올해가 시작된 지 얼마 안 된 시점인데, 미국 edtech 거대 기업인 PowerSchool의 최근 해킹 사태는 올해 가장 큰 침해 사건 중 하나가 될 가능성이 있습니다.
PowerSchool은 미국에서 약 18,000개 이상의 학교에 K-12 소프트웨어를 제공하여 약 6000만 명의 학생을 지원하고 있으며, 최근 1월 초에 침해 사실을 확인했습니다. 2024년 Bain Capital이 56억 달러에 인수한 캘리포니아 소재의 이 회사는 당시 해커들이 침해 사례를 확인하기 위해 허용된 자격 증명을 사용하여 고객 지원 포털에 침입했고, 이를 통해 학교들이 학생 기록, 성적, 출석부 및 등록을 관리하는 PowerSchool SIS와 같은 회사의 학교 정보 시스템에 접근했다고 밝혔습니다.
파워스쿨 대변인 베스키들러는 테크크런치에게 전달한 메시지에서 “2024년 12월 28일, 우리는 PowerSource라는 우리의 커뮤니티 중심 고객 포털 중 하나를 통해 특정 PowerSchool SIS 정보에 대한 무단 액세스와 관련된 잠재적인 사이버 보안 사태를 인지했다”고 말했습니다.
파워스쿨은 침해 사건에 대해 일부 측면에 대해 공개했습니다. 케블러는 예를 들어 작성할 당시 PowerSource 포털이 다중 인증을 지원하지 않았다고 테크크런치에 밝혔지만 파워스쿨은 지원했다. 그러나 여러 가지 중요한 질문들은 아직 답이 나오지 않았습니다.
이번 주에 테크크런치는 파워스쿨에게 사태에 관한 미해결된 질문 목록을 보냈으며, 이 사태는 미국의 수백만 학생들에 영향을 줄 가능성이 있습니다. 케블러는 당사 질문에 대답을 거절하고 회사의 SIS 사건 페이지에 모든 업데이트가 게시될 것이라고 말했습니다. 그 페이지는 지난 1월 17일 이후로 업데이트되지 않았습니다.
파워스쿨은 고객에게 사이버 보안 회사 크라우드스트라이크로부터 사건 보고서를 제공할 것이라고 밝혔으나, 사건에 영향을 받은 학교에서는 아직 해당 보고서를 받지 못한 것으로 알려졌습니다.
회사의 고객들도 아직 많은 미해결된 질문들을 가지고 있어, 이 사태에 영향을 받은 학교들은 함께 해킹 사건을 조사하도록 몰려있습니다.
다음은 아직 답이 나오지 않은 몇 가지 질문입니다.
어느 학교나 학생들이 어느 정도 영향을 받았는지 알 수 없습니다
테크크런치는 파워스쿨 침해 사건으로 영향을 받은 학교들로부터 “대규모의” 영향이 있을 수 있다는 소식을 들었지만, 파워스쿨의 사건 페이지에는 침해 규모에 대한 언급이 없으며, 회사는 여러 학교와 개인이 영향을 받았는지 얼마나 많은지 공개하지 않고 있습니다.
지난 주에 테크크런치에게 보낸 성명서에서 케블러는 파워스쿨이 “이 사건에 관련된 학교와 지구의 데이터를 식별했으나, 관련된 사람들의 이름을 공개하지 않을 것”이라고 말했습니다.
그러나 영향을 받은 학교 지구에서 오는 의사 소통이 침해 사건의 규모에 대한 대략적인 개념을 줍니다. 캐나다 최대 학교 이사회인 토론토지구 학교 이사회(TDSB)는 올해 약 24만 명의 학생을 대상으로 서비스하는 가운데 해커들이 약 40년 동안의 학생 데이터에 접근했을 수 있다고 이번 주 발표했습니다. 비슷하게 캘리포니아의 멘로 파크 시 티 학교 지구는 해커가 현재 학생들과 직원인 각각 약 2700명의 학생과 400명의 직원뿐만 아니라 2009-10 학년도 처음부터의 학생과 직원에 대한 정보에 접근했음을 확인했습니다.
데이터 도난의 규모 또한 알려지지 않았습니다. 파워스쿨은 사이버 공격 중에 액세스된 데이터 양을 얼마인지 밝히지 않았으나 테크크런치가 보았던 이번 달 초기에 고객들과 공유한 커뮤니케이션에서 회사가 해커들이 학생과 교사의 “민감한 개인 정보”를 도용했다고 확인했고, 이는 일부 학생들의 사회 보장 번호, 성적, 인구 통계 정보 및 의료 정보를 포함합니다. 테크크런치는 또한 이 사건에 영향을 받은 여러 학교로부터 “모든” 역사적인 학생 및 교사 데이터가 액세스되었다는 소식을 들었습니다.
한 학교 지구에서 일하는 한 사람은 도난 당한 데이터에 부모의 자녀에 대한 접근 권한에 대한 매우 민감한 정보, 포함한 학생들이 언제 약물을 복용해야 하는지 등에 대한 정보가 포함되어 있다고 테크크런치에 전했습니다.
파워스쿨이 침해에 대한 책임을 지은 해커들에게 얼마나 지불했는지 알려지지 않았습니다
파워스쿨은 도난당한 데이터가 게시되는 것을 막기 위해 “적절한 조치”를 취했다고 테크크런치에 밝혔습니다. 회사는 고객들과 공유한 커뮤니케이션에서 침해를 일으킨 위협자들과 협상하기 위해 사이버 급감사 사건 대응 회사와 협력했음을 확인했습니다.
파워스쿨이 해킹된 시스템을 침해한 공격자들에게 랜섬을 지불했다는 것을 거의 확인했습니다. 그러나 테크크런치가 물었을 때, 회사는 얼마를 지불했는지 또는 해커들이 요구한 금액을 밝히지 않았습니다.
도난당한 데이터가 삭제되었다는 증거를 파워스쿨이 받은 것을 알지 못합니다
이달 초 테크크런치와 공유된 성명에서 파워스쿨의 케블러는 회사가 “데이터가 공유되거나 공개될 것을 예상하지 않으며, 데이터가 삭제되었다고 믿으며, 추가 복사본 또는 유포 없이 삭제된 것으로 생각합니다”라고 말했습니다.
그러나 도난당한 데이터가 삭제되었다는 증거를 어떤 증거를 받았는지 파워스쿨은 반복적으로 밝히지 않았습니다. 초기 보도에는 회사가 비디오 증거를 받은 것으로 알려졌으나 파워스쿨은 테크크런치의 질문에 답변을 거부했습니다.
그럼에도 불구하고 삭제 증거는 해커들이 여전히 자료를 소유하고 있는지 여부를 보장하는 것은 아닙니다; 영국의 최근 LockBit 랜섬웨어 갱의 해체에 따라 랜선 요구 사항에 대한 지불을 받은 피해자들의 자료를 아직 가지고 있던 증거가 드러났습니다.
공격을 일으킨 사람들이 아직 알려지지 않았습니다
파워스쿨 사이버 공격에 대해 가장 큰 알 수 없는 사항 중 하나는 누가 책임을 져야 하는지입니다. 회사는 해커들과 소통하고 있지만 그들의 정체를 밝히기를 거절했습니다. 파워스쿨과 협상하기 위해 일한 캐나다 사건 대응 단체인 사이버스튜어드는 테크크런치의 질문에 대답하지 않았습니다.
파워스쿨 데이터 침해에 대해 더 많은 정보를 가지고 계신가요? Carly Page에게 안전하게 Signal로 +44 1536 853968 또는 이메일 carly.page@techcrunch.com을 통해 연락해주십시오.
