Vercel 침해사고 확대… 고객 데이터 유출, 4월 사고 이전 정황

Vercel 사안은 직원 계정 1건 탈취로 끝나지 않았다. TechCrunch 보도에 따르면 고객 데이터 유출 일부는 회사가 4월 초 사고를 공개하기 전부터 이어진 정황이 확인됐다. 일정이 늘어났고, 침해 경로도 하나만이 아닐 가능성이 커졌다.

더 중요한 건 Vercel 보안 공지가 직접 적어놓은 내용이다. 로그와 환경변수 읽기 이벤트를 넓게 다시 본 결과, 4월 2026 사고로 추가 침해된 계정이 소수 더 나왔고, 별도로 그 사고와 구분되는 고객 계정 침해 흔적도 소수 확인됐다. Vercel은 이 별도 사례가 자사 시스템에서 시작된 것으로 보이지는 않는다고 설명했다. 그래도 고객 입장에서는 원래 생각한 시점보다 더 일찍 비밀값이 노출됐을 수 있다는 뜻이다.

회사는 공격 출발점으로 Context.ai를 지목했다. 공격자는 Vercel 직원이 쓰던 제3자 AI 도구 Context.ai를 먼저 손상시킨 뒤, 그 직원의 Google Workspace 계정을 탈취하고 Vercel 시스템으로 피벗했다. 이후 민감 표시가 없는 환경변수를 열람하고 복호화했다. CEO 기예르모 라우흐도 공격자가 토큰과 키를 노리는 악성코드를 사용했을 가능성을 언급했다.

엔지니어링 팀이 봐야 할 대목은 두 가지다. 첫째, Vercel은 아직 영향 고객 수와 별도 침해가 언제부터 시작됐는지 밝히지 않았다. 둘째, 삭제만으로 끝나지 않는다고 직접 경고했다. 민감 표시가 없는 환경변수는 우선 회전하고, 활동 로그와 최근 배포를 다시 보고, MFA와 Deployment Protection 설정도 점검하라는 게 회사 권고다.

이 사건은 클라우드 침해가 어떤 모양으로 오는지를 보여준다. 대형 장애보다 먼저 터지는 것은 토큰, API 키, 환경변수다. 여러 서비스에 재사용되는 자격증명이 빠져나가면 피해 범위는 한 벤더 안에 머물지 않는다. Vercel을 쓰는 팀이라면 지금은 서비스 장애보다 자격증명 노출 사고로 먼저 다뤄야 한다.