전 세계 9,000개 대학 마비시킨 '캔버스' 해킹... 국내 SaaS 공급망 보안의 민낯

"우리 학교 서버는 뚫리지 않았습니다. 하지만 우리가 믿고 쓰던 '외부 소프트웨어'가 무너지면서, 학생들의 모든 데이터가 인질로 잡혔습니다."

 

최근 글로벌 교육계를 강타한 미국 학습관리시스템(LMS) '캔버스(Canvas)' 해킹 사태는 전 세계 IT 및 보안 담당자들에게 서늘한 경고장을 던졌습니다. 악명 높은 해킹 그룹 '샤이니헌터스(ShinyHunters)'의 공격 단 한 번에 하버드, 스탠퍼드 등을 포함한 전 세계 9,000여 개 학교의 시스템이 마비되고, 기말고사가 연기되는 초유의 사태가 발생했습니다.

 

단순히 '미국 대학들의 불운'으로 넘길 일이 아닙니다. 업무 효율성을 위해 외부 SaaS(구독형 소프트웨어) 및 클라우드 솔루션 도입을 늘리고 있지만, 정작 보안은 무방비 상태인 국내 대학과 기업들이 직면한 '공급망 보안 리스크'의 민낯을 철저히 분석해 봅니다.

🚨 1. 개별 보안을 무력화하는 '공급망 공격'의 공포

캔버스는 전 세계 수천만 명이 사용하는 통합 교육 관리 소프트웨어입니다. 해커들은 개별 대학의 방화벽을 일일이 공격하는 수고를 들이지 않았습니다. 캔버스 운영사(Instructure)의 인프라 취약점 단 한 곳을 파고듦으로써, 이 플랫폼을 이용하는 모든 기관의 학생 ID, 이메일, 성적, 개인 메시지 등 무려 3.65TB(약 2억 7,500만 건)에 달하는 데이터를 한 번에 거머쥐었습니다.

 

SK쉴더스 EQST랩의 분석처럼, 이는 개별 기관의 보안 미흡이라기보다는 클라우드 기반 서비스 구조에서 발생하는 전형적인 공급망 보안 리스크(Supply Chain Risk)입니다. 우리가 아무리 문단속을 철저히 해도, 배달원이 들어오는 '뒷문(외부 연동 프로그램)'이 뚫리면 모든 데이터가 유출되는 구조적인 맹점입니다.

📉 2. 1/9 수준의 투자... '무장해제' 상태인 국내 대학들

더욱 심각한 것은 국내 대학들의 참담한 보안 현실입니다. 캔버스 엔진 기반 플랫폼이나 자체 ERP, 연구 데이터 관리 시스템 등 외부 솔루션 도입은 급증하고 있지만, 이를 통제할 보안 체계는 사실상 '최저 수준'에 머물러 있습니다.

 

한국인터넷진흥원(KISA)의 2026년 정보보호 공시 자료에 따르면, 전국 320여 개 대학 중 공시를 이행한 곳은 단 3곳에 불과합니다. 이들의 평균 보안 투자액은 일반 기업 평균의 12% 수준(약 9분의 1)에 불과하며, 전담 인력 역시 턱없이 부족합니다.

 

학사, 연구, 행정 등 시스템이 파편화되어 운영되는 대학의 특성상, 외부 프로그램에 대한 체계적인 검증이나 통합 보안 관리가 이루어지지 못하고 내·외부 이중 위험에 그대로 노출되어 있는 것입니다.

🛡️ 3. 외부 솔루션의 배신을 막는 3가지 생존 전략

외부 프로그램 도입이 불가피한 현실에서, 기업과 기관은 "솔루션 제공업체가 알아서 지켜주겠지"라는 안일한 환상을 버려야 합니다.

1. 제3자 위탁업체 위험관리(TPRM) 강화: 외부 소프트웨어나 클라우드를 도입할 때, 해당 업체의 보안 아키텍처와 사고 대응 체계를 철저히 검증해야 합니다. 운영사에 전적으로 의존하는 구조를 탈피해야 합니다.
2. 권한의 최소화와 다중인증(MFA): 외부 시스템과 연동하여 올리는 데이터를 필요 최소한으로 제한해야 합니다. 또한, 관리자 및 사용자 접근 시 반드시 생체인증 등이 결합된 다중인증(MFA)을 강제하여 계정 탈취로 인한 피해를 막아야 합니다.
3. 제로 트러스트(Zero Trust) 아키텍처 도입: "내부망에 들어온 시스템조차 신뢰하지 않는다"는 제로 트러스트 원칙에 따라, 외부 SaaS 프로그램과 내부 데이터베이스 간의 연결 고리를 세밀하게 통제하고 이상 징후를 실시간으로 탐지하는 체계로의 전환이 시급합니다.

💡 결론: 연결의 시대, 보안의 책임은 아웃소싱할 수 없다

소프트웨어와 클라우드의 운영은 외부로 아웃소싱할 수 있지만, 데이터 유출로 인한 피해와 보안의 최종 책임은 결코 아웃소싱할 수 없습니다. 이번 캔버스 사태를 반면교사 삼아, 국내 대학 및 기업의 IT 책임자들은 현재 도입해 사용 중인 모든 외부 소프트웨어의 접근 권한과 보안 실태를 전면 재점검하고, 통합적인 공급망 보안 통제 체계를 구축해야 할 것입니다.