오늘날 K-12 학생들은 AWS S3 및 Google Sites와 같은 신뢰할 수 있는 인프라에 호스팅된 프록시 페이지, AI가 생성한 가짜 "교육" 사이트, 게임 모음 타일 페이지, Discord를 통해 판매되는 유료 우회 서비스, 그리고 작동하는 프록시 URL이 선별된 YouTube 디렉토리 등을 사용하여 웹 필터를 우회합니다. URL 분류만으로는 더 이상 대응할 수 없으며, 효과적인 방어를 위해서는 브라우저 내에서 페이지가 실제로 어떻게 작동하는지 검사하는 기기 내 행동 기반 탐지가 필요합니다.
K-12 교육구의 IT 담당자라면 5년 전에 구축한 필터가 시대에 뒤떨어지고 있다는 사실을 이미 알고 있을 겁니다. Lightspeed에서 최근 진행한 '학생 편입 방지' 웨비나, 실시간 채팅을 통해 현재 학교에서 실제로 사용되고 있는 해킹 수법들이 드러났으며, 이는 Lightspeed의 telemetry 탐지 기능과도 일치합니다. 이 글에서는 각 수법을 분석하고, 그 원리를 설명하며, 대응 방안을 제시합니다.
학생 무단결석이 단순한 주의 분산 문제가 아니라 사이버 보안 문제로 대두된 이유
예전에는 '수업 우회'라는 말이 아이들이 수업 시간에 몰래 수학 게임을 하는 것을 의미했지만, 2026년에는 훨씬 더 심각한 의미를 갖게 되었습니다.
대충 학생 3명 중 1명 학교의 보안 필터를 우회하려는 시도가 있을 수 있습니다. 일단 우회에 성공하면 IT 부서는 어떤 위협에 노출되고 있는지 파악할 수 없게 되는데, 바로 이 사각지대를 통해 랜섬웨어, 피싱, 학생 데이터 유출 등이 발생합니다. K-12 교육기관은 악의적인 공격자들의 주요 표적이 되고 있는데, 이는 실제로 상당한 금액의 몸값을 요구하기 때문입니다. 최근 업계 보고서에 따르면 교육청 관련 랜섬웨어 공격으로 수백만 달러에 달하는 몸값이 지불된 사례가 보고되고 있습니다.
Lightspeed의 실시간 탐지(RTD) 도구인 telemetry는 Fern이라는 사이트를 포함한 여러 우회 사이트를 포착했는데, 이 사이트들은 웹페이지 어디에서든 처음 클릭하는 순간 VPN 다운로드로 위장한 악성코드 사이트로 연결되는 새 탭이 열리도록 설계되었습니다. 학생들은 필터를 우회했다고 생각했지만, 실제로는 피싱 공격에 당하고 있었습니다.
요점은 다음과 같습니다. 우회로는 그 뒤에 실제로 무엇이 있을지 모르는 복불복과 같다.
현재 K-12 IT 부서에서 가장 흔하게 접하는 우회 방법
이 정보는 웨비나 참가자들이 채팅에서 언급한 내용과 Lightspeed 엔지니어들이 탐지 데이터를 통해 설명한 내용을 바탕으로 직접 추출한 것입니다.
1. AWS S3에 호스팅된 프록시 페이지
참석자들은 다음과 같은 프록시 사이트를 지적했습니다. s3.amazonaws.com/bullmath/index.html 그리고 s3.amazonaws.com/vcsamath/index.html 실시간 탐지 보고서에서 교육 관련 항목으로 분류되어 나타납니다. 해당 URL이 s3.amazonaws.com 아래에 있기 때문에 AWS의 신뢰도를 계승합니다. — 그리고 상위 도메인을 차단하는 것은 현실적인 해결책이 아닙니다.
이를 멈추는 방법: 기기 내에서 동작 기반으로 작동하는 탐지 방식으로, 단순히 URL만 검사하는 것이 아니라 렌더링된 페이지(자바스크립트 변수, 라이브러리 시그니처, 네트워크 호출 패턴)를 검사합니다.
2. 브라우저 프록시가 내장된 Google 사이트
학생들은 구글 사이트를 구축하고 프록시 프레임워크를 삽입하여 "신뢰할 수 있는" 구글 URL로 접속합니다. 따라서 상위 도메인인 sites.google.com을 차단하면 정상적인 수업 환경 이용이 불가능해집니다.
이를 멈추는 방법: 위와 동일하게 기기에서의 동작 기반 검사입니다. 헬퍼 확장 프로그램은 URL뿐만 아니라 DOM과 실행 중인 코드도 확인할 수 있습니다.
3. 동영상과 게임이 내장된 Google Docs 및 Sites
여러 참석자들이 공통적으로 겪는 문제로 유튜브 동영상이나 HTML5 게임이 포함된 구글 문서나 웹사이트를 꼽았습니다. 필터는 구글 문서로 인식하지만, 학생은 엔터테인먼트 포털로 인식한다는 것입니다.
이를 멈추는 방법: 페이지 수준 스캔을 통해 상위 URL이 깨끗해 보이더라도 타사 캔버스 요소, 비디오 프레임, 타일 레이아웃과 같은 내장 콘텐츠 패턴을 인식합니다.
4. AI가 생성한 가짜 "교육" 사이트
학생들은 생성형 AI를 사용하여 몇 분 만에 그럴듯해 보이는 교육 사이트를 만들어냅니다. 그런 다음 필터에 의해 교육 사이트로 분류될 때까지 기다립니다. 이후 콘텐츠를 프록시 사이트나 게임 모음 사이트로 바꿔치기하는데, 때로는 안전한 보기와 실제 보기 사이를 전환하는 키보드 단축키 뒤에 숨겨져 있기도 합니다.
이를 멈추는 방법: 페이지가 변경될 때마다 기기 수준에서 다시 스캔합니다. 분류는 최종 판단이 아닌 하나의 신호로 간주합니다.
5. GitHub에서 제공하는 오픈 소스 프록시 프레임워크
Ultraviolet이나 Scramjet 같은 프레임워크는 GitHub 검색 결과 상위에 있으며 API와 자동화를 사용하여 몇 분 만에 배포할 수 있습니다. 의욕적인 학생이라면 코드를 한 줄도 작성할 필요가 없습니다.
이를 멈추는 방법: 프레임워크 라이브러리 자체의 시그니처 감지 — JavaScript 지문은 래핑되거나 이름이 변경되더라도 일관성이 충분히 높아 식별할 수 있습니다.
6. 게임 통합 타일 사이트(Nebula, Interstellar 및 사용자 지정 빌드)
모든 우회 방법이 개방형 인터넷에 접근하기 위한 것은 아닙니다. 점점 더 많은 학생들이 우회 방법으로 게임 타일 그리드 형태의 구글 사이트를 구매하거나 호스팅하고 있습니다. 네뷸라(Nebula)와 인터스tellar 같은 프레임워크를 사용하고 있으며, 그 외에도 다양한 사용자 정의 빌드가 있습니다.
이를 멈추는 방법: Lightspeed RTD에는 URL 일치 방식이 아닌 구조 및 동작(HTML5 캔버스 패턴, 타사 에셋 가져오기, 타일 레이아웃 휴리스틱)을 기반으로 타일 기반 애그리게이터를 감지하는 "게임 애그리게이터 포함" 토글 기능이 있습니다.
7. 디스코드 "주문형 사이트" 우회 서비스
참석자들이 외쳤다 맞춤형 우회 사이트를 주문 즉시 제작해주는 디스코드 서버들, 특히 Lightspeed 및 유사 필터를 회피하도록 설계되었습니다. 이는 더 이상 아이들이 장난치는 수준이 아니라, 학교 필터를 겨냥한 외부 시장의 제품입니다.
이를 멈추는 방법: URL을 미리 알 필요 없이 동작 기반으로 탐지합니다. 사용자 정의 사이트는 고유한 URL을 가지지만, 동일한 기본 프록시 또는 게임 프레임워크 라이브러리를 재사용합니다.
8. 유튜브 채널 카탈로그에 등록된 작동하는 프록시
한 참석자는 작동하는 프록시 사이트 목록과 사용법 안내를 제공하는 유튜브 채널(@VCSAOfficial)을 공유했습니다. 이 목록은 학생들에게 해당 지역에서 현재 작동하는 프록시 사이트 목록을 항상 최신 상태로 제공합니다.
이를 멈추는 방법: 이러한 디렉토리를 필터 공급업체의 분류 팀에 제출하십시오. Lightspeed의 콘텐츠 팀은 RTD telemetry를 통해 발견된 사이트를 적극적으로 재분류합니다. 이러한 탐지 작업을 실행하면 공동 보호에 기여할 수 있습니다.
9. 우회 링크를 배포하는 레딧 및 디스코드 스레드
특정 학교나 학군을 위한 서브레딧과 디스코드 채널에서는 작동하는 우회 URL과 프레임워크를 실시간으로 공유합니다. 이러한 배포 속도는 대부분의 필터 업데이트 주기보다 빠릅니다.
이를 멈추는 방법: 기기에서의 실시간 감지와 신속한 분류 업데이트를 결합합니다. 감지 계층은 학생이 새로운 변형에 접근하는 순간, 심지어 URL을 알기 전에도 이를 포착합니다.
10. 복도 및 동료 간 공유(유료 이용 포함)
학생들은 직접 만나서 서로에게 작동하는 우회 링크를 판매합니다. 이는 가장 기술 수준이 낮은 유통 방식이며 네트워크 차원에서 차단하기 가장 어려운 방식입니다.
이를 멈추는 방법: 다시 한번 강조하지만, 기기 내 감지 기능이 중요합니다. URL이 어디에서 왔는지는 중요하지 않습니다. 중요한 것은 페이지가 로드될 때 어떤 동작을 하는지입니다.
11. 공유 도메인 플랫폼
Historically Afraid.org는 이러한 문제의 대표적인 사례였습니다. 이러한 패턴은 최신 동적 DNS 및 공유 호스팅 서비스에서도 여전히 나타납니다. Lightspeed는 이러한 문제를 해결하기 위해 "공유 도메인" 카테고리를 출시했지만, 이제는 AWS, Google Sites 및 이와 유사한 신뢰할 수 있는 호스팅 업체로 압력이 옮겨가고 있습니다.
이를 멈추는 방법: 알려진 공유 플랫폼을 식별하고 차단하며, 공유 콘텐츠 내에서 프록시 사용을 감지합니다.
12. VPN으로 위장한 팝업 광고형 악성 프로그램
위에서 언급한 Fern 클러스터 문제입니다. 학생들은 필터를 우회하기 위해 VPN을 다운로드하는 것으로 생각하지만, 실제로는 알려진 사이버 위협으로 분류되는 악성 소프트웨어를 설치하고 있는 것입니다.
이를 멈추는 방법: 다운로드 시점이 아니라 리디렉션 시점에 차단합니다. 실시간 스캔을 통해 팝업 동작 패턴 자체를 포착할 수 있습니다.
URL 분류만으로는 2026년에 충분하지 않은 이유
분류는 여전히 기본적입니다. Lightspeed와 모든 주요 필터 제조업체는 분류에 의존합니다. 하지만 이러한 환경에서는 구조적인 한계가 있습니다.
- AWS, Google, Microsoft와 같은 신뢰할 수 있는 상위 도메인에 호스팅된 페이지는 실제보다 낮은 평판을 얻게 됩니다.
- AI를 활용하면 학생들이 사람이 검토하여 오류를 발견하기보다 훨씬 빠르게 그럴듯한 가짜 분류 사이트를 만들 수 있습니다.
- “"기다렸다가 교환하는" 전략은 특정 시점의 분류를 무력화시킨다.
- URL만으로는 그 아래에서 어떤 JavaScript가 실행되고 있는지 알 수 없습니다.
해결책은 분류 체계를 포기하는 것이 아니라, 페이지에서 실제로 무슨 일이 일어나고 있는지 감시하는 실시간 intelligence 레이어를 그 위에 추가하는 것입니다.
기기 내 행동 기반 탐지는 실제로 무엇을 검사하는가?
이는 K-12 IT 팀이 보유한 시스템을 평가할 때 가장 중요한 부분입니다. 브라우저 확장 프로그램으로 실행되는 실시간 우회 탐지 기능은 다음을 검사할 수 있습니다.
- 자바스크립트 변수 및 라이브러리 시그니처: Ultraviolet, Scramjet, Nebula, Interstellar와 같은 지문 인식 프레임워크는 난독화된 경우에도 작동합니다.
- DOM 구조 및 렌더링 패턴: 타일 레이아웃, 내장 캔버스 요소, 타사 iframe.
- 시간 경과에 따른 페이지 동작 변화: 페이지가 바뀔 때마다 간헐적으로 다시 스캔하여 "기다렸다가 바꿔치기하는" 수법이 발각되지 않도록 합니다.
- 네트워크 호출 패턴: 작동 중인 프록시의 특징적인 외부 호출을 감지합니다.
- 정보 창이 열립니다: 서명 기반 필터가 놓치는 일반적인 우회 기법입니다.
이 앱은 기기에서 실행되므로 학생이 학교 네트워크에 연결되어 있든, 집에 있든, 아니면 카페의 와이파이에 연결되어 있든 상관없이 작동합니다.
오프 네트워크 사각지대
개인 기기가 집으로 가져가 해킹당한 후 다시 학교로 돌아오는 것은 학교에 위협이 침투하는 가장 흔한 경로 중 하나입니다. 기기 내 에이전트는 필터링 및 탐지 기능을 네트워크가 아닌 기기에서 제공하므로 이러한 허점을 차단합니다. 방화벽에만 보안이 집중되어 있다면 기기가 학교 밖으로 나갈 때마다 방어력이 약해집니다.
AI 도구 활용: 새롭게 대두된 가시성 격차
학생과 교직원들은 정책 설정 여부와 관계없이 ChatGPT, Gemini, Copilot 등을 사용하고 있습니다. AI 공급업체들은 어떤 질문이 오갔는지에 대한 기록을 제공하지 않는데, 이는 기술적 한계가 아니라 책임 문제를 피하기 위한 의도적인 조치입니다.
즉, 가시성은 브라우저에서 확보되어야 합니다. AI Prompt Capture(현재 Lightspeed에서 얼리 액세스 중)는 우회 감지에 사용되는 동일한 도우미 확장 프로그램을 통해 ChatGPT, Gemini 및 Copilot에서 프롬프트와 응답을 기록합니다. 이를 통해 대부분의 K-12 IT 팀은 직원과 학생들이 AI 도구에 실제로 무엇을 붙여넣는지, 특히 바쁜 직원들이 생각 없이 붙여넣는 민감한 학생 데이터까지 확인할 수 있게 됩니다.
오프 네트워크 사각지대
대부분의 교육구에 적용 가능한 실용적인 도입 순서:
- 헬퍼 확장 프로그램을 배포하세요 관리 환경에서 Chrome 및 Edge로 이동합니다.
- 모니터링 전용 모드에서 실시간 바이패스 감지 기능을 활성화합니다. 최소 2주 동안 관찰해 보세요. 아무에게도 피해를 주지 않고 실제로 어떤 것들이 새어나가는지 알 수 있을 겁니다.
- 보고서를 검토하세요. RTD가 초기 단계에서 보여주는 상당 부분은 우회 교통처럼 보이는 합법적인 교통량입니다. 처음 몇 주는 단속이 아닌 보정 단계입니다.
- 자동 차단 기능을 선택적으로 활성화하세요. 오탐으로 인한 피해가 가장 적은 범주부터 시작하세요.
- 정책별로 AI 프롬프트 캡처를 추가합니다. 이를 통해 인공지능 정책을 수립하기 전에 인공지능이 어떻게 활용되고 있는지 확인할 수 있습니다.
K-12 IT의 핵심 요약
2026년의 학생 우회 방식은 대부분의 필터링 제품이 탐지하도록 설계된 것보다 더 빠르고 정교하며 위험합니다. 하지만 다행히도 탐지 기술은 이러한 변화에 발맞춰 발전했습니다. 기존 분류 체계에 기기 내 행동 기반 스캔 기능을 추가하면 AWS 호스팅 프록시, AI 기반 사이트, 게임 통합 사이트 등이 악용하는 허점을 메울 수 있을 뿐 아니라, AI 공급업체조차 제공하지 않는 AI 사용 현황에 대한 가시성까지 확보할 수 있습니다.
Lightspeed 고객이시라면 실시간 우회 감지 및 AI 프롬프트 캡처 기능을 지금 바로 얼리 액세스로 이용하실 수 있습니다. 솔루션 엔지니어에게 문의하여 기능을 추가해 달라고 요청하시거나, 이 게시물에 댓글을 남겨주시면 담당자를 안내해 드리겠습니다.
자주 묻는 질문
학생들이 학교 웹 필터를 우회하는 가장 일반적인 방법은 무엇입니까?
현재 가장 일반적인 방법은 신뢰할 수 있는 인프라(AWS S3, Google Sites)에 호스팅된 프록시 페이지, 분류 후 콘텐츠를 교체하는 AI 생성 가짜 교육 사이트, Discord 및 YouTube 디렉토리를 통해 배포되는 게임 타일 모음 사이트입니다.
학생들은 여전히 VPN을 사용하여 학교 필터를 우회할 수 있습니까?
일부는 그렇지만, 더 큰 문제는 우회 디렉토리에 광고되는 많은 "VPN 다운로드"가 실제로는 악성 프로그램이라는 점입니다. Lightspeed의 RTD telemetry는 VPN 도구로 위장한 악성 프로그램으로 리디렉션되는 우회 사이트들을 집단적으로 식별했습니다.
K-12 IT 부서에서는 왜 AWS나 Google Sites를 차단할 수 없는 걸까요?
둘 다 정상적인 수업 운영에 필수적이며, 이를 차단하면 수업이 중단됩니다. 올바른 접근 방식은 상위 도메인을 건드리지 않고 특정 프록시 또는 게임 통합 페이지만 표시하는 기기 내 행동 기반 감지입니다.
인공지능이 생성한 가짜 교육 사이트를 어떻게 막을 수 있을까요?
콘텐츠 변경 시 페이지를 재검사하는 실시간 기기 내 스캔 기능. 카테고리 분류는 여전히 중요하지만, 무한정으로 분류된 콘텐츠를 신뢰하지 않는 실시간 보안 계층과 결합되어야 합니다.
기기 내 바이패스 감지 기능이 학생용 크롬북의 속도를 저하시키나요?
Lightspeed는 성능 저하가 발생하지 않도록 2019년형 크롬북에서 감지 기능을 설계하고 테스트했습니다. 이미지 흐림 처리 구성 요소는 저사양 하드웨어에 최적화된 온디바이스 MobileNet 모델을 사용합니다.
학교는 학생들의 AI 사용 현황을 어떻게 파악할 수 있을까요?
현재 AI 공급업체들은 감사 추적 기능을 제공하지 않습니다. 현재로서는 브라우저 기반 프롬프트 캡처(예: Lightspeed의 AI Prompt Capture)를 사용하는 것이 학생과 교직원이 ChatGPT, Gemini 및 Copilot에 어떤 질문을 하는지 확인할 수 있는 유일한 방법입니다.
학생들이 당신의 선발 과정을 어떻게 통과하는지 알고 계십니까?
14일간의 무음 감지 시범 운영을 시작하여 관할 지역 전체의 우회 운행 현황을 파악하세요. 아무런 지장도 없고, 설정도 필요 없으며, 의무도 없습니다.
