Canvas 운영사 Instructure, 해킹범에게 몸값 지불

• Instructure는 학습관리시스템 Canvas를 두 차례 침해한 ShinyHunters에 몸값(Ransom)을 지급하고 복구 합의를 맺음
• 합의에 따라 해커들이 8,800개 이상 기관의 약 2억7,500만 명 사용자 관련 침해 데이터를 반환했다고 밝힘
• Instructure는 데이터 파기 확인인 shred logs와 고객이 추가 갈취를 당하지 않을 것이라는 보장을 받았다고 설명함
• ShinyHunters는 이름, 이메일, 학생 ID, 비공개 메시지 유출을 경고했고, Canvas 장애로 대학들이 시험·마감일을 연기함
• National Cybersecurity Alliance의 Cliff Steinhauer는 랜섬 지급이 공격 보상과 장기 노출 위험을 키울 수 있다고 평가함

Instructure의 랜섬 지급과 Canvas 복구

• Instructure는 지난 1주 반 동안 자사 학습관리시스템 Canvas를 두 차례 해킹한 사이버범죄 조직에 Ransom을 지급함
• Instructure의 월요일 밤 업데이트에 따르면 이번 합의로 해커들이 8,800개 이상 기관의 약 2억7,500만 명 사용자와 관련된 침해 데이터를 반환함
• Instructure는 데이터 파기 디지털 확인인 shred logs를 받았고, 이번 사건으로 “Instructure 고객이 공개적으로든 그 밖의 방식으로든 갈취당하지 않을 것”이라는 보장도 확보함
• 이번 합의는 “영향을 받은 모든 Instructure 고객”을 포괄하며, 개별 고객은 Canvas를 두 차례 침해하고 일시적으로 비활성화한 갈취 조직 ShinyHunters와 접촉할 “필요가 없다”고 안내됨
• Instructure는 사이버범죄자를 상대할 때 완전한 확실성은 없지만, 가능한 범위에서 고객에게 추가적인 안심을 주기 위해 통제 가능한 모든 조치를 취하는 것이 중요하다고 봄
• Instructure는 포렌식 분석 지원, 환경 강화, 관련 데이터 전반 검토를 위해 전문 업체들과 계속 협력 중이며, 작업 진행에 따라 업데이트를 제공할 예정임

ShinyHunters의 요구와 Canvas 서비스 중단

• Instructure는 합의 금액을 공개하지 않았지만, 합의는 ShinyHunters가 제시한 5월 12일 랜섬 기한 하루 전에 이뤄짐
• ShinyHunters는 University of Pennsylvania, Princeton University, Harvard University의 최근 데이터 침해와도 연결돼 있음
• ShinyHunters의 Canvas 침투는 중대한 서비스 중단을 일으켰고, 이름, 이메일 주소, 학생 ID 번호가 포함된 사용자 데이터를 유출하지 않으려면 돈을 내라고 Instructure에 경고함
• ShinyHunters는 5월 3일 Ransomware.live에 게시된 랜섬 편지에서 “학생과 교사, 학생과 학생 사이의 수십억 건의 비공개 메시지”와 개인 대화, 기타 개인식별정보를 갖고 있다고 주장함
• 해커들은 Instructure에 2026년 5월 6일까지 연락하라고 요구했고, 그렇지 않으면 데이터를 유출하고 “성가신 디지털 문제”를 일으키겠다고 경고함
• Instructure는 해당 요구에 응하지 않은 것으로 보였지만 보안 문제를 처리했고, Canvas는 5월 5일 화요일까지 완전히 운영 가능해짐
• 그러나 목요일에 Canvas 사용자들은 다시 계정에 접근할 수 없었고, 기말시험과 학기말 과제를 준비하던 많은 사용자에게 해커 메시지만 표시됨
• 해커 메시지는 “ShinyHunters가 Instructure를 다시 침해했다”며, Instructure가 자신들과 접촉하지 않고 보안 패치만 했다고 주장함
• 메시지는 영향을 받은 학교들이 데이터 공개를 막고 싶다면 사이버 자문 업체와 상의하고 TOX로 비공개 연락해 합의를 협상하라고 요구했으며, 기관들과 Instructure에 5월 12일 기한을 제시함
• ShinyHunters는 RansomLook에 게시된 랜섬 편지에서 Instructure가 상황을 이해하거나 데이터 공개를 막기 위한 협상에 나서지 않았고, 요구액도 생각만큼 높지 않았다고 주장함

대학들의 대응과 Instructure의 커뮤니케이션 변화

• Canvas 장애가 이어지자 여러 대학이 시험과 최종 프로젝트 마감일을 연기하며 문제 해결을 기다림
• Instructure CEO Steve Daly는 두 번째 침해 이후 회사 웹사이트 업데이트에서 지난주에는 공개 발언 전 사실을 정확히 확인하려 했지만 균형을 잘못 잡았다고 인정함
• Daly는 “사실 확인에 집중했고, 여러분에게 지속적인 업데이트가 필요할 때 조용해졌다”며 앞으로 이를 바꾸겠다고 밝힘
• 이후 Instructure는 해커들과의 소통도 시작한 것으로 보이며, 월요일 오후 웹사이트에 “모든 Canvas 환경이 사용 가능하다”고 공지함

랜섬 지급의 위험

• National Cybersecurity Alliance의 정보보안·참여 담당 이사 Cliff Steinhauer는 랜섬 지급이 Instructure의 즉각적 문제는 해결했을 수 있지만, 일반적인 사이버보안 대응 원칙에 어긋난다고 평가함
• Steinhauer는 랜섬 지급이 “공격자가 성공적인 침해에 대해 사실상 보상받는 위험한 피드백 루프”를 만들 수 있다고 봄
• 조직이 즉각적 위기를 “해결”한다고 믿더라도, 사이버 갈취의 경제적 유인을 강화하고 대형 교육 플랫폼이나 핵심 서비스를 노리는 일이 수익성이 있다는 신호를 위협 행위자에게 줄 수 있음
• 그는 법집행기관이 일관되게 경고하듯 랜섬 지급은 업계 전반의 추가 공격을 부추기며, 결제 자체를 실행 가능한 사고 대응 전략으로 정상화할 위험이 있다고 봄
• Steinhauer는 Instructure와 ShinyHunters의 합의가 신뢰와 확실성 문제도 남긴다고 평가함
• 범죄자가 탈취 데이터를 삭제했다고 주장하거나 파기 “증거”를 제공하더라도 이를 신뢰성 있게 검증할 방법은 없으며, 과거에는 데이터가 보관·재판매되거나 향후 갈취에 다시 사용되는 경우가 많았다고 밝힘
• 위험 관점에서 조직은 눈앞의 단기 서비스 중단을 장기 노출 문제와 맞바꾸는 셈일 수 있으며, 그 문제는 몇 달 또는 몇 년 뒤 다시 나타날 수 있고 이를 막을 추가 지렛대도 없을 수 있음