웹 애플리케이션 배포 플랫폼인 베르셀(Vercel)이 최근 보안 침해를 겪었으며, 공격 경로가 ‘타사(third-party) AI 도구’의 손상된 상태와 연결돼 있을 가능성이 제기됐다. 더버지(The Verge)에 따르면 베르셀은 이번 사건이 자사 고객의 “제한된 하위 집합(limited subset)”에 영향을 미쳤다고 밝히면서도, 공격이 어떻게 시작됐는지에 대해 “제3자 AI 도구가 침해된 것”에서 비롯됐다고 설명했다. 베르셀은 관리자들이 활동 로그를 점검하고, 환경변수(environment variables)를 검토·교체하라고 권고했다.
무슨 일이 벌어졌나: 직원 정보·활동 타임스탬프 유통 시도
이번 침해와 관련해 온라인에는 내부 정보로 보이는 데이터가 판매·유통되는 정황이 등장했다. 더버지는 공격자가 자신을 ShinyHunters라고 주장하는 글을 온라인에 올렸고, 그 안에 직원 이름, 이메일 주소, 활동 타임스탬프 등 정보가 포함돼 있었다고 전했다. ShinyHunters는 최근 록스타 게임즈(Rockstar Games) 해킹으로도 언급된 바 있어, 이번 사안이 단순한 오탐이 아니라는 우려를 키웠다.
베르셀은 X(트위터) 게시물에서 “보안 사고(security incident)”를 확인하고, 영향 범위를 축소해 설명했다. 구체적으로는 모든 고객이 아니라, 특정 조건을 만족하는 일부 고객군만 영향권에 들었을 수 있다고 했다. 다만 공격 규모의 정확한 윤곽은 추가 조사 결과에 달려 있다.
핵심 단서: ‘제3자 AI 도구’의 구글 워크스페이스 OAuth 앱 침해
베르셀의 보안 공지에 따르면 이번 공격은 제3자 AI 도구를 통해 이뤄졌고, 이 도구의 구글 워크스페이스(Google Workspace) OAuth 앱이 더 큰 범위의 침해 대상이었을 수 있다고 한다. 즉, 직접적인 베르셀 시스템 침입이 아니라 제3자 연동 권한(승인·토큰)을 악용한 방식일 가능성이 제기된 것이다.
베르셀은 영향을 받은 환경을 점검하도록 IOC(Indicators of Compromise, 침해 지표)도 공개했다. 이는 보안 대응팀이나 관리자들이 자신들의 계정·조직 환경에서 이상 징후가 있었는지 검증할 수 있도록 돕는 조치다. 또한 구글 워크스페이스 관리자와 계정 소유자에게 해당 앱 사용 여부를 즉시 점검할 것을 권고했다.
이 같은 설명은 최근 보안 업계가 반복해서 지적해온 “공급망형(Supply-chain)·연동형 연쇄 위험”을 다시 한 번 부각한다. 개발 플랫폼과 연결되는 외부 도구가 손상되면, 본래의 서비스 자체보다도 권한 위임, 토큰 탈취, 환경변수 유출 같은 경로로 2차 피해가 발생할 수 있다.
베르셀의 대응: 로그 점검과 환경변수 회전(rotate) 권고
베르셀은 관리자들에게 의심스러운 활동 여부를 확인하기 위해 활동 로그를 검토하라고 권고했다. 더 나아가 API 키, 토큰, 기타 민감 정보가 노출됐을 가능성에 대비해 환경변수 검토 및 교체(rotate)를 추가 안전장치로 제시했다.
다만 이번 사건에서 실제로 어떤 데이터가 어떤 고객에게 얼마나 노출됐는지의 세부 범위는 공개된 정보만으로는 확정하기 어렵다. 더버지는 베르셀 공지에서 “영향받은 고객이 제한적”이라고 밝힌 점을 전하면서, 공격 대상과 노출 범위를 좁혀 파악하는 과정이 진행 중임을 시사했다.
개발 플랫폼 보안의 ‘제3자 의존’이 드러낸 취약 지점
이번 사안은 베르셀과 같은 플랫폼이 단지 코드 호스팅·배포 기능만 제공하는 게 아니라, 다양한 외부 도구·자동화·AI 연동을 통해 개발 워크플로를 확장한다는 점에서 의미가 크다. 즉, 플랫폼의 보안 통제가 강하더라도 그 통제가 미치지 않는 구간—예를 들어 제3자 AI 도구의 권한 승인 과정, 해당 도구의 OAuth 연동—에서 문제가 생기면 위험이 플랫폼 전체로 확산될 수 있다.
보안 관점에서 특히 주목해야 할 대목은 “구글 워크스페이스 OAuth 앱 침해”라는 부분이다. OAuth는 계정과 권한을 위임하는 표준이지만, 잘못된 승인 상태나 탈취된 토큰이 남아 있으면 공격자가 간접적으로 내부 자원에 접근할 여지를 만들 수 있다. 따라서 관리자들은 단순히 플랫폼 설정 변경뿐 아니라, 연동 앱의 승인 상태와 토큰 유효 기간 같은 운영적 점검까지 수행해야 한다.
무엇을 지켜봐야 하나: IOC 검증, 연동 앱 정리, 추가 공지
향후 관건은 두 가지다. 첫째, 베르셀이 공개한 IOC를 기반으로 실제 침해 여부를 빠르게 판별하는 작업이다. 고객사는 활동 로그에서 이상 징후가 확인되는지, 그리고 환경변수 회전 조치가 필요한지에 대한 결론을 내릴 수 있어야 한다.
둘째, 이번 사건과 관련된 제3자 AI 도구가 정확히 무엇인지와, 그 도구가 어떤 방식으로 OAuth 승인을 받았는지에 대한 구체 정보가 추가로 공개될 가능성이 있다. 더버지는 베르셀이 어떤 제3자가 포함됐는지는 명시하지 않았다고 전했다. 만약 이후 업데이트에서 도구 특정과 영향 범위가 드러나면, 유사한 연동을 사용하는 다른 개발팀·기업에도 연쇄 점검이 필요해질 수 있다.
베르셀 해킹은 단발성 사건을 넘어, 개발 생태계 전반에서 “AI 및 자동화 도구의 연동”이 늘어나는 만큼 보안 책임의 범위가 더 복잡해지고 있음을 보여주는 사례로 남을 가능성이 크다.
—CONTENT—
댓글