Vercel 직원 한 명이 브라우저에 AI 도구 확장 프로그램을 설치했다. 구글 워크스페이스 계정으로 로그인하며 모든 권한 허용 버튼을 눌렀다. 이 단순한 클릭 한 번이 기업의 운영 환경으로 들어오는 고속도로가 됐다.

Context.ai를 통한 4단계 침투 경로

Vercel은 최근 내부 시스템에 무단 접근이 발생했음을 확인했다. Mandiant(보안 컨설팅 기업)가 조사에 투입되었으며 수사 기관에 신고가 접수된 상태다. Vercel은 GitHub, Microsoft, npm(자바스크립트 패키지 관리자), Socket(공급망 보안 플랫폼)과 협력해 Next.js(웹 프레임워크), Turbopack(빌드 도구), AI SDK(AI 개발 키트) 등 자사 발행 패키지에 이상이 없음을 확인했다.

침투의 시작점은 Context.ai(AI 분석 도구)였다. OX Security(보안 분석 기업)의 분석에 따르면 Vercel 직원이 Context.ai 브라우저 확장 프로그램을 설치하고 구글 워크스페이스 계정으로 로그인하며 광범위한 OAuth(제3자 서비스 권한 부여 표준) 권한을 부여했다. 이후 Context.ai가 해킹당하자 공격자는 해당 직원의 워크스페이스 접근 권한을 그대로 이어받았다.

공격 경로는 구체적이다. 2026년 2월, Context.ai 직원 한 명이 로블록스 자동 파밍 스크립트와 게임 익스플로잇 실행기를 다운로드했다. 이 과정에서 Lumma Stealer(정보 탈취형 악성코드)에 감염되었다. 공격자는 이를 통해 구글 워크스페이스 로그인 정보, Supabase(백엔드 서비스 플랫폼) 키, Datadog(인프라 모니터링 도구) 토큰, Authkit(인증 서비스) 자격 증명을 수집했다.

탈취한 권한으로 Context.ai의 AWS 환경에 접속한 공격자는 소비자용 제품인 AI Office Suite의 OAuth 토큰을 훔쳤다. 이 토큰 중 하나가 Vercel 직원의 구글 워크스페이스로 연결되는 문을 열었다. 공격자는 Vercel 운영 환경의 대시보드와 API를 통해 민감하지 않음으로 표시된 환경 변수들을 평문으로 읽어냈고, 이를 통해 고객 자격 증명을 탈취하며 권한을 상승시켰다.

신뢰의 판도를 바꾼 OAuth 갭

기존의 보안 스택은 단말기나 클라우드 인프라의 침입을 막는 데 집중했다. EDR(단말 탐지 및 대응 솔루션)은 기기 내부의 악성코드를 잡고, CASB(클라우드 보안 중개 서비스)는 비정상적인 클라우드 접근을 감시한다. 하지만 이번 사고는 시스템의 취약점이 아니라 사용자가 부여한 신뢰, 즉 OAuth 권한의 틈새를 파고들었다.

공격자는 Vercel의 서버를 직접 해킹하지 않았다. 대신 Vercel 직원이 AI 도구에 부여한 모든 권한 허용 설정을 이용해 정당한 사용자로 위장했다. 대부분의 기업은 제3자 앱에 부여된 OAuth 토큰의 사용 패턴을 실시간으로 모니터링하지 않는다. 승인 워크플로우가 작동하지 않는 지점에서 공격이 이루어졌기에 탐지가 불가능했다.

체류 시간의 공백은 보안 지형의 심각성을 더한다. Context.ai가 AWS 침입을 감지한 것은 3월이었으나 Vercel이 이를 공개한 것은 그로부터 한 달 뒤였다. Trend Micro(글로벌 보안 기업)는 침입 시작 시점이 2024년 6월일 가능성을 제기했다. 만약 이것이 사실이라면 공격자는 약 22개월 동안 Vercel의 내부망에서 보이지 않는 유령처럼 활동한 셈이다.

Vercel은 이번 사고 이후 환경 변수 생성 시 기본값을 민감함으로 설정하는 전략적 포석을 뒀다. 민감하게 표시된 변수는 읽기 불가능한 방식으로 저장되어 탈취를 막기 때문이다. 이는 기술적 패치보다 권한 관리라는 거버넌스 체계를 수정함으로써 피해 범위를 제한하려는 조치다.

이제 기업 보안의 최전선은 방화벽이 아니라 직원이 사용하는 AI 도구의 권한 목록이다.