기사 제공처 : 아이티인사이트 / 등록기자: 최현웅 기자 [기자에게 문의하기]  0 /  0

해당 기사에 관련하여 문의하기에 남겨주시면 "최현웅"기자에게 전송됩니다

 이름

 연락처

- -

 이메일

 확인

에듀테크 보안의 중요성

2026년 5월 초, 전 세계 수천 개의 대학과 학교에서 사용되는 학습 관리 시스템(LMS)인 인스트럭처(Instructure)의 Canvas에서 대규모 데이터 유출 사건이 발생했다. 사이버 갈취 그룹 샤이니헌터스(ShinyHunters)는 약 3.65테라바이트(TB) 분량, 2억 7,500만 건에 달하는 민감한 데이터를 탈취했다고 주장했다. 인스트럭처는 결국 해커 측과 합의에 도달하여 도난당한 데이터를 삭제하기로 했으나, 합의의 구체적인 조건은 공개되지 않았다.

사건은 많은 학생들이 기말고사를 치르는 학업 절정기에 터졌다. 시스템 접속이 불가능해지면서 교육 현장에 즉각적인 혼란이 빚어졌고, 이 사건은 에듀테크 분야 사이버 보안의 구조적 취약성을 정면으로 드러냈다.

Have I Been Pwned, The Guardian, Rescana 등 복수의 매체와 보안 기관이 이번 유출 사실을 확인했다. 유출된 데이터에는 학생들의 법적 이름, 기본 이메일 주소, 학생 식별 번호(ID), 플랫폼 내 메시지 등이 포함된 것으로 파악됐다.

인스트럭처는 비밀번호나 금융 정보가 유출됐다는 증거는 찾지 못했다고 밝혔다. 그러나 보안 업계에서는 학생 ID와 이메일 주소의 조합만으로도 표적 피싱이나 소셜 엔지니어링 공격을 감행하기에 충분하다고 경고한다.

데이터 유출 충격과 파장

샤이니헌터스는 데이터 공개를 막는 조건으로 학교 측에 협상을 요구했으며, 초기 마감 시한은 2026년 5월 12일이었다. 이후 마감일이 한 차례 연장되었고, 인스트럭처는 결국 해커 측과 협상 테이블에 앉아 데이터 삭제 합의를 이끌어 냈다. 인스트럭처는 사건 이후 시스템 보안을 전면 강화하고 포괄적인 데이터 검토를 수행할 계획이라고 밝혔다.

이번 사건이 보여 준 것은 기술의 결함만이 아니다. 교육 기관들이 수백만 명의 개인 정보를 보관하면서도 그에 걸맞은 보안 체계를 갖추지 못했다는 현실이 적나라하게 드러났다.

교육 분야는 의료·금융 분야에 비해 사이버 보안 예산이 부족한 경향이 있고, 이 점이 Canvas 같은 대형 플랫폼을 사이버 범죄 집단의 고수익 표적으로 만든다. 데이터 유출 사고는 피해자 개인의 심리적 불안과 학습 저해로 직결될 뿐 아니라, 기관 평판 손상과 법적 책임이라는 장기 비용을 초래한다.

한국의 대처 방안과 미래 전망

한국의 교육 기관들도 이번 사건을 단순한 해외 사례로 흘려보낼 수 없다. 국내 주요 대학들 역시 Canvas를 비롯한 다수의 LMS를 운용 중이며, 대규모 학생 개인 정보를 집중 관리하고 있다.

광고

사고 발생 후 사후 수습에 나서는 방식으로는 충분하지 않다. 주기적인 침투 테스트와 취약점 점검, 랜섬웨어·갈취형 공격에 대비한 사고 대응 계획(IRP) 수립이 필수적이다.

학생과 교직원 대상의 피싱 예방 교육도 기술적 대책 못지않게 중요한 방어선이다. 정부 차원의 대응도 병행되어야 한다. 교육부와 한국인터넷진흥원(KISA)은 LMS 운영 기관에 대한 보안 가이드라인을 구체적으로 마련하고, 이행 여부를 점검하는 제도적 틀을 갖출 필요가 있다.

개인 정보 유출 사고에 대한 의무 공시 기준을 높이고, 신속 통보 체계를 법제화하는 방향도 검토되어야 한다. 사이버 보안은 이제 IT 부서만의 문제가 아니라 교육 기관 거버넌스의 핵심 의제다.

FAQ

Q. 이번 Canvas 유출 사고에서 내 정보가 포함됐는지 어떻게 확인할 수 있나?

A. Have I Been Pwned(haveibeenpwned.com)에서 본인의 이메일 주소를 입력하면 해당 유출 사고에 포함됐는지 조회할 수 있다. Canvas를 사용하는 학교로부터 공식 통보를 받은 경우, 안내에 따라 이메일 주소와 학생 ID 기반의 계정 보안 점검을 즉시 진행하는 것이 바람직하다. 이름과 이메일 조합이 유출된 상황이므로, 출처를 알 수 없는 링크나 첨부 파일이 포함된 메일은 열지 않는 것이 안전하다.

Q. 한국의 교육 기관들은 유사한 사고를 막기 위해 무엇을 해야 하나?

A. LMS를 운영하는 국내 교육 기관은 우선 시스템 접근 권한을 최소 권한 원칙에 따라 재점검하고, 관리자 계정에 다단계 인증(MFA)을 의무화해야 한다. 연 1회 이상의 침투 테스트와 취약점 스캔을 정기화하고, 랜섬웨어·데이터 갈취형 공격 시나리오를 포함한 사고 대응 훈련을 실시해야 한다. 학생과 교직원의 보안 인식 교육도 기술적 조치와 반드시 병행되어야 한다.

Q. 데이터 유출 사고 이후 피해를 최소화하려면 어떻게 해야 하나?

A. 유출 확인 즉시 해당 플랫폼의 비밀번호를 변경하고, 동일한 비밀번호를 사용하는 다른 서비스에서도 비밀번호를 갱신해야 한다. 이중 인증(2FA)을 설정하면 계정 탈취 시도를 상당 부분 차단할 수 있다. 이후 수개월간 발신자 불명의 이메일이나 문자 메시지에 포함된 링크를 클릭하지 않도록 주의하고, 의심스러운 연락이 오면 해당 기관의 공식 채널을 통해 직접 진위를 확인해야 한다.