[기획] 美대학 9000곳 해킹 마비… 韓 정보공시 달랑 3곳 무장해제

김남석 2026. 5. 11. 18:05
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
美 캔버스 해킹 9000여곳 직격… "국내 대학도 위험"
외부 프로그램 사용 늘어나지만… 보안은 ‘최저 수준’

미리캔버스가 그린 일러스트.

미리캔버스가 그린 일러스트.


미국 학습관리시스템(LMS) 캔버스(Canvas) 한 곳의 해킹으로 전 세계 9000여 학교가 영향권에 들어가는 사고가 발생하면서 국내 대학의 보안 수준에 대한 우려가 함께 커졌다. 특히 대학들의 외부 프로그램 사용이 늘어나고 있지만, 보안 의식이 최저 수준에 머물면서 대책 마련이 시급하다는 지적이다.

11일 한국인터넷진흥원(KISA) 정보보호 공시포털에 따르면 전국 320여개 대학 중 올해 정보보호 공시를 이행한 국내 대학은 3곳에 그쳤다.

이들 대학의 정보보호 부문 평균 투자액도 전체 공시 이행 기업·기관 평균의 9분의 1 수준에 불과했다.

이번 사고가 발생한 LMS는 강의 자료 제공이나 출석 관리, 온라인 시험, 성적 평가 등 강의 운영 전반을 통합 관리하는 소프트웨어다. 캔버스 운영 기업의 인프라 취약점에서 시작된 하나의 해킹 피해가 소프트웨어를 사용하는 기관 전체로 확산됐다. 이번 해킹을 주도했다고 주장한 '샤이니헌터스'는 약 2억7500만건의 데이터를 확보했다고 밝혔다.

국내 대학들 역시 이번 사고의 영향권에 포함됐다. 일부 대학은 캔버스를 직접 사용하고 있고, 캔버스 엔진 기반 플랫폼을 사용하는 대학도 다수 확인됐다. 오픈소스 자체 취약점이 아닌 만큼, 피해 범위는 제한적이지만 외부 소프트웨어 사용에 대한 구조적인 위험은 국내 대학도 동일하다는 지적이다.

학번이나 이메일, 성적 등의 개인 자료가 축적되는 LMS 외에도 연구 데이터 관리, 전사적자원관리(ERP), 도서관 시스템 등 대학들의 외부 솔루션 도입은 빠르게 늘어나는 추세다.

외부 프로그램의 취약점 노출 책임은 일차적으로 운영사에 있지만, 이를 사용하는 대학 역시 보안 의무에서 자유롭지 않다. 외부 시스템에 올리는 데이터를 최소화하고, 다중인증(MFA)이나 제3자 위탁업체 위험관리(TPRM) 체계 구축 등은 프로그램을 사용하는 사용자가 갖춰야 할 핵심 기본기로 꼽힌다.

이호석 SK쉴더스 EQST랩 팀장은 "이번 사고는 개별 학교의 보안 미흡이라기보다 구독형소프트웨어(SaaS), 클라우드 기반 서비스 구조에서 발생할 수 있는 전형적인 공급망 보안 리스크"라며 "이용 기관이 침해 자체를 직접 차단하는 데는 한계가 있지만, 사고 발생 시 피해 확산을 얼마나 줄이느냐는 각 기관의 보안 체계 성숙도에 따라 달라진다"고 진단했다.

데이터나 접근권한 최소화 같은 기본 원칙과 함께 사전 예방과 실시간 탐지, 사후 복구 3단계와 네트워크 내부조차 신뢰하지 않는 제로 트러스트 기반 구조 전환이 함께 필요하다는 것이다.

외부 프로그램뿐 아니라 국내 대학들의 자체 시스템 보안도 구멍이 노출됐다. 개인정보보호위원회에 따르면 2024년부터 지난해 상반기까지 전국 대학에서 발생한 개인정보 유출 신고는 21건에 달했다. 유출 사고가 발생한 대학들이 정보보호관리체계(ISMS) 인증을 보유하고 있었지만, 개인정보위는 이들이 기초적인 공격도 방어하지 못했다고 지적했다.

대학들의 외부 프로그램 사용이 불가피한 상황에서 대학은 내·외부 이중 위험에 노출된 셈이다. 하지만 국내 대학들의 보안 실태는 사실상 무방비 상황이다.

2016년 정보보호 공시 제도 시행 이후 공시를 이행한 대학은 총 6곳에 불과했다. '정보보호 우수 대학'으로 꼽히는 이들 대학들조차 정보보호 투자액과 전문인력 보유 현황 등이 일반 기업의 평균에도 크게 못미쳤다.

'2025 정보보호 공시 현황 분석보고서'에 따르면 지난해 공시한 757개 기업의 평균 정보보호 투자액은 약 32억원, 평균 전담인력은 11.2명으로 집계됐다. 올해 기준 대학 3곳의 평균 투자액은 평균 대비 12% 수준에 불과했고, 전담인력은 3분의 1 수준에 그쳤다.

의무공시 기업을 제외한 자율공시 기업들만 비교했을 때에도 대학들의 보안 투자 규모는 9분의 1 수준이다. 공시조차 하지 않은 다수 대학들을 고려하면 전체 대학의 보안 수준은 더 낮을 것으로 예상된다.

전문가들은 ISMS 인증을 받은 기업들에서도 사고가 반복되고, 외부 프로그램 사용이 늘어나면서 공급망 보안 중요성이 높아지고 있다고 입을 모았다.

권헌영 고려대 정보보호대학원 교수는 "국내 중·고등학교가 하나의 시스템으로 통합 관리되는 것과 달리 대학은 각각 개별 시스템을 운영하는 구조"라며 "학사·연구·ERP 등 여러개로 나눠져 있는 대학 시스템을 통합적으로 관리하는 체계가 필요하다"고 말했다.

이어 "정보보호 공시 제도를 촘촘하게 강화하고, 대학 시스템 전체를 교육부에서 통합적으로 지원할 수 있는 방안을 마련해야 한다"고 덧붙였다.

김남석 기자 kns@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.