캔버스가 해커에게 무릎 꿇은 날: 3천만 학생 데이터를 인질로 잡힌 대학 LMS

기말고사 일주일 전, 전 세계 수천 개 대학의 강의 시스템이 한꺼번에 멈췄습니다. 교수님이 시험 문제를 못 올리고, 학생들은 과제를 제출할 수 없습니다. 이 모든 일이 Canvas라는 LMS(학습관리시스템) 하나가 랜섬웨어에 감염되면서 벌어진 사건입니다. 더 충격적인 건, 운영사 Instructure가 결국 해커에게 몸값을 지불했다는 정황이 흘러나오고 있다는 점인데요.

캔버스가 뭐길래 학교가 다 멈추나

Canvas는 미국과 한국을 포함한 전 세계 고등교육기관 대부분이 쓰는 학습관리시스템입니다. 학생들은 강의 자료를 받고, 과제를 내고, 시험을 보고, 성적을 확인합니다. 교수님 입장에서는 출석부이자 채점부이자 강의실 그 자체죠.

운영사 Instructure는 약 3천만 명에 달하는 학생 데이터를 보유하고 있다고 알려져 있습니다. 이름, 학번, 이메일, 성적, 과제 내용, 그리고 일부 결제 정보까지. 해커 입장에서는 그야말로 노다지인 셈입니다. 그리고 5월 초, 그 노다지가 털렸습니다.

기말고사 주간에 터진 최악의 타이밍

WBAL-TV의 5월 8일 보도에 따르면, 미국 동부 해안 일대의 학교와 대학들이 일제히 Canvas 접속을 차단했습니다. 영상 조회수는 단 며칠 만에 294회에 그쳤지만, 영향을 받은 기관 수는 그보다 훨씬 큰 규모로 추정됩니다.

LMG Security가 5월 12일 공개한 분석 영상은 이번 사건을 “Finals Week Fallout(기말고사 주간의 후폭풍)“이라고 표현했는데요. 타이밍이 그야말로 잔인합니다. 학기말 평가가 진행되는 시점에 시스템이 마비되면, 교수와 학생 모두 협상력이 사라집니다. 해커들이 노린 건 정확히 이 지점입니다. 최대 압박, 최단 시간에 몸값을 받아내는 전략이죠.

왜 교육 인프라가 새 표적이 됐나

병원, 정부기관, 송유관에 이어 이제 교육이 표적이 됐습니다. 이유는 단순합니다.

첫째, 중단 비용이 크다는 점입니다. 학사 일정은 법적으로도, 학생 권리상으로도 미룰 수 없는 영역이 많습니다. 졸업 시즌이라면 더더욱 그렇죠.

둘째, 보안 예산이 빈약합니다. 대학 IT 부서는 인력도, 예산도 만성 부족 상태입니다. 한 대학의 보안 책임자 한 명이 수십 개 시스템을 관리하는 게 흔합니다.

셋째, 데이터의 질입니다. 학생 데이터는 평생 따라다닙니다. 신용카드는 정지하면 끝이지만, 학번과 학적 정보는 그렇지 않죠. 다크웹에서 더 비싸게 팔리는 이유입니다.

Instructure는 돈을 냈을까

공식 입장은 나오지 않았습니다. 하지만 보안 업계와 유튜브 분석가들 사이에서는 “냈다"는 쪽으로 무게가 실리는 분위기입니다. Inside US Economy 채널은 5월 8일 영상에서 “3천만 학생 데이터가 위험에 처했다”고 경고하면서, 회사가 평판 리스크와 소송 비용을 따져봤을 때 지불이 합리적 선택이었을 가능성을 짚었습니다.

문제는 이게 선례가 된다는 점입니다. 한 번 돈을 내기 시작하면, 같은 표적은 반복적으로 노려집니다. 보안 업계가 가장 우려하는 시나리오죠.

우리는 무엇을 배워야 할까

이번 사건은 단순한 보안 사고가 아닙니다. 우리가 일상의 인프라라고 믿고 쓰는 SaaS 서비스가, 사실은 거대한 단일 실패 지점(single point of failure)이라는 사실을 다시 한 번 보여준 사건입니다.

학교가 종이 시험지로 돌아갈 수 없는 시대입니다. 그런데 그 디지털 인프라를 운영하는 회사 한 곳이 뚫리면, 수천 개 기관이 동시에 마비됩니다. 클라우드 시대의 효율성이 가진 어두운 이면이죠.

여러분이 다니는 회사, 학교, 병원의 핵심 시스템 중 “한 곳이 멈추면 다 멈추는” 곳은 어디인가요. 그리고 그 한 곳은, 지금 충분히 안전한가요. 이번 캔버스 사건은 그 질문을 던지는 출발점일 뿐입니다.