Canvas 운영사 Instructure, 해킹범에게 몸값 지불

 (insidehighered.com)
1P by GN⁺ 5시간전 | ★ favorite | 댓글 1개
  • Instructure는 학습관리시스템 Canvas를 두 차례 침해한 ShinyHunters에 몸값(Ransom)을 지급하고 복구 합의를 맺음
  • 합의에 따라 해커들이 8,800개 이상 기관의 약 2억7,500만 명 사용자 관련 침해 데이터를 반환했다고 밝힘
  • Instructure는 데이터 파기 확인인 shred logs와 고객이 추가 갈취를 당하지 않을 것이라는 보장을 받았다고 설명함
  • ShinyHunters는 이름, 이메일, 학생 ID, 비공개 메시지 유출을 경고했고, Canvas 장애로 대학들이 시험·마감일을 연기함
  • National Cybersecurity Alliance의 Cliff Steinhauer는 랜섬 지급이 공격 보상과 장기 노출 위험을 키울 수 있다고 평가함

Instructure의 랜섬 지급과 Canvas 복구

  • Instructure는 지난 1주 반 동안 자사 학습관리시스템 Canvas를 두 차례 해킹한 사이버범죄 조직에 Ransom을 지급함
  • Instructure의 월요일 밤 업데이트에 따르면 이번 합의로 해커들이 8,800개 이상 기관의 약 2억7,500만 명 사용자와 관련된 침해 데이터를 반환함
  • Instructure는 데이터 파기 디지털 확인인 shred logs를 받았고, 이번 사건으로 “Instructure 고객이 공개적으로든 그 밖의 방식으로든 갈취당하지 않을 것”이라는 보장도 확보함
  • 이번 합의는 “영향을 받은 모든 Instructure 고객”을 포괄하며, 개별 고객은 Canvas를 두 차례 침해하고 일시적으로 비활성화한 갈취 조직 ShinyHunters와 접촉할 “필요가 없다”고 안내됨
  • Instructure는 사이버범죄자를 상대할 때 완전한 확실성은 없지만, 가능한 범위에서 고객에게 추가적인 안심을 주기 위해 통제 가능한 모든 조치를 취하는 것이 중요하다고 봄
  • Instructure는 포렌식 분석 지원, 환경 강화, 관련 데이터 전반 검토를 위해 전문 업체들과 계속 협력 중이며, 작업 진행에 따라 업데이트를 제공할 예정임

ShinyHunters의 요구와 Canvas 서비스 중단

  • Instructure는 합의 금액을 공개하지 않았지만, 합의는 ShinyHunters가 제시한 5월 12일 랜섬 기한 하루 전에 이뤄짐
  • ShinyHunters는 University of Pennsylvania, Princeton University, Harvard University의 최근 데이터 침해와도 연결돼 있음
  • ShinyHunters의 Canvas 침투는 중대한 서비스 중단을 일으켰고, 이름, 이메일 주소, 학생 ID 번호가 포함된 사용자 데이터를 유출하지 않으려면 돈을 내라고 Instructure에 경고함
  • ShinyHunters는 5월 3일 Ransomware.live에 게시된 랜섬 편지에서 “학생과 교사, 학생과 학생 사이의 수십억 건의 비공개 메시지”와 개인 대화, 기타 개인식별정보를 갖고 있다고 주장함
  • 해커들은 Instructure에 2026년 5월 6일까지 연락하라고 요구했고, 그렇지 않으면 데이터를 유출하고 “성가신 디지털 문제”를 일으키겠다고 경고함
  • Instructure는 해당 요구에 응하지 않은 것으로 보였지만 보안 문제를 처리했고, Canvas는 5월 5일 화요일까지 완전히 운영 가능해짐
  • 그러나 목요일에 Canvas 사용자들은 다시 계정에 접근할 수 없었고, 기말시험과 학기말 과제를 준비하던 많은 사용자에게 해커 메시지만 표시됨
  • 해커 메시지는 “ShinyHunters가 Instructure를 다시 침해했다”며, Instructure가 자신들과 접촉하지 않고 보안 패치만 했다고 주장함
  • 메시지는 영향을 받은 학교들이 데이터 공개를 막고 싶다면 사이버 자문 업체와 상의하고 TOX로 비공개 연락해 합의를 협상하라고 요구했으며, 기관들과 Instructure에 5월 12일 기한을 제시함
  • ShinyHunters는 RansomLook에 게시된 랜섬 편지에서 Instructure가 상황을 이해하거나 데이터 공개를 막기 위한 협상에 나서지 않았고, 요구액도 생각만큼 높지 않았다고 주장함

대학들의 대응과 Instructure의 커뮤니케이션 변화

  • Canvas 장애가 이어지자 여러 대학이 시험과 최종 프로젝트 마감일을 연기하며 문제 해결을 기다림
  • Instructure CEO Steve Daly는 두 번째 침해 이후 회사 웹사이트 업데이트에서 지난주에는 공개 발언 전 사실을 정확히 확인하려 했지만 균형을 잘못 잡았다고 인정함
  • Daly는 “사실 확인에 집중했고, 여러분에게 지속적인 업데이트가 필요할 때 조용해졌다”며 앞으로 이를 바꾸겠다고 밝힘
  • 이후 Instructure는 해커들과의 소통도 시작한 것으로 보이며, 월요일 오후 웹사이트에 “모든 Canvas 환경이 사용 가능하다”고 공지함

랜섬 지급의 위험

  • National Cybersecurity Alliance의 정보보안·참여 담당 이사 Cliff Steinhauer는 랜섬 지급이 Instructure의 즉각적 문제는 해결했을 수 있지만, 일반적인 사이버보안 대응 원칙에 어긋난다고 평가함
  • Steinhauer는 랜섬 지급이 “공격자가 성공적인 침해에 대해 사실상 보상받는 위험한 피드백 루프”를 만들 수 있다고 봄
  • 조직이 즉각적 위기를 “해결”한다고 믿더라도, 사이버 갈취의 경제적 유인을 강화하고 대형 교육 플랫폼이나 핵심 서비스를 노리는 일이 수익성이 있다는 신호를 위협 행위자에게 줄 수 있음
  • 그는 법집행기관이 일관되게 경고하듯 랜섬 지급은 업계 전반의 추가 공격을 부추기며, 결제 자체를 실행 가능한 사고 대응 전략으로 정상화할 위험이 있다고 봄
  • Steinhauer는 Instructure와 ShinyHunters의 합의가 신뢰와 확실성 문제도 남긴다고 평가함
  • 범죄자가 탈취 데이터를 삭제했다고 주장하거나 파기 “증거”를 제공하더라도 이를 신뢰성 있게 검증할 방법은 없으며, 과거에는 데이터가 보관·재판매되거나 향후 갈취에 다시 사용되는 경우가 많았다고 밝힘
  • 위험 관점에서 조직은 눈앞의 단기 서비스 중단을 장기 노출 문제와 맞바꾸는 셈일 수 있으며, 그 문제는 몇 달 또는 몇 년 뒤 다시 나타날 수 있고 이를 막을 추가 지렛대도 없을 수 있음

함께 보면 좋은 글 β

GN⁺ 5시간전  [-]
Hacker News 의견들
  • 몇 년 전 법무부 관계자가 이런 랜섬 지급을 주제로 한 대담에 나온 콘퍼런스에 참석한 적이 있음
    그는 이를 납치 ransom과 비슷하게 설명했음. 미국인이 인질로 잡히면 각 가족은 돈을 내고 싶어 하지만, 그 결과 미국인을 납치하는 산업이 생김. 의회는 납치범에게 돈을 내는 것을 불법화해 이를 막았고, 수익성이 없어진 미국인 납치는 줄어드는 대신 유럽인이 표적이 됐다는 설명이었음
    그의 제안은 이런 상황에 자주 투입되는 사이버보안 컨설턴트와 보험사에, 제재 대상 국가로의 지급은 이미 불법일 가능성이 높고 조사 대상이 될 수 있다고 경고하기 시작하자는 것이었음. 초기에 걸리는 사람들은 크게 당하겠지만, 결국 업계가 방향을 바꿔 미국 기업을 덜 노릴 것이라고 봤음
    • 이 방향이 맞음. 몸값을 내서 랜섬웨어 범죄 산업을 새로 만들어 주기보다, 기업이 백업에서 복구하도록 강제하고 범죄의 금전적 유인을 없애는 편이 낫다
      정기 백업을 제대로 하지 않은 임원들은 당연히 책임을 져야 함
    • 십대들에게 암호화폐로 수백만 달러를 주는 게 좋은 생각이라고 누가 봤겠나
      그 돈은 더 많은 취약점 공격과 더 많은 헛짓에 쓰일 뿐이고, 끝없는 하향 경쟁임. ShinyHunters의 상위 그룹인 Lapsus$도 회사 네트워크 내부 접근권을 사겠다고 자기 웹사이트에 올렸음. 데이터는 필요 없고 통로만 원한다고 함
      추적이 어려운 암호화폐로 범죄자들에게 계속 수백만 달러를 주면 이렇게 됨
    • 이런 몸값 지급이 자금세탁방지법 위반이 아닌 이유를 모르겠음. 수신자가 제재 대상이 아니거나 제재 조직과 관련이 없다는 검증을 했을 리가 없어 보임
    • 미국에서 납치범에게 돈을 내는 게 정말 불법인가? 그런 법이 실제로 통과됐다는 자료를 못 찾겠음
  • 게임 이론과 경제적 유인에 대한 좋은 얘기가 많지만, 더 중요하고 자기방어적인 요점이 있음. 몸값을 내면 해커들이 10배로 더 달려든다
    몸값 지급은 세 가지 신호를 줌: 공격에 취약하고, 공격에서 복구하지 못하며, 현금이 있다는 것. 결과적으로 훨씬 더 많이 공격받게 됨. 어떻게 아느냐고 물을 수는 있지만 답해 주지는 않겠음
  • 한편으로 몸값을 낼 때마다 비슷한 사람들이 랜섬웨어 사업을 시작하거나 키우도록 부추기니 좋지 않음
    다른 한편으로 계속 장사하려는 랜섬웨어 조직은 데이터를 공개하거나 삭제하지 않는다는 점에서 “정직”해야 함. 그래야 신뢰 가능한 랜섬웨어 운영자로 남을 수 있다는 게 묘하게 웃김. 많은 경우 피해자는 데이터가 유출되는 것보다 랜섬웨어 운영자에게 돈이 지급되는 쪽을 선호함. 그래서 현재 피해자에게는 지급이 최선일 수 있지만, 미래 피해 가능성은 키움
    랜섬웨어의 동학과 경제학은 흥미로움
    • 이것이 항상 몸값의 게임 이론이고, 전형적인 집단행동 문제이자 죄수의 딜레마 형태임
      각 개별 회사는 몸값을 내는 편이 유리할 가능성이 높지만, 모두가 몸값을 내지 않으면 전체가 더 나아짐
      그래서 미국 같은 곳에는 공식적인 무몸값 정책이 있고, 다른 무몸값 정책들도 존재함. 개별 피해자가 돈을 내지 못하게 강제하는 장치가 없으면 항상 지급 쪽으로 유인이 생기고, 몸값은 계속 수익성이 남음
      https://en.wikipedia.org/wiki/Collective_action_problem
      https://en.wikipedia.org/wiki/Prisoner%27s_dilemma
    • 공격자 평판이 그렇게 의미 있는지는 모르겠음. 이들은 언제든 새 이름으로 리브랜딩할 수 있음. 어차피 익명의 사이버범죄자들이고, 평판 세탁 말고도 그렇게 해야 할 이유는 많음
      같은 사람들이 “새” 이름을 쓰든 기존 이름을 쓰든, 피해자 입장에서 시스템을 인질로 잡힌 상황의 계산은 크게 달라지지 않아 보임
    • 몸값 지급은 항상 불법이어야 하고, 지급을 승인한 직원에게 연방 형사 기소가 따라야 함. 그 결과 기업이 망하거나 사람이 죽더라도 감수 가능한 희생이라고 봄
    • 랜섬웨어가 계속 존재하고 언제든 모든 데이터가 인질로 잡힐 수 있는 세상을 가정하면, 그에 맞춰 설계된 세상이 될 것임
      결국 Discworld식 “랜섬웨어 길드”가 생겨 “보험료”를 받고, 허가 없이 데이터를 인질로 잡는 자들을 처리하거나, 아니면 데이터가 무가치해지도록 종단간 암호화 기반 시스템이 만들어질 듯함
    • “선의의 테러리스트”[0]라는 아이디어를 가끔 생각해 봤음. 더 나은 세계로 가기 위해 일부 사람들에게 큰 해를 끼치는 존재라는 뜻임. Dune의 Kwisatz Haderach가 그 전형이라 완전히 독창적인 건 아니겠지만, 만약 몸값을 받은 뒤 절대 약속을 지키지 않는 랜섬웨어 회사를 운영하면 어떨까 하는 생각이 재미있었음
      많은 사람을 망치겠지만, 그들을 잘 흉내 내고 돈을 받은 뒤 복구를 해주지 않을수록 결국 랜섬웨어를 사업으로 만들 수 없게 할 수 있음. 뭐가 잘못될 수 있겠나? ;)
      0: https://wiki.roshangeorge.dev/w/Benevolent_Terrorist#Poisoni...
  • 이건 결국 “몸값을 냈지만 악당들이 괜찮다고 보증했으니 걱정 말라”는 말을 이미지 관리용 포장으로 아주 세게 감싼 것 같음
    • “데이터 파기 디지털 확인(shred logs)을 받았다”고 했는데, 이걸로 해커들이 데이터를 하나도 보관하지 않았다고 사용자가 믿게 만들려는 건가?
    • 해커에게 몸값을 내는 건 불법이라고 생각했는데, 합법이거나 명확하지 않은가 봄. 적어도 몸값이 정부 지급 제재 목록에 오른 해커 그룹으로 가지 않게 회사가 법 집행기관과 함께 확인해야 하는 조건이 있다고 알고 있었음
      공격의 근본 원인도 궁금함. 온라인에서 ShinyHunters가 자주 쓰는 패턴인 Salesforce Experience Cloud 사이트 취약점과 관련됐을 수 있다는 소문을 봤지만 확인되지는 않았음. 확실히 확인된 건 취약점이 Canvas의 “Free-For-Teacher accounts” 기능과 관련됐다는 점임
    • 돈을 받은 악당들이 정보를 다시 공개하면, 자기들이 앞으로 돈을 받을 가능성뿐 아니라 다른 악당들이 돈을 받을 가능성까지 낮아짐
      그래서 다른 범죄자들조차 돈 받은 뒤 정보를 유출하는 이들을 막을 유인이 있음

  • We received digital confirmation of data destruction (shred logs).
    이건 놀라울 정도로 순진한 말

    • 해커들은 약속대로 데이터를 파기할 유인이 있음. 몸값을 냈는데도 데이터가 유출되는 흐름이 굳어지면 앞으로 아무도 몸값을 내지 않을 것이기 때문임
      물론 해커들이 데이터를 몰래 팔아놓고 “우리가 아니고, 다른 해킹으로 같은 데이터를 얻은 누군가가 한 일”이라고 말하는 것까지 막지는 못함
    • 순진한 게 아니라, 고객들이 순진하다는 데 기대고 있는 것 같음
    • 데이터를 복사한 뒤 복사본 하나만 파쇄했거나, 심지어 파쇄 로그를 그냥 조작하지 않았다고 어떻게 보장하나
    • 체면을 살리려는 홍보 문구이길 바랄 뿐임. 그래도 회사들이 이런 주장을 그만했으면 함
  • 좋은 정보기술 공공 프로젝트라면 몸값 요구에 굴복한 조직의 공개 목록을 유지해, 우리가 다른 곳을 선택할 수 있게 하는 것일 듯함
    다만 명예훼손 책임 가능성 앞에서는 용기가 필요한 일이기도 함. 면책 문구가 그 위험을 많이 피하게 해줄 것 같지는 않음
    • 그렇다면 해킹당했지만 몸값을 내지 않아 고객 데이터가 유출된 곳으로 사업을 옮기겠다는 건가?

  • The data was returned to us.
    내가 이해하기로 데이터는 복사된 것[1]임. 원본이 암호화됐거나 삭제된 게 아니라면 데이터를 “반환”한다고 말하지는 않을 것 같음. 이 표현이 헷갈리지만 업계에서 흔한 표현일 수도 있음
    이건 Monero에는 호재임[2]. 1월 펌핑도 해킹 때문이었을 수 있음[3]
    ShinyHunters 웹사이트에는 Canvas가 올라왔다가[4] 내려갔음[5]
    [1] https://www.youtube.com/watch?v=IeTybKL1pM4
    [2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...
    [3] https://xcancel.com/zachxbt/status/2012212936735912351
    [4] https://archive.ph/4zD7f
    [5] https://archive.ph/NYWbJ

    • 해커들이 다음 몸값을 받으려면 유출하지 않는 쪽으로 유인이 있을 듯함
    • 데이터 유출이 있을 때 데이터가 실제로 “도난”당하는 경우는 드물다는 점을 짚기 좋은 시점임. 진짜 위협과 피해는 도난당한 데이터가 자신에게 불리하게 사용될 때 생김
    • 인용한 바로 다음 줄이 이거임:

      We received digital confirmation of data destruction (shred logs).
      삭제하지 않았다면 놀랍지도 않겠지만, 아마 그래서 “반환”이라고 부르는 것 같음. 그들의 믿음으로는 데이터가 “반환”된 뒤 삭제됐기 때문임

  • 장기적으로 보면 이런 회사가 해킹당하고 뇌물성 몸값을 낸 결과 어떤 식으로든 망하는 편이 더 나을지 궁금함
    해킹의 대가가 너무 낮다고 봄. 특히 고위 관리자나 임원층에는 구체적인 시간·자원 비용이 있는 추상적인 일 정도로만 취급됨
    • 데이터 침해가 회사가 파산하기 시작한 지점이었다고 인정하는 회사를 본 적이 없음
      침해 이후 고객이 대규모로 이탈하지도 않음. 자금도 부족하고 과로에 시달리는 7,000개 교육기관이 한꺼번에 옮기지도 않을 것임
      그래서 데이터 침해가 발생해도 회사에 지속적인 영향은 없다고 봐도 안전함. 몇 달 뒤면 전부 잊힐 것임
  • ShinyHunters 페이지에서 사라졌고 복구도 너무 빨라서 그럴 줄 알았음. 가장 궁금한 건 얼마를 냈는지
    데이터가 안전하다거나 파기됐다는 그들의 표현도 별로 마음에 들지 않음. 이런 사건에서 그런 약속은 꽤 의심스러워 보임
  • 이런 건 회계 처리를 어떻게 하나? 비용 항목을 뭐라고 붙이나? 회사가 세무 당국에 아무 설명 없이 알 수 없는 암호화폐 계정으로 큰돈을 보낼 수 있나?
    • 몸값은 보험사가 내는 것이고, 이행 중인 보험 약관에 지급을 연결할 것이라고 봄. 세금상 영향은 모르겠고, 금융이나 회계 쪽 사람은 아님
    • “데이터 복구”라고 하지 않을까?
답변달기