핵심 요약
- ShinyHunters 갈취团伙가 2026년 3월경 Infinite Campus K-12 학생정보시스템의 Salesforce 환경에 대한 데이터 탈취 공격을 감행해, 미국 내 약 13만 7천 개 교직원 계정의 개인정보가 유출된 것으로 Bleeping Computer가 6월 15일 보도했다.
- 공격은 학교 자체 인프라가 아닌 Infinite Campus가 운영에 활용하는 Salesforce 환경을 겨냥한 것으로, K-12 교육기관의 제3자 SaaS 의존도가 만들어내는 공급망 노출면을 적나라하게 드러낸 사건이다.
- 학교 정보가 가진 고가치성과 ShinyHunters의 Salesforce 표적화 추세가 결합되면서, 교육 부문 SaaS 공급망이 랜섬웨어 및 갈취형 데이터 유출의 새로운 거점으로 부상하고 있다.
이번 사건은 K-12 학교의 데이터 보안을 개별 학교 차원이 아닌, 학생정보시스템 공급자와 클라우드 SaaS 벤더까지 확장된 공급망 보안의 관점에서 재설계해야 한다는 강한 시그널을 준다.
2026년 6월 15일 Bleeping Computer는 미국 K-12 학교에서 폭넓게 사용되는 학생정보시스템(SIS) Infinite Campus가 Salesforce 환경에서 약 13만 7천 개에 달하는 교직원 계정의 개인정보를 유출한 사실을 단독으로 보도했다. 공격 배후로는 갈취형 범죄그룹 ShinyHunters가 지목되며, 이는 교육 부문 SaaS 공급망을 겨냥한 대규모 데이터 탈취의 사례로 기록될 전망이다.
1. 사건 개요 – 13만 7천 교직원 계정 정보 유출
이번 사건은 Bleeping Computer가 6월 15일자 기사를 통해 공개한 내용에 따르면, 미국 K-12 교육 시장을 대표하는 학생정보시스템(SIS) Infinite Campus에서 137,000명에 가까운 교직원 계정 정보가 외부로 유출됐다. ShinyHunters가 약 3개월 전인 2026년 3월경 Salesforce 환경에 대한 데이터 탈취 공격을 성공하면서 발생한 것으로 전해진다.
1-1. 공격 시점과 표적 시스템
보도 기준으로 공격 실행 시점은 2026년 3월경, 외부 공개 시점은 같은 해 6월 15일(약 3개월 후)이다. 표적은 학교 자체 서버가 아니라 Infinite Campus가 학생정보 관리 운영에 활용하고 있는 Salesforce 인스턴스로, K-12 SaaS 공급망의 상위 계층을 사실상 우회한 형태로 볼 수 있다.
1-2. 유출 정보 범위와 영향권
유출된 정보는 교직원 계정 단위의 개인정보로 보도됐으며, 학생 및 학부모 기록까지 영향을 미쳤는지에 대해서는 공개된 자료에서 확정적 언급이 확인되지 않는다. 다만 ShinyHunters가 과거에 다른 사건에서 보여준 행태를 감안하면, 후속 2차 공지가 별도로 나올 가능성이 있는 것으로 분석된다.
| 구분 | 내용 | 출처/근거 |
|---|---|---|
| 유출 영향 계정 수 | 약 137,000개 (교직원 계정) | Bleeping Computer 6월 15일 보도 |
| 공격자 그룹 | ShinyHunters | Bleeping Computer, The Hacker News 주간 리캡 |
| 공격 시점 | 2026년 3월경 | Bleeping Computer 6월 15일 보도 |
| 표적 시스템 | Infinite Campus K-12 학생정보시스템 | Bleeping Computer 6월 15일 보도 |
| 공격 벡터 | Salesforce 데이터 탈취 (Salesforce-centric data theft) | Bleeping Computer, The Hacker News |
| 원문 게시 시각 | 2026-06-15 12:38:55 UTC | Bleeping Computer 원문 메타데이터 |
2. ShinyHunters와 Salesforce 매개 공격 벡터
ShinyHunters는 2020년경부터 활동이 포착된 알려진 갈취형 범죄그룹으로, 클라우드 기반 SaaS에서 직접 데이터를 빼낸 뒤 피해 기업에 협박 메시지를 보내 금전을 요구하는 패턴을 반복해왔다. 이번 Infinite Campus 사례는 학교가 직접 운영하는 인프라가 아니라, 학생정보시스템이 의존하는 상위 SaaS(Salesforce)를 거점으로 삼았다는 점에서 공격 효율 측면에서 새로운 전환점을 보여준다.
2-1. 알려진 ShinyHunters의 공격 수법
이들은 1) OAuth 토큰 탈취, 2) Salesforce 관리자 계정 피싱, 3) 영업/지원용 데이터 앱의 과도한 권한 남용, 4) Data Loader 류 도구를 이용한 대량 추출 등 클라우드 네이티브 환경에 최적화된 수법을 활용해 온 것으로 보고된다. 매체 후속 보도에서는 이번 사건도 유사한 Salesforce 데이터 탈취 패턴이 적용됐을 가능성을 제기한 것으로 분석된다.
2-2. Salesforce 표적 위협의 최근 추세
2024~2026년 사이 Salesforce를 매개로 한 데이터 유출 시도는 기업 클라이언트와 공공·교육 부문을 가리지 않고 증가하는 추세로, 이는 CRM 데이터 자체의 민감도와 통합을 통해 접근 가능한 인접 시스템의 가치가 높아졌기 때문인 것으로 해석된다. ShinyHunters 외에 Scattered Spider 등으로 알려진 그룹도 Salesforce 환경을 반복적으로 노려왔다는 점은 단일团伙의 이슈가 아닌 플랫폼 위협이라는 인식을 강화한다.
3. Infinite Campus와 K-12 교육 환경의 노출면
Infinite Campus는 수천 개 미국 K-12 교육기관에서 출결, 성적, 건강정보, 보호자 연락처 등 민감한 데이터를 통합 관리하는 핵심 SIS로, 사실상 미국 공교육 데이터 인프라의 한 축을 담당한다. 이처럼 운영이 단일 벤더에 집중될수록, 그 벤더가 사용하는 상위 SaaS 공급자에 대한 공격은 곧 광범위한 교육 데이터 유출로 직결된다.
3-1. K-12 SaaS 의존 구조와 통합 위험
많은 학군(school district)은 자사 IT 인력만으로는 대규모 학생정보시스템을 운영하기 어렵기 때문에, 클라우드 기반 SaaS 형태로 Infinite Campus 같은 벤더에 데이터를托管하고 있다. 이러한 의존 구조는 1) 학군 단위로는 통제하기 어려운 벤더 보안 의존도, 2) 벤더가 통합한 다른 SaaS(예: Salesforce, LMS, 결제 시스템)까지 포함하는 간접 노출면을 만든다. 결과적으로 학군의 보안 수준은 사실상 공급망 전체의 가장 약한 고리에 의해 결정되는 것으로 분석된다.
3-2. 학교 정보가 가진 랜섬웨어·갈취 가치
학교 정보에는 학생·교원·학부모의 식별정보, 의료정보, 재정 지원 정보, 비상연락망 등이 결합되어 있어 개인 측면에서는 종합 신원 도용에 활용될 수 있고, 기관 측면에서는 학년도 시작 시점의 학적 처리 지연 등 운영 마비 위협으로 랜섬웨어 협상에 활용될 가치가 매우 높다. ShinyHunters식의 갈취 공격은 데이터를 암호화하지 않더라도 공개 협박만으로 금전 확보가 가능하다는 점에서 K-12 부문을 매력적인 표적으로 만드는 것으로 보인다.
4. 교육 부문 공급망 보안 시사점
이번 사건은 K-12 사이버보안의 무게중심이 학교 단위에서 벤더, 그리고 그 벤더가 사용하는 클라우드 SaaS 공급자까지 이동하고 있음을 시사한다. 단순히 학군의防火墙을 두껍게 하는 차원의 대응만으로는 한계가 있으며, 계약 단계에서의 보안 통제 요구, 상시 모니터링, 그리고 사고 발생 시 공동 책임分担 체계의 정비가 함께 이뤄져야 한다.
4-1. 제3자 SaaS 접근통제 강화 방향
학군은 자사가 직접 구매하지 않은 SaaS(예: 벤더가 내부적으로 사용하는 Salesforce, Okta, AWS 등)에 대해서도 벤더 계약을 통해 다음을 요구할 필요가 있다. 1) 최소 권한 원칙 기반의 역할 분리, 2) 외부 통합 시 명시적 승인 절차, 3) 관리자 계정에 대한 하드웨어 토큰·MFA 의무화, 4) 정기 권한 검토 및 토큰 회수 절차가 그것이다. 이는 자사 자산이 아니더라도 데이터 거버넌스의 일부로 관리돼야 할 영역으로 분석된다.
4-2. 탐지·모니터링 갭과 로그 가시성
학군이 갖는 가장 큰 맹점은 벤더 측 SaaS의 로그와 이벤트를 실시간으로 볼 수 없다는 점이다. 데이터 유출이 발생해도 학군은 보통 유출 사실 자체를 사후 통보로만 알게 되며, 그 시점에는 이미 협박 메시지가 외부로 발송된 뒤인 경우가 많다. 따라서 1) 벤더가 제공하는 감사 로그 API의 상시 수집, 2) 비정상 대량 export, OAuth 토큰 발급, 관리자 권한 변경에 대한 즉각 알림 체계를 벤더 계약과 SLA에 명문화하는 것이 권고된다.
5. 결론 및 보안 권고
Infinite Campus 13만 7천 교직원 계정 유출 사건은 K-12 교육기관의 데이터가 어떤 경로로 유출될 수 있는지를 명확히 보여주는 벤치마크 사례다. 학교 단위에서 자력으로 막기 어려운 공급망 상위 계층이 침투 경로가 됐다는 점에서, 단기 기술 통제와 중장기 거버넌스 개선을 병행하는 두 트랙 접근이 필요하다.
5-1. 단기 조치 체크리스트
- 자사 학군이 Infinite Campus 등 K-12 SIS를 사용하는 경우, 벤더 측 Salesforce 통합 여부와 관리자 권한 점검이 필요해 보인다.
- 교직원 계정의 비밀번호 재설정과 MFA 강제, SSO 적용 여부 확인이 우선 과제로 권고된다.
- 이상 로그 탐지를 위해 벤더 제공 감사 로그의 수집 범위와 보존 기간을 재확인하고, 학군 내부 SIEM과의 연동 가능성을 검토해야 한다.
- 유출된 정보가 피싱·자격 도용에 2차 악용될 가능성에 대비해 교직원 대상 보안 인식 교육을 강화해야 한다.
5-2. 중장기 거버넌스·컴플라이언스 방향
- 학군-RFP 단계부터 벤더의 하위 SaaS 사용 내역, 보안 인증(SOC 2, ISO 27001 등), 사고 통보 SLA를 명시적으로 요구하는 조항을 표준화해야 한다.
- FERPA, 주(State) 단위 학생 프라이버시법과 연동해 데이터 처리 단계별 책임 소재를 계약서에 문서화하고, 정기 감사를 의무화해야 한다.
- K-12 교육부(US Department of Education) 및 주 교육청 단위로 SaaS 벤더 보안 기준과 사고 공유 체계를 마련해, 단일 학군이 독자적으로 대응하지 않아도 되는 공통 방어선을 구축해야 한다는 의견이 제시된다.
- 궁극적으로 K-12 사이버보안 예산을 학교 단위가 아닌 학군·주 단위 거버넌스로 통합해, 공급망 리스크에 대한 공동 대응 역량을 키우는 방향이 요구된다.
핵심 정리
- 공격 본체: Salesforce 데이터 탈취 공격을 매개로 한 ShinyHunters의 Infinite Campus K-12 SIS 침해.
- 영향 규모: 미국 내 약 137,000개 교직원 계정의 개인정보 유출, 학교 데이터의 공급망 가시화를 촉발.
- 공급망 시사점: 학교 보안은 학군 자체가 아니라 학생정보시스템 벤더와 그 상위 SaaS까지 포함한 공급망 전체의 가장 약한 고리에 의존하는 구조로 분석된다.
- 실무 권고: 단기적으로는 MFA·권한 점검·로그 가시성 확보, 중장기적으로는 벤더 계약 표준화, 교육부 단위 거버넌스, 공동 감사 체계 마련이 핵심이다.