Vercel 보안 사고 발생! 지금 당장 해야 할 일은?

본문에 따르면, Vercel 보안 사고는 Context.ai라는 서드파티 AI 도구의 취약점을 통해 시작되었다. 공격자는 Context.ai를 통해 Vercel 직원의 Google Workspace 계정에 접근, OAuth 토큰(OAuth Token)을 탈취했다. 이 토큰을 이용해 Vercel 내부 시스템에 침투, '민감하지 않음'으로 표시된 환경 변수에 접근했다. 특히, OAuth 토큰은 재인증 절차 없이 접근 가능하므로, 한 번 탈취되면 장기간 노출될 위험이 있다. 이는 서드파티 앱의 광범위한 권한(Broad Permissions) 사용의 위험성을 보여준다.

사고 발생 시 가장 먼저 해야 할 일은 Vercel 대시보드에서 '민감하지 않음'으로 표시된 모든 환경 변수를 확인하는 것이다. API 키, 데이터베이스 URL, 토큰 등 실제 자격 증명(Credentials)이 포함된 변수는 즉시 교체해야 한다. 키 교체는 해당 자격 증명을 발급한 서비스에서 새 키를 생성하고, Vercel 환경 변수를 업데이트한 후, 기존 키를 폐기하는 순서로 진행된다. 또한, 2단계 인증(MFA) 활성화 및 서드파티 앱 접근 권한을 검토하여 불필요한 권한을 제거해야 한다.

키 교체는 보안 사고 발생 시 가장 중요한 대응 조치 중 하나이다. 탈취된 자격 증명은 유효 기간 동안 악용될 수 있으므로, 새로운 키를 생성하고 기존 키를 폐기함으로써 공격자의 접근 권한을 무효화해야 한다. 키 교체는 단순히 Vercel 환경 변수를 삭제하는 것이 아니라, 해당 자격 증명을 발급한 서비스에서 기존 키를 폐기하는 과정을 포함한다. 또한, 앞으로는 모든 환경 변수를 '민감함(Sensitive)'으로 표시하여 데이터 암호화(Data Encryption)를 적용해야 한다.

이번 Vercel 보안 사고는 OAuth 토큰을 악용한 공격의 위험성을 보여준다. OAuth 토큰은 사용자가 서드파티 앱에 권한을 위임할 때 발급되며, 한 번 발급되면 재인증 없이 접근이 가능하다는 특징이 있다. 따라서, 서드파티 앱에 과도한 권한을 부여하거나, 신뢰할 수 없는 앱을 사용하는 것은 매우 위험하다. 기업 환경에서는 OAuth 앱 접근 권한을 정기적으로 검토하고, 불필요한 권한은 즉시 폐기해야 한다.

이번 사고를 계기로, 모든 개발팀은 보안 모범 사례를 재점검해야 한다. 서드파티 OAuth 앱의 권한을 최소화하고, 정기적으로 접근 권한을 검토해야 한다. 또한, API 키, 데이터베이스 자격 증명 등 민감한 정보는 항상 암호화(Encryption)하여 저장해야 한다. 자동화된 키 교체 시스템(Automated Key Rotation System)을 도입하여, 정기적인 키 교체를 자동화하는 것도 좋은 방법이다. 마지막으로, 접근 로그를 지속적으로 모니터링하여 이상 징후를 조기에 감지해야 한다.