 메드트로닉(Medtronic)을 해킹한 것으로도 알려진 그룹이다. 교육 플랫폼이 표적이 된 것은 대규모 사용자 데이터를 보유하면서도 보안 인프라 투자가 상대적으로 부족한 구조적 취약점 때문으로 분석된다. 컬럼비아대학교와 하버드 그리고 프린스턴 등 주요 대학들이 학생에게 경고 공지를 발송했으며 캘리포니아에서 텍사스에 이르기까지 미국 전역의 학군도 피해를 보고했다.

5월 12일 데드라인이 코앞으로 다가온 상황에서 인스트럭처가 랜섬 요구에 어떻게 대응할지가 최대 관건이다. 미성년자 개인정보와 교사-학생 간 사적 대화가 포함된 데이터의 공개는 단순한 정보 유출을 넘어 심각한 프라이버시 침해로 이어질 수 있다. 에드테크 산업 전반에 보안 체계 재점검을 요구하는 경종이 될 사건이다.