맥갤러리 로고 맥갤러리:Macgallery
Go back
Canvas 해킹 D-Day — ShinyHunters의 5월 12일 유출 기한 만료
Tech

Canvas 해킹 D-Day — ShinyHunters의 5월 12일 유출 기한 만료

ShinyHunters가 설정한 Canvas LMS 데이터 유출 기한이 5월 12일 만료된다. 2.75억 건(3.65TB) 규모의 학생 데이터가 공개 위기에 처했으며 2차 침입까지 확인됐다.

오힘찬 ·
via The Register

해킹 그룹 샤이니헌터스(ShinyHunters)가 캔버스(Canvas) LMS 데이터에 대해 설정한 유출 기한 “5월 12일 영업 종료(end of day May 12)“가 만료된다. 위험에 놓인 데이터는 2억 7,500만 건 총 3.65TB 규모로 약 3,000만 명의 학생 정보와 전 세계 8,809개 교육기관의 데이터가 포함돼 있다. 이전 보도에서 다뤘던 초기 침입 이후 상황은 더 악화됐다. 두 번째 침해(double intrusion)까지 확인되면서 교육 분야 역사상 최대 규모의 데이터 유출 사건으로 치닫고 있다.

캔버스 운영사 인스트럭처(Instructure)는 몸값 지불 대신 보안 패치로 대응하는 전략을 택했다. 그러나 샤이니헌터스는 여기서 물러서지 않았다. 5월 7일 캔버스 로그인 페이지 자체를 랜섬 메시지로 교체하며 압박의 수위를 끌어올렸다. 첫 번째 취약점을 패치하는 사이에 공격자가 추가 경로를 통해 다시 침투한 2차 침입이 확인된 것은 인스트럭처의 보안 대응 체계에 근본적인 문제가 있음을 시사한다.

기한이 만료되면 3,000만 명의 학생 개인정보가 공개 인터넷에 풀릴 수 있다. 이름과 이메일은 물론 학습 기록과 성적 정보까지 포함될 가능성이 있어 피해 규모는 단순한 개인정보 유출을 넘어선다. 교육 플랫폼이 사이버 공격의 주요 표적이 됐다는 사실은 이 분야의 보안 투자가 위협 수준에 비해 현저히 부족하다는 점을 다시 한번 보여준다.

FAQ

ShinyHunters의 유출 기한은 언제인가?

5월 12일 영업 종료(end of day May 12)로 설정됐다. 이 기한이 지나면 2.75억 건의 데이터가 공개될 위험이 있다.

얼마나 많은 데이터가 위험에 처해 있나?

2억 7,500만 건(3.65TB) 규모의 레코드가 유출 위기에 있다. 약 3,000만 명의 학생 데이터와 전 세계 8,809개 교육기관이 영향을 받는다.

2차 침입이란?

최초 침입 이후 두 번째 침해(double intrusion)가 확인됐다. Instructure가 첫 번째 취약점을 패치하는 사이에 공격자가 추가 경로를 통해 다시 침투한 것이다.

Instructure는 어떤 대응을 했나?

Canvas 운영사 Instructure는 몸값 지불 대신 보안 패치로 대응했다. 그러나 ShinyHunters는 5월 7일에 Canvas 로그인 페이지를 랜섬 메시지로 교체하며 압박 수위를 높였다.

역대 최대 규모인가?

교육 분야에서 역사상 가장 큰 데이터 유출 사건이 될 가능성이 높다. 2.75억 건이라는 규모 자체가 전례가 없다.

댓글