교육 IT 보안 분야에서 일하신다면, Canvas 관련 뉴스 피해 양상은 사뭇 달랐습니다. 8,000개 이상의 대학과 학교에서 사용하는 학습 관리 시스템(LMS)을 개발한 인스트럭처(Instructure)가 대규모 데이터 유출 사고를 겪었는데, 최대 2억 7,500만 명의 사용자가 피해를 입었을 가능성이 있다는 보고가 나왔습니다. 이는 교육 역사상 최대 규모의 데이터 유출 사고 중 하나입니다.
이런 패턴은 전에도 본 적이 있어요. 지금 구단 지도부, 학부모, 언론으로부터 동시에 전화를 받고 있는 팀원들의 심정을 충분히 이해합니다.
초기 보도에서는 인스트루먼트(Instructure)의 세일즈포스(Salesforce) 환경을 통한 자격 증명 기반 접근에 초점을 맞췄지만, 전체적인 상황을 살펴보면 훨씬 더 복잡한 공격 경로가 드러납니다. 2026년 4월에 발생한 침해 사고는 인스트루먼트가 영구적으로 폐쇄한 교사 무료 계정 프로그램을 주요 침입 경로로 이용했습니다. 이는 인스트루먼트의 세일즈포스 인스턴스를 대상으로 한 소셜 엔지니어링 공격이었던 2025년 9월 침해 사고와는 별개의 사건입니다.
2025년 9월 Instructure가 이전에 공격 대상이 되었을 때, ShinyHunters는 소셜 엔지니어링 기법을 사용하여 Instructure의 Salesforce 비즈니스 환경에 침입해 비즈니스 연락처 정보에 접근했습니다. 지원 Canvas 플랫폼에서 학생이나 고객 데이터가 유출되는 경우가 있습니다. 하지만 2026년 4월에 발생한 유출 사건은 완전히 다릅니다. 이 사건은 Canvas 플랫폼 자체를 표적으로 삼았습니다. 생산 시스템 최대 2억 7,500만 명의 사용자 개인 메시지, 이름, 이메일 주소 및 학생 ID 번호를 직접적으로 유출했습니다. 시스템은 다르지만 영향은 다릅니다. 동일한 공격자가 공격했습니다. 이는 ShinyHunters가 Instructure를 재공격할 가치가 있는 고가치 표적으로 간주하고 있음을 보여줍니다. Canvas를 사용하는 모든 교육 기관은 동일한 공격이 다시 발생할 수 있음을 염두에 두어야 합니다.
많은 기관들에게 있어서, Canvas는 Salesforce와 연동됩니다.대부분의 최신 에듀테크 플랫폼도 마찬가지입니다.
모든 기관이 스스로에게 던져야 할 질문은 단순히 "우리 학생 데이터가 Instructure 시스템에 있었나?"가 아니라, "우리가 모니터링조차 하지 않는 통합 기능을 통해 SaaS 공급업체가 우리 시스템의 어떤 정보에 접근할 수 있는가?"입니다.
타임라인: 해킹 사건 발생 경위
영향을 받는 기관들에게 이는 다음과 같은 의미였습니다. 기말고사 연기관리 시스템은 봉쇄되고, 보안팀은 불완전한 정보를 가지고 24시간 내내 근무합니다.
ShinyHunters의 Canvas 공격 이해하기: SaaS 통합도 ID 보안의 한 부분입니다.
ShinyHunters나 Scattered Spider처럼 저희가 전술을 심층 분석한 그룹들은 유효한 자격 증명을 사용할 수 있다면 기술적 취약점을 찾을 필요가 거의 없습니다. 그들은 가장 쉬운 경로를 택합니다. 예를 들어, 과도한 권한을 가진 OAuth 토큰, 상시 권한을 부여받은 서비스 계정, 또는 레거시 시스템의 다단계 인증(MFA) 허점 등을 노립니다.
ShinyHunters가 MFA를 우회하는 방법: AiTM 및 기기 코드 피싱
보안 연구원들은 ShinyHunters가 사용하는 세 가지 주요 기술을 기록했습니다.
피싱 + AiTM(중간자 공격) 피싱
IT 지원 담당자를 사칭한 공격자가 대상 직원에게 전화를 걸어 피해자 브랜드로 위장한 피싱 페이지로 연결합니다. 사용자가 자격 증명과 다단계 인증(MFA) 코드를 입력하면 해당 페이지는 이를 실시간으로 정식 ID 제공업체에 전송합니다. 정식 ID 제공업체는 이를 정상적인 로그인으로 인식하고 접근을 승인합니다. 이로써 기존의 다단계 인증이 우회됩니다.
피싱 + 기기 코드 피싱
공격자는 사용자가 Microsoft(또는 다른 IdP)의 공식 인증 페이지에 코드를 입력하도록 유도합니다. 이렇게 하면 암호나 MFA 코드가 아닌 OAuth 토큰이 직접 발급됩니다. 이 기법은 로그인 흐름이 아닌 인증 계층을 공격하기 때문에 패스키를 포함한 모든 형태의 MFA를 무력화합니다.
OAuth 공급망 악용
공격자들은 기관을 직접 공격하는 대신 SaaS 공급업체의 OAuth 토큰을 탈취한 다음, 해당 토큰을 사용하여 하위 시스템에 접근합니다. 이는 Salesloft Drift 해킹 사건에서 확인된 패턴과 정확히 일치하며, 이번 사건과도 관련이 있어 보입니다.
공통점은 인증 후 동작이 새로운 격전지라는 점입니다. 보안 도구가 최초 로그인만 감지한다면 그 이후에 발생하는 횡적 이동을 놓칠 수 있습니다.
현대 교육 환경은 깊이 통합되어 있습니다. 예를 들어, 학습 관리 시스템(LMS)이 Salesforce CRM에 연결되고, Salesforce CRM은 학생 정보 시스템에 연결되고, 학생 정보 시스템은 다시 ID 공급자에 연결될 수 있습니다. 이러한 통합 과정 각각은 OAuth 토큰, API 키 또는 서비스 계정 자격 증명을 사용합니다. 이 모든 것은 비인간 ID(NHI)입니다. 대부분의 환경에서 이러한 ID는 광범위한 접근 권한을 가지며, 다단계 인증(MFA)이 없고, 모니터링도 최소화되어 있으며, 보안에 대한 명확한 책임자가 없습니다.
공격자는 유효한 자격 증명을 확보하면 조용하고 빠르게 시스템 내부로 침투합니다. 경보가 울릴 때쯤이면 이미 며칠 동안 시스템에 침투해 있는 경우가 많습니다.
향후 개인정보 유출 시도를 막기 위해 지금 할 수 있는 일
SaaS 통합 자격 증명을 감사하세요
귀사의 어떤 공급업체가 Salesforce 환경, IdP 또는 학생 데이터 시스템에 접근할 수 있는 OAuth 토큰이나 API 자격 증명을 보유하고 있습니까? 이러한 정보는 NHI(국가 건강 정보)에 해당하며, 모든 권한 있는 개인 계정과 마찬가지로 엄격하게 관리해야 합니다. 즉, 접근 범위를 제한하고, 지속적으로 모니터링하며, 주기적으로 교체해야 합니다. 저희가 상담하는 대부분의 기관은 이 질문에 대한 정확한 답변을 알지 못하고, 자사 환경 전반에 걸친 접근 권한을 제대로 파악하지 못하고 있습니다. 그게 제일 먼저 고쳐야 할 부분이에요.
서비스 계정에 대한 가시성을 확보하세요
서비스 계정 온프레미스 및 하이브리드 환경 전반에 걸쳐 고정된 권한이 부여되고, MFA가 적용되지 않으며, 모니터링도 거의 이루어지지 않는 계정들이 있습니다. 먼저 환경에 무엇이 있는지 파악하는 것부터 시작하세요. 단순히 알고 있는 계정뿐만 아니라, 수년간 시스템 변경을 거치면서 조용히 접근 권한을 축적해 온 계정까지 모두 파악해야 합니다. 보이지 않는 것은 보호할 수 없습니다.
모든 곳에서, 특히 가장 어려운 곳에서 다단계 인증(MFA)을 시행하십시오.
대부분의 기관에서는 클라우드 애플리케이션과 VPN에 다단계 인증(MFA)을 적용하고 있습니다. 하지만 공격자는 정문으로 접근하지 않습니다. 그들은 최신 보안 제어를 완전히 우회하는 레거시 프로토콜(예: NTLM, Kerberos, LDAPS)을 사용합니다. 운영에 지장을 주지 않고 이러한 레거시 프로토콜까지 MFA를 확장하는 것은 매우 효과적인 조치 중 하나입니다.
도난당한 데이터를 이용한 표적 피싱 공격에 대비하세요.
유출된 데이터의 특성상 위험성이 크게 증가합니다. 유출된 정보에는 실제 강좌를 언급하는 개인 메시지, 학생 이름, 강사 정보, 기관 관계 등이 포함되어 있기 때문에 공격자는 실제 강좌 및 대화를 연상시키는 고도로 개인화된 피싱 메시지를 제작할 수 있습니다. 일반적인 피싱 대응 교육만으로는 충분하지 않습니다. 사용자에게 링크 위에 마우스 커서를 올려놓고, 외부 채널을 통해 요청을 확인하고, 특정 Canvas 강좌를 언급하는 모든 메시지에 대해 더욱 주의를 기울이도록 교육해야 합니다. 또한 Canvas 브랜드를 사칭하는 새로운 피싱 도메인을 모니터링해야 합니다.
실시간으로 좌우 움직임을 관찰하세요
최초 침입과 심각한 피해 발생 사이의 시간 간격은 대개 몇 시간입니다. ITDR(신원 위협 탐지 및 대응) SOC(보안 운영 센터)에 비정상적인 인증 동작(예: 비정상적인 접근 시간, 프로토콜 불일치, 이전에 접근한 적 없는 시스템에 대한 계정 접근 등)에 대한 가시성을 제공하여 다음과 같은 조치를 취할 수 있도록 합니다. 폭발 반경이 커지기 전에 조치를 취하십시오.
규제 의무를 고려하십시오.
기술적 대응 외에도, 피해를 입은 기관들은 상당한 규정 준수 의무에 직면해 있습니다. Canvas는 유치원부터 고등학교까지, 대학, 대학교 및 교육부를 대상으로 서비스를 제공하기 때문에 이번 데이터 유출은 다음과 같은 기관에 영향을 미칩니다.
- FERPA(가족 교육권 및 사생활 보호법): 통지 의무를 공급업체가 아닌 기관에 부여합니다.
- COPPA(아동 온라인 개인정보 보호법): 미성년자 관련 데이터를 다루는 유치원부터 고등학교까지(K-12) 교육구에 해당됩니다.
- 약 130개 주에서 학생 개인정보 보호 관련 법령을 제정했습니다. 다양한 통지 기한 및 요구 사항
대응이 늦어지는 기관은 평판 손상뿐 아니라 법적 및 규제적 문제에 직면할 수 있습니다. 이미 인스트럭처(Instructure)를 상대로 집단 소송이 검토되고 있으므로 귀 기관 또한 소송에 휘말릴 수 있습니다. 지금 바로 법무팀과 협의하여 통지 요건 및 문서화 의무에 대해 알아보십시오.
다음으로 고려해야 할 사항: 신원 도용 공격 표면 축소
가장 시급한 취약점을 해결한 후에는 장기적인 관점에서 신원 공격 표면을 체계적으로 줄여나가야 합니다. 이 과정에서 두 가지 역량이 중요합니다.
ISPM(신원 보안 상태 관리) 수년간 누적된 위험 요소, 즉 오래된 계정, 잘못 구성된 MFA 정책, 레거시 프로토콜 사용, 과도한 권한이 부여된 서비스 계정 등을 드러냅니다. 이를 통해 팀은 무엇을 어떤 순서로 수정해야 하는지 지속적이고 우선순위가 지정된 시각으로 파악할 수 있습니다. 이는 침해 사고에 대응하는 것과 침해 사고 발생 가능성을 줄이는 것의 차이를 만들어냅니다.
액세스 인텔리전스 이 기능은 환경 전반의 모든 액세스 경로를 매핑하여 권한 남용, 사용되지 않는 권한, 기존 IAM 도구가 놓치는 숨겨진 경로 등을 파악합니다. 교직원과 수십 개의 통합 시스템에 걸쳐 수년간 누적된 액세스 권한이 있는 교육 환경에서는 이러한 가시성이 최소 권한 원칙을 이론이 아닌 실질적인 원칙으로 만들어 줍니다.
이러한 보안 태세 규율을 구축한 기관일수록 다음번에 벤더의 보안이 침해당했을 때 언론의 헤드라인을 장식하지 않습니다.
무엇에 관한 메모 Silverfort 본적이있다
Silverfort 다음과 같은 기관들과 협력합니다: 펨 브로크 칼리지, 캠브리지 태평양 대학교 바로 이러한 과제들을 해결하기 위해 노력해 왔습니다. 또한, 저희는 관련 시스템을 구축하고 실행해 왔습니다. 신원 도용 사고 대응 플레이북 샤이니헌터와 흩어진 거미를 상대로 실시간으로 싸우는 것… 이론이 아니라, 실제로 싸우는 동안 활동적인 공격.
소속 기관의 현재 상황이 어떤지 궁금하시다면, 함께 이야기해 봅시다. 오늘 저희 팀과 통화 일정을 예약하세요..
