Contents
see List전 세계 수백만 명의 개발자가 사용하는 Vercel(Next.js 개발사)이 공급망 해킹으로 심각한 피해를 입었습니다. 이번 사건은 단순한 시스템 침해가 아니라, 신뢰받는 AI 도구를 통해 내부 인프라 전체가 무너진 정교한 공격 사례입니다.
공격 경로: AI 도구가 시작점
해커들은 Vercel을 직접 공격하는 대신, 직원들이 업무에 사용하는 AI 코딩 도구인 Context AI를 먼저 해킹했습니다. Context AI는 개발자 생산성을 높이기 위해 GitHub, Google 등 다양한 서비스와 OAuth 연동을 지원하는 도구입니다.
Context AI가 뚫리자, 해커들은 해당 도구에 저장된 OAuth 토큰을 이용해 Vercel 직원들의 Google 계정에 접근할 수 있었습니다. OAuth 토큰은 비밀번호 없이도 계정 접근을 허용하는 인증 방식이기 때문에, 2단계 인증(2FA)조차 무력화되었습니다.
탈취된 정보의 범위
Vercel 직원의 Google 계정이 장악되자, 해커들은 그 안에 저장된 민감한 인증 정보들을 대거 수집했습니다.
- API 키 (내부 서비스 접근용)
- NPM 토큰 (패키지 배포 권한)
- GitHub 토큰 (소스코드 저장소 접근)
이 정보들은 단순한 개인 데이터가 아니라, Vercel의 핵심 개발 파이프라인과 공개 패키지 배포 인프라에 접근할 수 있는 권한 그 자체입니다. NPM 토큰이 유출될 경우 Next.js 등 Vercel이 관리하는 오픈소스 패키지에 악성 코드를 삽입할 수 있는 2차 공급망 공격도 가능합니다.
BreachForums에서 22억원에 판매 시도
탈취한 데이터를 확보한 해커 그룹은 해킹 포럼인 BreachForums에 해당 데이터를 약 22억원(한화 기준)에 판매한다는 글을 올렸습니다. 해당 포럼은 대형 해킹 사건 데이터가 거래되는 것으로 알려진 다크웹 커뮤니티입니다.
공급망 공격이 위험한 이유
이번 사건은 공급망 공격(Supply Chain Attack)의 전형적인 패턴을 따릅니다. 핵심 타깃을 직접 공격하는 대신, 그 타깃과 연결된 더 약한 고리를 먼저 장악하는 방식입니다. AI 도구, SaaS 서비스, 오픈소스 라이브러리 등 현대 개발 환경에서 의존하는 수많은 외부 서비스가 모두 잠재적 공격 벡터가 됩니다.
개발팀이 사용하는 모든 써드파티 도구의 OAuth 권한 범위를 정기적으로 검토하고, 불필요한 접근 권한은 즉시 회수하는 것이 필수적입니다.