Vercel, 인포스틸러(Infostealer) 감염으로 인한 공급망 공격 발생

사고는 서드파티(Context.ai) 직원의 Lumma stealer 감염에서 시작되었다. 해당 직원은 Roblox 자동 파밍 스크립트(Roblox auto-farm scripts)를 다운로드했으며, 이로 인해 Google Workspace를 포함한 다수의 기업 자격 증명이 탈취되었다. 특히, 이 직원은 Vercel 팀의 핵심 멤버였으며, 탈취된 자격 증명은 Vercel의 환경 변수(Environment Variables), 설정(Settings), 로그(Logs)에 대한 접근 권한을 부여했다.

감염된 시스템에서 탈취된 자격 증명은 Supabase, Datadog, Authkit 등 핵심 시스템에 대한 접근 권한을 제공했다. 이러한 접근 권한은 공격자가 Vercel의 인프라에 침투하여 권한 상승(Privilege Escalation)을 가능하게 했다. 데이터 격리 아키텍처(Data Isolation Architecture) 부재는 공격자가 광범위한 시스템에 접근할 수 있도록 만들었으며, 이는 보안 사고의 심각성을 더욱 증폭시켰다.

공격자는 탈취된 자격 증명을 사용하여 Vercel의 환경 변수(Environment Variables)에 접근했다. 이 환경 변수에는 API 키(API Keys), 배포 설정(Deployment Configurations) 등 민감한 정보가 포함되어 있었다. 이러한 정보 노출은 Vercel 시스템의 추가적인 침해로 이어질 수 있는 심각한 위험을 초래하며, 데이터 미저장 정책(Zero-Retention Policy)의 중요성을 강조한다.

Hudson Rock은 감염된 자격 증명 데이터를 한 달 전에 확보했지만, 신속한 대응이 이루어지지 않아 피해가 발생했다. 만약 인포스틸러(Infostealer) 감염을 조기에 탐지하고 자격 증명을 즉시 폐기했다면, 공급망 공격을 완전히 예방할 수 있었다. 이는 사이버 보안(Cybersecurity)에서 신속한 탐지(Rapid Detection)와 대응(Response)의 중요성을 강조한다.

Vercel과 유사한 공격에 대한 위험을 줄이기 위해, Google Workspace 사용자는 특정 OAuth Client ID를 검색하여 보안 점검을 수행할 수 있다. API Controls 섹션에서 악성 앱에 대한 접근 권한을 확인하고, 해당 앱이 발견될 경우 즉시 접근 권한을 취소해야 한다. 이는 사이버 위협(Cyber Threat)에 대한 사전 예방(Proactive Prevention)의 중요성을 보여준다.