보안정보

Data BreachOAuthVercel

Vercel 보안 사고 발생, 공격자 데이터 판매 주장

분석팀 2026.04.20



클라우드 개발 플랫폼 버셀(Vercel)이 보안 사고를 공식 인정했다.


이번 사건은 공격자가 버셀(Vercel)의 시스템을 침해하고, 탈취한 데이터를 판매하려 시도하면서 드러났다.


Vercel은 개발자를 위한 호스팅 및 배포 인프라를 제공하는 클라우드 플랫폼이다.


특히 JavaScript 프레임워크에 중점을 두고 있다. 


또한 Next.js 개발사로 알려져 있다.


개발자들이 애플리케이션을 구축, 미리 보기 및 배포할 수 있도록 다양한 서비스를 제공한다.


여기에는 서버리스 함수, 엣지 컴퓨팅, CI/CD 파이프라인 등이 포함된다. 


회사 측에서 발표한 보안 공지에 따르면, 일부 고객만 영향을 받았다고 밝혔다.


또한 특정 내부 시스템에 대한 무단 접근이 발생한 것으로 확인됐다고 경고했다. 


현재 적극적으로 조사 중이며, 사고 대응 전문가를 투입하여 조사 및 복구 작업을 진행하고 있다. 


법 집행 기관에도 통보하였으며, 조사가 진행되는 대로 해당 페이지에 업데이트하겠다고 덧붙였다.


회사 측은 서비스 자체에는 영향이 없으며, 영향을 받은 고객과 협력하고 있다고 밝혔다. 


이에 대한 보안 대응 조치도 안내됐다.

- 환경 변수 점검

- 민감 정보 설정 기능 사용

- 비밀값(Secrets) 교체


회사 측은 보안 권고 사항을 업데이트하여, 이번 사고에 대한 추가 조사 결과를 공개했다.


이는 타사 AI 도구의 Google Workspace OAuth 애플리케이션이 손상된 데에서 비롯되었다.


버셀(Vercel)은 Google Workspace 관리자와 Google 계정 소유자에게 다음 애플리케이션을 확인해 볼 것을 권고했다.


OAuth App: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com


한 보안 연구진에 따르면, 최초 접근은 한 직원의 Google Workspace 계정이 AI 플랫폼 Context.ai의 침해로 인해 손상된 후 발생했다.


이후 공격자는 탈취한 계정을 통해 내부 환경으로 접근 권한을 확대했다. 


그곳에서 민감한 정보로 표시되지 않아, 저장 시 암호화되지 않은 환경 변수에 접근한 것으로 확인됐다.


본래는 민감하지 않은 정보를 담기 위한 것이었지만, 이 경우에는 공격자들이 추가적인 접근 권한을 얻을 수 있도록 하는 정보가 포함되어 있었다. 


회사 측은 모든 고객 환경 변수는 기본적으로 암호화된다고 밝혔다.


핵심 시스템과 고객 데이터를 보호하기 위해, 다양한 심층 방어 메커니즘을 갖추고 있다고 덧붙였다. 


회사 측은 "환경 변수를 ‘비민감(non-sensitive)’으로 지정할 수 있는 기능이 존재한다"고 밝혔다.


이어 "공격자는 해당 항목을 열거하는 과정에서 추가 접근 권한을 확보한 것으로 보인다"고 설명했다.


또한 조사 결과 Next.js, Turbopack 등 주요 오픈소스 프로젝트는 영향을 받지 않은 것으로 확인됐다.


회사 측은 환경 변수 개요 페이지와 민감한 환경 변수 관리를 위한 개선된 인터페이스를 포함하여 대시보드를 업데이트했다. 


고객에게는 다음과 같은 추가 조치가 권고됐다.

- 민감한 정보가 포함된 환경 변수 재검토

- 해당 정보가 저장 시 암호화되도록, 민감 변수 기능 활성화


이번 공개는 "ShinyHunters"라고 주장하는 한 해킹 공격자가 해킹 포럼에 게시글을 올려 밝혀졌다.


해당 게시글에는 버셀(Vercel)을 해킹했으며, 회사 데이터에 대한 접근 권한을 판매하고 있다는 내용이 포함됐다. 


다만 해당 그룹은 연관성을 부인한 것으로 알려졌다.


해당 포럼 게시글에서 공격자는 다음 정보를 판매한다고 주장했다.

- 액세스 키 

- 소스 코드

- 데이터베이스 정보

- API 키

- 내부 배포 환경


또한 접근 권한에는 여러 내부 배포판에 접근할 수 있는 여러 직원 계정, API 키(NPM 토큰과 GitHub 토큰 등) 등이 포함된다고 적혀있었다. 




[그림 1. 텔레그램에서 공격자가 공유한 포럼 게시물의 스크린샷]



공격자는 또한 버셀(Vercel) 직원 정보가 담긴 텍스트 파일을 공개했다.


해당 파일에는 이름, 버셀 이메일 주소, 계정 상태 및 활동 타임스탬프를 토함한 약 580건의 데이터가 존재했다. 


또한 Vercel Enterprise 내부 대시보드로 추정되는 화면 캡처 이미지도 공유됐다.


다만 해당 자료의 진위 여부는 확인되지 않았다.


텔레그램을 통해 공유된 메시지에서, 공격자는 해당 사건과 관련하여 회사와 접촉했으며 200만 달러의 몸값 요구에 대해 논의했다고 주장했다. 




출처

https://www.bleepingcomputer.com/news/security/vercel-confirms-breach-as-hackers-claim-to-be-selling-stolen-data/

목록