홈으로 돌아가기

Vercel 유출: OAuth 해킹이 환경 변수를 어떻게 침해했는지

타사 AI 플랫폼 계정 침해로 인한 Vercel 보안 사건 분석. 공격 기술 세부 사항, 결과 및 환경 변수와 OAuth 통합 보호를 위한 개발자 권장 사항.

Vercel 해킹: 개발자를 위한 보안 교훈
Advertisement 728x90

# Vercel 보안 사고: OAuth 유출이 환경 변수 노출로 이어진 과정

클라우드 개발 플랫폼 Vercel은 직원 계정이 Google Workspace의 악성 OAuth 앱을 통해 해킹된 후 내부 시스템에 무단 접근이 있었다고 확인했습니다. 이 사고는 타사 AI 플랫폼 Context.ai의 데이터 유출로 인해 발생했으며, 공격자가 기밀 표시되지 않은 환경 변수에 접근할 수 있게 했습니다.

Vercel의 핵심 서비스는 중단 없이 계속 운영되었고 고객 데이터는 암호화되어 그대로 안전하게 보존되었지만, 이번 침해는 비밀 관리의 치명적 취약점과 타사 통합에 대한 과도한 의존을 드러냈습니다. 회사는 즉시 법 집행 기관에 통보하고 외부 인시던트 대응 전문가를 투입했으며, 기밀 변수 제어를 강화하기 위해 대시보드 업데이트를 배포했습니다.

침해가 발생한 과정

공격은 Vercel 직원의 Google Workspace 계정에서 시작되었습니다. 공격자는 이 계정 자격 증명이 AI를 활용해 워크플로를 자동화하는 Context.ai 플랫폼에서 유출된 후 접근 권한을 얻었습니다. 이 계정을 통해 ID 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com을 가진 앱에 대한 OAuth 토큰이 승인되었습니다.

Google AdInline article slot

타사 도구로 제작된 이 앱은 내부 Google Workspace 리소스에 대한 과도한 권한을 가지고 있었습니다. 토큰을 확보한 후 공격자는 Vercel 인프라로 옆길 이동(lateral movement)을 시도해 명시적으로 기밀로 표시되지 않은 환경 변수에 접근했습니다. 이런 경우 Vercel은 저장 시 암호화를 하지 않고 관리자 설정 분류에만 의존합니다.

침해된 내용

해커 포럼 게시물에 따르면 'ShinyHunters'라는 이름의 공격자는 다음 데이터를 판매 중이라고 주장했습니다:

  • API 키 (NPM 및 GitHub 토큰 포함)
  • 내부 Vercel Enterprise 배포에 대한 접근 권한
  • 내부 도구 소스 코드
  • 580명의 직원 기록 데이터베이스 (이름, 회사 이메일, 계정 상태, 활동 타임스탬프)
  • 내부 대시보드 스크린샷

그러나 Vercel은 환경 변수에 대한 부분적 접근만 공식 확인했으며, Next.js나 Turbopack 같은 공개 프로젝트나 고객 데이터 침해는 부인했습니다. 모든 고객 비밀 변수는 암호화되어 접근 불가능합니다.

Google AdInline article slot

Vercel의 개발자 권고 사항

회사는 모든 사용자, 특히 엔터프라이즈 계정 소유자에게 다음 조치를 강력히 권고합니다:

  • Google Workspace에서 승인된 OAuth 앱 목록 확인하고 의심스럽거나 사용하지 않는 앱의 접근 권한 취소.
  • 환경 변수 감사: 모든 민감 데이터(API 키, 토큰, 비밀번호)를 Vercel 대시보드에서 Confidential로 표시.
  • 기밀 변수 검토 기능 활성화, 업데이트된 대시보드에서 이제 사용 가능.
  • 노출 가능성 있는 모든 키와 토큰 순환, 비기밀 변수에 저장된 경우에도.
  • 인프라 접근 계정에 MFA 및 조건부 접근 정책 설정.

DevOps 및 SRE 팀을 위한 교훈

Vercel 사고는 타사 통합으로 인한 신뢰 체인이 얼마나 취약한지를 보여줍니다. 성숙한 다층 인프라에서도 단 하나의 OAuth 토큰 침해만으로 옆길 이동이 가능합니다.

기술 팀을 위한 주요 교훈:

Google AdInline article slot
  • 최소 권한 원칙은 사용자뿐 아니라 OAuth 앱에도 적용해야 합니다. 권한은 절대 최소한으로 제한.
  • 자동 비밀 분류가 수동보다 우월합니다. 기본적으로 암호화되지 않은 변수를 허용하면 거짓 안도감을 줍니다.
  • ID 공급자(예: Google Workspace)에서의 비정상 활동 모니터링은 SOC 전략의 핵심입니다. 비정상 지리 위치, 신규 기기, 대량 API 요청은 즉시 토큰 취소의 적신호입니다.

주요 포인트

  • 유출은 타사 AI 플랫폼 Context.ai를 통한 계정 침해에서 시작.
  • 민감 변수가 Confidential 표시가 없어 데이터 접근 가능.
  • 암호화된 고객 데이터는 침해 없음.
  • Vercel, 비밀 관리 개선을 위한 대시보드 업데이트 배포.
  • 이번 공격은 OAuth 통합과 타사 서비스 신뢰의 위험을 강조.

— Editorial Team

Advertisement 728x90

다음 읽기