랜섬웨어 캔버스 해킹 학생 데이터 유출 에듀테크 보안 Instructure

지난 목요일 오후, 전 세계 수천 개의 대학과 초중등학교에서 캔버스(Canvas)에 접속할 수 없게 되었다. 캔버스는 강의 자료, 과제, 토론 게시판, 메시징 등 학생과 교사의 핵심 학습 관리 시스템(LMS)으로 자리 잡은 서비스다.

랜섬웨어 그룹 ‘ShinyHunters’가 캔버스를 개발한 인스트럭처(Instructure)를 해킹해 2억 7,500만 명 이상의 개인정보와 수십억 건의 메시지를 유출했다고 주장하며 시스템을 잠갔다. 인스트럭처는 이후 시스템을 대부분 복구했지만, 해킹 여부나 랜섬웨어 지불 여부는 아직 명확하지 않다.

이번 해킹은 교육 분야에서 발생한 최악의 데이터 유출 사건으로 평가된다. 유출된 정보에는 이름, 이메일 주소, 학생 ID, 사용자 간 메시지 등이 포함된 것으로 알려졌다. 인스트럭처는 4월 29일과 목요일 두 차례 해킹당했다고 밝혔다.

캔버스의 역할과 중앙집중화의 위험성

캔버스는 교사가 강의 자료를 업로드하고, 학생이 과제를 제출하며, 토론 게시판을 운영하는 등 교육의 핵심 인프라로 기능한다. 많은 학교가 이 시스템에 전적으로 의존하고 있어 해킹 발생 시 교육 전체가 마비될 수 있다.

디지털 도서관리사이자 에듀테크 전문가인 이안 링클레터(Ian Linkletter)는 “이번 해킹은 역사상 최악의 학생 데이터 유출 사태”라고 지적했다. 그는 20년간 에듀테크 분야에서 활동하며, 코로나19 기간 원격 감독 시스템 ‘프록토리오(Proctorio)’의 개인정보 문제를 공개해 주목받기도 했다.

“이번 해킹은 규모와 유출된 정보의 민감성 면에서 전례가 없다. 시스템이 복구된 지금도 학교들은 패닉 상태다. 일부 대학은 다음 주 기말고사를 취소해야 할지 논의 중이다.”

에듀테크의 보안 취약점과 대안 모색

링클레터는 캔버스가 Blackboard 등 과거 시스템에서 중앙집중화된 형태로 발전하면서 보안 위험이 커졌다고 분석했다. 그는 “2017년 캐나다 브리티시컬럼비아대학교에서 캔버스로 전환할 때, 자체 호스팅 시스템에서 중앙집중화된 클라우드 서비스로 전환하는 위험성을 경고했지만 받아들여지지 않았다”고 밝혔다.

전문가들은 이번 사건을 계기로 에듀테크의 분산화와 보안 강화가 시급하다고 지적한다. 특히 학생과 교사의 개인정보가 대규모로 유출될 경우, 사생활 침해와 신원 도용 등 심각한 2차 피해가 발생할 수 있기 때문이다.

출처: 404 Media
NASA 제트추진연구소, 화성 로터 기술 혁신으로 새로운 탐사 시대 열다
← 이전

NASA 제트추진연구소, 화성 로터 기술 혁신으로 새로운 탐사 시대 열다

 제이슨 데이, 트루그린과 손잡고 ‘디지털 정원용품 세일’ 진행
다음 →

제이슨 데이, 트루그린과 손잡고 ‘디지털 정원용품 세일’ 진행