Canvas 복구됐지만 Harvard·MIT·BC 학생은 학교별 공지 계속 확인해야

온라인 수업 플랫폼 Canvas가 사이버 침해 사고 뒤 다시 운영되고 있지만, 보스턴권 대학 학생과 교직원은 학교별 IT 공지를 계속 확인해야 한다. Instructure는 5월 9일 업데이트에서 Canvas가 다시 온라인 상태라고 밝혔고, Harvard, MIT, Boston College 등 매사추세츠권 학교도 5월 7일 전후 접속 장애와 안내문 노출 영향을 받은 것으로 보도됐다.

핵심 정보는 다음과 같다. Instructure는 2026년 4월 29일 Canvas에서 무단 활동을 탐지했고, 5월 7일 같은 사건과 관련된 추가 활동을 확인한 뒤 Canvas를 일시적으로 maintenance mode로 전환했다. 회사는 문제가 Free-For-Teacher 계정 관련 취약점에서 비롯됐다고 설명했으며, 해당 계정은 임시 중단됐다. 현재까지 회사가 공개한 영향 범위에는 사용자 이름, 이메일 주소, 과목명, 등록 정보, Canvas 내 메시지 등이 포함된다. 반면 수업 콘텐츠, 과제 제출물, 자격증명 등 핵심 학습 데이터는 침해되지 않았고, 비밀번호, 생년월일, 정부 발급 신분번호, 금융정보가 포함됐다는 증거는 없다고 밝혔다.

보스턴권에서 직접 영향을 받는 대상은 Canvas를 수업 자료 열람, 과제 제출, 성적 확인, 교수·조교와의 메시지에 쓰는 대학생과 교직원이다. NBC10 Boston은 Harvard와 MIT의 Canvas 사이트가 내려갔고, Boston College도 Canvas 관련 광범위한 장애를 안내했다고 전했다. MIT 학생신문 The Tech는 5월 7일 오후 4시 직후 MIT 학생들이 Canvas에 접속하지 못했다고 보도했다. MIT 학사 일정상 2026년 봄학기 기말고사 기간은 5월 15일부터 20일까지다.

이번 사고가 한인 유학생에게 중요한 이유는 시점이다. 5월 초·중순은 보스턴권 대학의 과제 마감, 기말시험 준비, 성적 확인이 몰리는 기간이다. Canvas 접속 장애가 해소됐더라도 특정 과목의 제출 방식, 마감 연장, 시험 자료 제공 방식은 학교와 교수별로 다를 수 있다. 특히 교수나 조교, 학교 IT 부서를 사칭해 Canvas 복구, 데이터 확인, 비밀번호 재설정을 요구하는 이메일이 오면 피싱 가능성을 먼저 확인해야 한다.

Instructure는 외부 포렌식 전문가와 함께 조사를 진행하고 있으며 법 집행기관에도 통보했다고 밝혔다. 회사는 특권 계정 접근 권한과 토큰을 회수하고, 일부 내부 키를 교체했으며, 추가 모니터링을 도입했다고 설명했다. 다만 고객별로 어떤 정보가 영향을 받았는지는 조사가 계속 진행 중이며, 영향을 받은 기관에는 직접 통보하겠다는 입장이다. 회사는 고객별 검토와 포렌식 정리에 수 주가 걸릴 수 있다고 안내했다.

생활 영향은 학교별로 다르다. Harvard, MIT, BC 등에서 수업 자료를 Canvas에 의존하는 학생은 시험 전 자료 접근, 과제 제출 기록, 교수 공지 확인에 차질이 있었을 수 있다. 교직원은 성적 입력, 강의 자료 배포, 학생 메시지 관리 과정에서 추가 확인이 필요하다. 학부모나 유학생 가족 입장에서는 금융정보나 비밀번호가 노출됐다는 발표는 현재까지 없지만, 학생 이메일과 이름이 포함될 수 있다는 점 때문에 이후 피싱 시도가 늘 수 있다는 점을 알아둘 필요가 있다.

알아둘 점은 세 가지다. 첫째, Canvas 관련 안내는 각 학교의 공식 IT 페이지나 교수 공지를 우선 확인해야 한다. 둘째, 비밀번호 재설정이나 계정 확인을 요구하는 이메일은 링크를 바로 누르지 말고 학교 포털 주소를 직접 입력해 접속하는 것이 안전하다. 셋째, 과제 제출 실패나 시험 자료 접근 문제가 있었던 학생은 발생 시각, 화면 캡처, 교수에게 보낸 이메일 기록을 남겨 두는 편이 좋다. 현재까지 발표 기준으로 Canvas 본 서비스는 복구됐지만, 고객별 영향 확인은 계속 진행 중이다.