Vercel 보안 사건 분석 발표: 제3자 AI 도구 침해로 인한 무단 접근 발생, 아직 민감한 데이터 변조 없음

Odaily 보도에 따르면 Vercel은 보안 사건 분석을 공개하며, 일부 내부 시스템이 무단으로 접근당했음을 밝혔습니다. 이는 한 직원이 사용하던 제3자 AI 도구 Context.ai가 침해당해 공격자가 해당 직원의 Google Workspace 계정을 장악하고 일부 환경 구성 데이터에 접근한 것이 원인입니다.

초기 영향으로는 소량의 고객이 '민감'으로 표시되지 않은 환경 변수(예: API 키, 토큰 등)가 유출되었을 가능성이 있으며, 관련 사용자에게 통보하고 자격 증명을 즉시 교체할 것을 권고했습니다. 현재까지 '민감'으로 표시된 데이터나 공급망(예: npm 패키지)이 변조된 증거는 발견되지 않았습니다.

Vercel은 공격자가 높은 기술 수준을 갖추고 있다고 밝히며, Mandiant 및 여러 보안 기관과 협력해 조사를 진행 중이고, 법 집행 기관에도 신고했다고 전했습니다. 또한 플랫폼 서비스는 정상 운영 중임을 강조하면서, 사용자에게 다중 인증 활성화, 잠재적으로 유출된 환경 변수의 전면적 교체, 추가 위험 방지를 위한 계정 활동 로그 및 배포 기록 점검을 공식적으로 권고했습니다.