과제 올리려던 순간 플랫폼이 멈추면, 그날 수업은 그냥 꼬입니다. Canvas 해킹 사태가 왜 학교 전체를 흔들었는지 보면 답이 보여요.
01 8800개 학교가 멈춘 날, 문제는 서버가 아니라 의존 구조였다
미국 학교 8,800곳이 한 플랫폼 흔들림에 같이 휘청였다. 기말고사 마감이 겹친 5월 첫째 주, 학생·교수·행정팀이 동시에 발이 묶였죠.
학교와 기업이 같이 보는 보안 사고 대응 기본기
이 사건이 유난히 크게 다가오는 이유도 여기 있다.
Canvas는 미국 대학과 교육청이 매일 쓰는 학습 플랫폼이다. 출석, 과제, 메시지, 공지, 시험 일정이 한 화면에 모여 있거든. Instructure가 5월 1일 무렵 침해 사실과 금전 요구를 알렸고, 5월 2일에는 이름·이메일·학번·이용자 메시지 노출 가능성을 밝혔다. 솔직히 여기까진 흔한 데이터 유출 기사처럼 읽힐 수도 있다. 근데 5월 8일 전후로 서비스가 유지보수 모드에 들어가자 분위기가 완전히 달라졌다.
하버드, 컬럼비아, 러트거스, 조지타운 같은 대학이 잇따라 경보를 보냈고, 최소 12개 주 학교 현장도 영향을 받았다. 제가 예전에 대학 LMS 장애 대응 회의에 참관한 적이 있는데, 30분만 멈춰도 교수는 이메일로 과제를 받고, 학생은 제출 시간 증빙을 캡처하며, 행정팀은 민원 전화를 받느라 정신이 없더라고요. 이번엔 그 규모가 전국 단위였다. 이 정도면 단순 장애가 아니라 교육 인프라 사고에 가깝다.
한 회사의 침해 사고가 수천 개 학교의 하루를 멈췄다면, 그건 IT 이슈가 아니라 사회 시스템 이슈다.
여기서 진짜 질문이 남는다. 왜 랜섬웨어나 데이터 갈취보다 이번 사건이 더 크게 체감됐을까요?
02 왜 이번 해킹은 유난히 아팠나, 시험 주간과 로그인 화면이 겹쳤다
핵심은 타이밍이다. 미국 대학 상당수는 5월이 기말고사와 학기말 과제 마감 시즌이다. 학생 입장에선 밤 11시 59분 제출 버튼이 생명선인데, 그 창구가 닫힌 셈이죠.
이 숫자 대비가 주는 압박이 크다.
여기에 한 가지가 더 붙었다. TechCrunch 보도에 따르면 공격자는 일부 학교의 Canvas 로그인 페이지를 HTML 파일로 변조했다. 하버드 Canvas 로그인 화면에도 공격자 메시지가 노출됐다는 보도가 나왔다. 이 장면이 왜 무섭냐면, 백엔드 침입보다 더 직접적으로 사람 심리를 흔들기 때문이다. 평소 보던 로그인 창이 낯선 문구로 바뀌면, 학생 1명은 피싱을 의심하고, 교수 1명은 공지를 미루고, 행정팀 1곳은 전체 계정 비밀번호 초기화를 고민하게 된다.
일상 비유로 풀면 이렇다. 동네 은행 앱이 2시간 먹통인 사고와, 은행 간판이 바뀌고 출입문에 협박문이 붙는 사고는 체감이 다르다. 둘 다 문제지만, 뒤쪽이 훨씬 많은 사람을 움직이게 한다. 이번 캔버스 사태도 딱 그랬다. 서비스 중단과 화면 변조가 겹치면서, 기술 사건이 순식간에 공포의 연출로 바뀌었다.
- 학생: 제출 증빙 확보, 이메일 대체 제출 문의
- 교수: 마감 연장, 공지 재배포, 성적 입력 지연
- 학교 IT팀: 계정 보호, 공지 작성, 벤더 상황 확인
- 학부모·행정: 개인정보 범위 확인, 민원 대응
그런데 말이죠. 더 큰 문제는 해커의 기술보다, 학교들이 이미 너무 깊게 한 플랫폼에 몸을 실었다는 점이다.
03 학교가 플랫폼 하나에 묶일 때 벌어지는 일
교육 현장은 원래 분산형 같아 보여도, 운영은 꽤 중앙집중적이다. Canvas 같은 LMS 하나에 강의자료, 토론, 과제, 성적, 메시지가 다 붙는다. 편하다. 저도 현업에서 이런 구조를 여러 번 봤는데, 도입 초기 1년은 생산성이 확 오르고, 3년쯤 지나면 다들 그 시스템을 공기처럼 여기더라고요. 문제는 공기가 멈추면 그제야 의존도가 보인다는 점이다.
이번 사건은 랜섬웨어 뉴스의 문법도 바꿨다. 예전엔 기업 한 곳이 돈을 뜯기고 내부 자료가 유출되는 그림이 많았다. 이번엔 플랫폼 공급망이 흔들리며 학교 수천 곳이 같이 흔들렸다. 쉽게 말해, 공격자가 학교 8,800곳을 하나하나 두드린 게 아니다. 중앙 관문 하나를 건드려 연쇄 충격을 만든 셈이죠.
공식 발표 범위 안에서 확인된 정보만 봐도 무겁다. Instructure 보안 책임자는 이름, 이메일, 학생 ID, 사용자 메시지가 포함됐다고 밝혔다. 학생 ID와 메시지는 단순 연락처보다 민감도가 높다. 학사 행정, 상담 흔적, 과제 관련 대화가 섞였을 가능성을 배제하기 어렵거든. 물론 모든 학교와 모든 계정이 같은 수준으로 노출됐다고 단정하긴 이르다. 아, 이 부분은 꼭 선을 그어야겠다. 정확한 피해 규모는 아직 불명확하다.
진짜 리스크는 해커의 침입 한 번이 아니다. 한 번의 침입이 몇 개 조직으로 번지느냐가 판을 가른다.
그럼 학교와 기업은 뭘 바꿔야 할까. 막연한 보안 강화 말고, 운영 관점에서 봐야 답이 나온다.
04 학교와 기업이 지금 당장 바꿔야 할 건 백업이 아니라 운영 시나리오다
보안 사고가 터지면 다들 백업부터 떠올린다. 맞는 말이다. 근데 이번 건 조금 다르다. 시험 제출, 공지 배포, 메시지 확인처럼 실시간 운영이 멈췄기 때문이다. 그래서 필요한 건 데이터 백업만이 아니라, 서비스가 2시간·12시간·24시간 멈출 때 굴러가는 수동 운영 시나리오다.
예를 들어 학교라면 3가지는 미리 정해둬야 한다.
- 과제 대체 제출 채널: 학교 메일, 별도 폼, 학과 공용 드라이브 중 1개를 지정
- 마감 인정 기준: 장애 시각 캡처, 발송 시각, 서버 로그 중 무엇을 증빙으로 볼지 명문화
- 대체 공지 체계: LMS 외에 문자, 학과 홈페이지, 메신저 공지 순서를 정리
기업도 남 일 아니다. 사내 포털, 협업툴, 고객센터 SaaS가 같은 방식으로 멈출 수 있다. 2024년 국내 여러 기업이 클라우드 장애 때 겪은 혼란을 떠올리면 된다. 시스템이 멈춘 뒤 30분 동안 누가 첫 공지를 쓰는지조차 안 정해져 있으면, 피해는 기술이 아니라 커뮤니케이션에서 커진다. 제가 위기 대응 문안 검토를 도운 팀만 해도 첫 1시간에 승부가 갈리더라고요.
이제 마지막이다. 독자 입장에서 오늘 바로 챙길 포인트만 짚어보자.
05 딱 세 가지만 챙기면, 다음 사고에서 덜 흔들린다
이번 캔버스 해킹은 해커가 강해서만 벌어진 일이 아니다. 교육 현장이 한 플랫폼에 깊이 묶여 있었고, 그 플랫폼이 시험 주간 한복판에서 흔들렸기 때문에 충격이 커졌다. 여기에 로그인 화면 변조까지 겹치니, 사람들은 데이터 유출보다 먼저 불안을 체감했다. 이 순서가 중요하다.
지금 당장 해볼 일은 3가지다.
- 학교나 조직 공지에서 LMS·포털 외 대체 채널 1개가 있는지 확인하기
- 로그인 페이지가 이상할 때 대비해 정식 URL·인증서 확인 습관 만들기
- 개인정보 노출 공지가 왔다면 이름, 이메일, 학번, 메시지 범위를 보고 비밀번호 변경과 피싱 경계를 바로 시작하기
개인정보 유출 뒤 24시간 안에 해야 할 체크리스트
이 글도 같이 읽어두면 좋다. 두 사고는 성격이 다르지만, 개인이 챙길 첫 대응은 의외로 겹친다.
짧게 정리하자. 플랫폼은 편의를 준다. 의존은 취약점을 만든다. 운영 시나리오는 그 간극을 메운다. 이 세 줄만 기억해도 뉴스 한 줄이 다르게 읽힐 거다. 다음엔 비슷한 사고가 터졌을 때, 누가 진짜 준비된 조직인지 더 또렷하게 보일 테니까.