# Canvas가 다운되고 ShinyHunters가 학교 데이터 유출을 위협 > Clean Markdown view of GeekNews topic #29292. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=29292](https://news.hada.io/topic?id=29292) - GeekNews Markdown: [https://news.hada.io/topic/29292.md](https://news.hada.io/topic/29292.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2026-05-08T13:35:58+09:00 - Updated: 2026-05-08T13:35:58+09:00 - Original source: [theverge.com](https://www.theverge.com/tech/926458/canvas-shinyhunters-breach) - Points: 1 - Comments: 1 ## Topic Body - Instructure의 학습 관리 플랫폼 **Canvas**가 대규모 데이터 침해를 확인한 뒤 다운됐고, Canvas, Canvas Beta, Canvas Test가 유지보수 모드로 전환됨 - 침해 영향 대상에는 **학생 이름**, 이메일 주소, ID 번호, 메시지가 포함됨 - Canvas 접속 학생들은 해킹 그룹 **ShinyHunters**가 공격 책임을 주장하며 학교 데이터 공개를 위협하는 메시지를 봄 - ShinyHunters는 **2026년 5월 12일** 하루가 끝날 때까지 협상이 없으면 모든 데이터를 유출하겠다고 위협했고, 영향을 받은 학교에 TOX로 비공개 연락해 합의하라고 요구함 - Instructure는 지난주 침해 이후 시스템 보안 강화를 위한 패치를 배포했으며, ShinyHunters는 데이터 유출 사이트에 **9,000개 학교**와 학생·교사·직원 **2억 7,500만 명**의 데이터가 있다고 주장함 --- ### 장애 상황 - Instructure의 [상태 페이지](https://status.instructure.com/)에는 “Canvas, Canvas Beta, Canvas Test를 유지보수 모드로 전환했다”는 안내가 올라옴 - Instructure는 곧 복구될 것으로 예상하며 가능한 한 빨리 업데이트를 제공하겠다고 밝힘 ### ShinyHunters의 협박 - ShinyHunters는 Instructure를 다시 침해했으며, Instructure가 자신들과 접촉하지 않고 “보안 패치”를 했다고 주장함 - 메시지에는 ShinyHunters가 Canvas를 통해 침해했다고 주장하는 학교 목록 링크가 포함됨 - 영향을 받은 학교 목록에 있는 학교가 데이터 공개를 막고 싶다면 사이버 자문 회사와 상의한 뒤 TOX로 비공개 연락해 합의를 협상하라고 요구함 ### 피해 규모와 과거 주장 - ShinyHunters는 이전에도 [Ticketmaster](https://www.theverge.com/2024/5/31/24168984/ticketmaster-santander-data-breach-snowflake-cloud-storage), [AT&T](https://www.theverge.com/2024/7/14/24198294/att-paid-370000-ransom-hacked-customer-data-deleted-may), [Rockstar Games](https://www.theverge.com/games/910815/rockstar-games-says-hack-will-have-no-impact), [ADT](https://www.theverge.com/tech/918784/adt-confirms-customer-data-was-stolen-in-a-breach), [Vercel](https://www.theverge.com/tech/914723/vercel-hacked) 공격의 책임을 주장한 바 있음 - [_Bleeping Computer_](https://www.bleepingcomputer.com/news/security/instructure-confirms-data-breach-shinyhunters-claims-attack/)에 따르면 ShinyHunters는 자신의 데이터 유출 사이트에 **9,000개 학교**가 있으며, 학생·교사·기타 직원 **2억 7,500만 명**의 데이터가 포함됐다고 주장함 ## Comments ### Comment 57055 - Author: neo - Created: 2026-05-08T13:35:58+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48055913) - 현장 관점에서 보면, Canvas를 쓰는 대학에서 가르치고 있고 지금이 **기말고사 기간**임 오늘 오후 5:17 EDT에 학사처에서 장애 알림 메일을 처음 받았고, 6:24와 6:57에 추가 메일이 왔지만 실제로 무슨 일이 벌어졌는지보다는 보상·대체 절차가 대부분이었음 “전국적 중단”, “사이버보안 공격” 외에는 세부 정보가 없었고, 학교도 그 이상은 모르는 것 같음 의미심장한 점은 Canvas로 제출된 과제는 학생들이 교수에게 직접 이메일로 보내게 하라는 지시가 내려왔다는 것인데, 곧 복구될 거라는 확신이 없어 보임 개인적으로는 영향이 작음. CS 교수라 학생 작업 상당수가 학과 장비에서 이뤄지고 제출도 그쪽으로 하며, 실제 시험은 종이로 봄 더 중요하게는 Canvas 성적부를 신뢰한 적이 없어서 학생 확인용으로만 Canvas에 성적을 올리고, 원본 성적부는 항상 로컬 스프레드시트로 관리함 하지만 많은 동료에게는 “건물이 불타서 시험지와 성적부가 전부 사라진” 수준의 재난임. 대면 수업만 하는 교수들조차 평가 대부분을 Canvas “quiz” 기능으로 옮겼고, 기말고사까지 Canvas에서 보며 Canvas 성적부를 원본 기록으로 삼아왔기 때문임 행정 측도 “성적 제출이 쉬워진다”며 그렇게 하라고 권장해 왔음. 이런 교수들은 학생 산출물이 거의 없거나 전혀 없고, 학생도 애초에 Canvas 안에서 작성했기 때문에 이메일로 다시 보낼 자료가 없으며, 성적이나 출석 기록조차 Canvas 안에서만 관리했을 수 있음 3월 중간 advisory 성적을 제출했다면 그것 정도는 접근 가능하겠지만, 그게 전부일 수 있음 직감으로는 몇 시간 안에 해결되거나, 아니면 몇 주 걸릴 것 같음. **에어갭 백업**이 있고 새 서버만 띄우면 되는 상황이면 전자고, 아니면 후자임. 중간은 별로 없어 보임 내일 아침까지 해결되지 않으면 우리 대학과 전국의 많은 교수들이 어떻게 공정하고 합리적인 성적을 제출할지 정말 모르겠음 극단적으로는 팬데믹 학기 때 했던 것처럼, 그리고 우리 학교에서 실제로 기말 일주일 전 대형 학술 건물 두 동이 불탔던 학기 때처럼, 원래 letter grade를 주는 수업도 **합격/불합격**으로 제출하게 해야 할 수 있음. 달리 뭘 할 수 있겠나 물론 한 바구니에 모든 달걀을 담지 않고 “클라우드”를 너무 믿지 않는 방법도 있었겠지만, 이미 배는 떠났음. 장기적으로 누군가 여기서 교훈을 얻을지도 궁금함 업데이트: 11:45pm EDT 기준으로 우리 대학 Canvas 인스턴스는 다시 동작 중임. 계속 유지되길 바라지만, 혹시 몰라 몇 가지는 내려받아 둘 생각임 - 학생이 퀴즈 등을 완료하면 관련 기록을 **이메일로 학생에게 보내는 것**은 아주 간단함 그런데 그렇게 하지 않는 건 데이터를 통제하고 싶기 때문이고, 대학들이 왜 그걸 요구하지 않는지도 모르겠음 - 교육 분야 IT에서 일하는데, 우리도 더 아는 게 거의 없음 오늘 아는 내용은 Reddit 스레드와 Hacker News 스레드에서 나온 것뿐임. 공식 커뮤니케이션에서는 공격이라는 말이 전혀 없었지만, 로그인 페이지는 ShinyHunters에 의해 변조돼 있었음 - 하이브리드 접근도 가능해 보임. 급히 기말시험이나 프로젝트를 만들고, 학생에게 **합격/불합격** 또는 실제 성적 중 선택권을 주는 식임 그리고 SaaS가 사라지고, 필요한 대로 제어·수정할 수 있는 소프트웨어를 직접 배포할 수 있는 날이 오길 빌게 됨 - 한 번의 시험을 잡고 그 과목 성적을 그걸로 정하면 되지 않나 싶음 원래 그렇게 하는 게 맞고, 학기 중 과제 점수나 더 나쁘게는 출석 점수는 학생이 내용을 배웠는지 평가하는 데 필요 없음. 시험을 치르고 끝내면 됨 - 이 스레드에 댓글이 이렇게 적은 게 놀라움. 아마 **수백만 명의 학생**이 1년 중 가장 스트레스 큰 시기에 영향을 받고 있을 것임 원래 Canvas와 아마 다른 모든 학습관리시스템 업체를 싫어했는데, 이번 장애가 특히 우스운 건 대학들이 ADA 준수 규정 때문에 모든 교수에게 예외 없이 모든 자료를 Canvas에 올리라고 요구하는 바로 그 시점에 발생했다는 점임 예컨대 개인 웹사이트에 올린 PDF를 참조하라고 하는 것도 명시적으로 금지됨 여기의 다른 사람들은 많은 교원도 Canvas 사용을 강제로 요구받는 걸 즐기지 않는다는 점을 잘 모르는 것 같음 - 아직은 나에게 강제하는 데 성공하지 못했음. 하지만 컴퓨팅 분야 교수들 중에도 수업을 지원하는 데 필요한 기본 온라인 인프라를 운영하지 못하는 사람이 이렇게 많다는 건 씁쓸함. 물론 대학이 쉽게 해주는 것도 아님 Canvas에 대해 가진 또 다른 심각한 우려는 교수들이 올리는 모든 자료를 **AI 대체재 학습**에 쓰고 있을 가능성임. 동료들이 이에 대해 블랙유머를 많이 하지만, 실제 행동은 별로 못 봤음 - 요즘 학생들과 HN 이용자는 겹침이 크지 않은 듯함. 아는 한 나는 꽤 드문 예외임 :) 행정 쪽은 지금까지 “Canvas가 말하길”로 시작하는 메일 하나를 보냈고, 한 시간 뒤 “Canvas가 무기한 중단됐다”는 메일로 심각성을 알고 있다고 알렸음 Canvas는 모르는 사람을 위해 말하면, 퀴즈 같은 기능이 붙은 **수업용 위키**에 가까움 - Canvas를 통한 **수업 실시간 스트리밍**이 매우 인기 있음. 꽤 많은 학생이 그냥 기숙사에서 봄 그래서 학생들이 다시 교실에 와야 할 수도 있는데, 그건 꽤 볼 만할 듯함. 첫 수업 날에는 강의실이 거의 입석 수준이고 실제로 입석인 경우도 있다가 점점 줄어듦. 100명짜리 수업에 10명 정도만 오는 때도 있음 Canvas가 빨리 복구되지 않으면 이런 이유로도 실제 혼란이 커질 수 있음 - Canvas가 HTML과 PDF보다 어떤 식으로 더 접근성이 좋다는 건지 모르겠음 PDF 리더가 화면낭독기에 최선은 아닌 건 맞지만, `.html` 사본도 같이 올리면 되는 것 아닌가 - 어떤 회사든 **랜섬웨어 몸값**을 지불하는 건 불법이어야 함. 예외 없이 절대 지급하면 안 됨 공격자 처벌은 침해한 시스템과 연결돼야 함. 병원을 공격해서 누군가 사망했다면 무기징역이나 사형감임. 최소 형량이 공격을 억제할 만큼 고통스러워야 함 물론 이것만으로 막히지는 않고, 기업도 보안 투자 부족에 대해 책임져야 함. 모든 공격은 해당 기업이 합의된 업계 표준 모범 관행, 인력 기준 등을 충족했는지 조사해야 하고, 요구사항을 못 맞췄다면 징벌적 처벌이 따라야 함 - 불법이어야 하는 건 **안전하지 않은 서비스 운영**임. 특히 개인정보를 다룬다면 더 그렇다 침해는 계속 발생하는데 아무도 신경 쓰지 않음. 최악이어 봐야 고객 몇 명 잃고 “신용 모니터링”을 사주는 정도라서임 이런 사건 뒤에는 감사가 이어지고 기소가 이뤄져야 함. 부주의한 보안 실패에 대해 회사 임원을 감옥에 보내야 함. 회계 사기로 감옥에 갈 수 있다면, 사이버보안 약속 사기로도 감옥에 갈 수 있어야 함 이들은 여러 보안 표준을 준수한다고 주장함 [https://www.instructure.com/en-au/trust-center/compliance]() 사후 감사에서 실제로 얼마나 구현했는지 보고 싶음 - 애초에 해외 범죄자에게 돈을 보내기 어렵게 만드는 데 집중해야 하는 것 아닌가 싶음. /흠/ 악성 행위자에게 송금을 가능하게 하는 **암호화폐 플랫폼** /흠/ - 국가들이 언제쯤 **사이버공격을 전쟁 행위**로 다루기 시작할까 북한군이 미국에 와서 Fort Knox에서 금 2억 달러어치를 털어가면 보복이 있을 것임. 그런데 같은 금액을 미국 기업 해킹으로 빼앗아도 연방정부는 아무것도 안 함 - “고통스러운 최소 형량”이 외국 국적자나 외국 정부까지 확실히 단념시킬 것 같지는 않음 - 누군가 은행을 털다가 안에 있던 사람이 심장마비로 죽으면 **중범죄 살인**임 랜섬웨어 공격이나 협박·정보 유출에도 같은 원칙을 적용하면 좋겠음. 그 때문에 누군가 자살하면 살인임 - 내 아이들이 기말고사 주간 한가운데 있음. 완전 난장판임 대학들은 아무것도 모르고, Canvas는 “scheduled maintenance” 중이라고 주장하며, 어떤 교수는 “오프라인에 자료 사본이 없다”고 하는데 꽤 부주의해 보임 인기 수업의 한 분반은 종이 시험을 보게 될 것 같고, 다른 분반들은 오늘 일찍 Canvas 기반으로 “두 번째 시도는 절반 점수” 같은 시험을 이미 본 듯함 이름과 성적이 데이터 덤프에 나오기까지 얼마나 걸릴까 이건 미국에서 TurboTax가 4월 14일에 “scheduled maintenance”를 잡는 것과 같음 - “Scheduled Maintenance”는 완전 헛소리고, 솔직히 Canvas를 더 나빠 보이게 만듦 상태 페이지 기준으로는 이게 **99.996% 가동률**이라는 모양임. 잘 봐두면 됨 - MIT에서 가르치는 친구가 이번 일을 겪었다고 함 MIT 같은 곳에 이런 용도의 온프레미스 솔루션을 유지할 IT 인력이 없다는 게 아이러니하고 조금 슬펐음 그런데 알고 보니 MIT는 자체 개발 시스템이 있었고, 최근 Canvas로 전환했음. 지금은 후회하고 있을 듯함 지난 10년 동안 **직접 구축 vs 구매** 결정이 구매 쪽으로 너무 강하게 기운 것 같고, 그건 아쉽다 물론 조직은 핵심 역량에 집중해야 하고, 때로는 핵심 역량이 아닌 일을 외부 업체에 맡기는 게 맞음. 하지만 항상 단점이 있음 - 자체 개발 시스템은 유지 비용이 비싸고, 이 시점의 상용 옵션과 비교해도 보통 따라가지 못함 학습관리시스템도 그냥 엄청 복잡한 소프트웨어임. 학부 때 우리 대학 자체 버전에 관여해 봤음 - 교육 분야에서 기술 경력을 시작했는데 전혀 놀랍지 않음 야망 있고 실력 있는 IT 인력은 교육계에 오래 남지 않음. 업계와 비교하면 임금이 매우 낮음 내가 일하던 곳은 일정 근속 연수 뒤 편안한 연금을 받을 수 있었기 때문에, IT 직원들은 가능한 한 많이 외주화해서 노후 자금에 대한 위험을 전혀 지지 않으려 했음. 문제는 전부 컨설턴트 탓으로 돌리고 가능한 한 적게 일하는 식임 말 그대로 꿈이 죽는 곳임 MIT는 뛰어난 교수와 학생으로 유명하지만, 결국 대학 운영은 꽤 표준적인 일임. 강의 플랫폼 서버를 관리하는 데 천재 록스타가 필요한 건 아님 - Stanford 학생인데, 이번 장애가 학교 전체에 큰 타격을 주고 있음 Brown, Harvard, MIT 같은 동부 학교와 달리 우리는 **쿼터제**라 지금 막 중간고사를 끝내는 시점임 다행히 CS 학과는 Canvas와 완전히 독립되어 있지만, 내 인문학 수업 대부분은 그렇지 않음 한 미술사 수업은 중간 과제를 Google Drive 폴더에 업로드하라고 하고, 다른 수업은 주간 퀴즈를 중단했음 이번 일로 학생과 교사가 Canvas에 얼마나 의존하고 있는지가 드러남. 학생 관점에서도 이미 별로 좋지 않았던 플랫폼에서 벗어나는 논의가 다시 촉발되길 바람 - ShinyHunters가 학생들과 미국의 젊은 지성을 건드리는 데까지 내려간 건 정말 선을 넘은 것 같음 기업을 노리는 것과 학생을 건드리는 건 다름. 학생들은 놔둬야 함 - Canvas의 대응은 형편없음. 커뮤니케이션도 없고, 상태 업데이트도 없음 플랫폼 전체가 침해된 것처럼 보이는데 이미 발생한 **보안 침해**에 대한 실제 보고서 하나 없다는 것도 매우 안 좋아 보임 미국 학교 대부분이 지금 기말고사를 치르는 상황이라, 서비스 수준 계약 위반과 소송이 얼마나 빨리 나타날지 궁금함 - Canvas/Instructure와 많이 상대해 봤음. 기술은 그럭저럭임 문화는 시장 지위 때문에 자기들 잘난 맛에 가득한 듯함 - 예전에는 많은 대학이 자체 개발 또는 온프레미스 학생 시스템을 운영했음 이것이 **클라우드 집중화**의 단점임. 인프라가 침해되면 개별 설치 한두 곳이 아니라 모두에게 영향을 줌 지금 그 결정을 어떻게 느낄지 궁금함. 그래도 “우리 잘못이 아니다”라고 말할 수 있으니, 자체 시스템 취약점이었다면보다 마음은 편할 수도 있음 - 소프트웨어에서 취약점이 발견되면 해커는 자동화된 방식으로 수백 개의 별도 기관 설치본을 마찬가지로 쉽게 공격할 수 있음 취약점에 따라서는 온프레미스 관리자가 권장 보안 조치를 모두 적용하지 않았을 때 오히려 더 쉬울 수도 있음 사실 더 궁금한 건 여기서 Instructure에 **금전적 책임**이 있는지임. 기술적 실패는 Instructure 쪽인데, 몸값 요구는 대학들이 받고 있다는 게 흥미로움 가동시간 SLA에는 익숙한데, 보안 침해 SLA는 어떨까 - 시간과 돈을 들여 자체 시스템을 만들었다가 해킹당했다면 대학 책임이었을 것임 이제는 블랙잭 딜러처럼 손뼉 치고 손바닥을 보여주며 책임 없이 테이블을 떠날 수 있음. 직접 만들지 않고 제품을 쓰는 가장 큰 장점 중 하나일 수 있음 - 이 방식이 그래도 더 안전함. 특히 **AI 기반 해킹** 때문에 모호성에 의존하기가 더 어려워지고 있어서임 또 다른 당사자를 탓할 수 있고, 모두가 같이 다운될 때 같이 다운되는 것도 가치가 있음 - 고등학생이던 2016년인가 2017년에 과제 제출 폼에서 아주 단순한 **XSS**를 찾아서 프로그래밍 교사에게 알린 적이 있음 그 뒤 Canvas가 내 계정을 잠그고, 내 첫 번째이자 유일했을지도 모를 방과 후 징계를 받게 했음. 좋은 시절이었음 - 비슷한 결로, 학교 차단 소프트웨어는 YouTube와 임베드를 막았지만 Canvas에서 온 경우는 허용했음 토론 댓글 작성용 HTML 편집기를 비활성화한 건 똑똑했지만, 리치 텍스트 편집기라 `data:text/html`에 코드를 넣고 요소를 서식 있는 HTML로 복사하면 임베드를 그대로 붙여넣을 수 있다는 걸 잊었음 DOMPurify 샘플 XSS 전체도 돌려봤고, 누군가의 컴퓨터에 사용자 정의 콘텐츠를 다운로드시키는 방법 하나를 찾아냈음 - 혹시 그 취약점을 실제로 악용해서 교사에게 알린 건가 - 혹시 내부 사정을 아는 사람이 있다면, **Parchment**도 잠재적으로 영향을 받았는지 궁금함 몇 년 전 Instructure가 인수했고, 엄청나게 많은 성적증명서를 다루는 곳임 편집: [https://status.parchment.com/]()에는 “Canvas, Canvas Beta, Canvas test는 현재 사용할 수 없지만, Parchment를 포함한 다른 모든 제품 환경을 동시에 모니터링 중입니다. 현재까지 Parchment 리소스가 영향을 받았다고 믿을 이유는 없습니다”라고 되어 있음