수백만 개발자 쓰는 Vercel 해킹 비상 사태…개발자가 당장 조치해야 할 '네 가지'

팩트Vercel(버셀)이 2026년 4월 20일 공식 보안 공고를 게재해 내부 시스템 무단 접근 사실을 확인했습니다. 사고 경로는 버셀 직원이 제3자 AI 도구 Context AI를 개인 자격으로 설치하고 기업 이메일로 가입한 뒤 구글 워크스페이스 계정에 '전체 허용(Allow All)' 권한을 부여한 것입니다.

팩트공격자는 Context AI의 OAuth 토큰을 장악해 해당 직원 구글 계정을 탈취했습니다. OAuth는 주로 구글 이메일 로그인 기능에 사용됩니다. 이후 버셀 내부 시스템과 '민감(sensitive)'으로 분류되지 않은 환경 변수에 접근했습니다.

팩트버셀은 미국 샌프란시스코 소재 클라우드 앱 배포 플랫폼입니다. 자사가 개발한 오픈소스 프레임워크 Next.js로 웹·앱 배포 시장을 장악했습니다. 개인 개발자에서부터 빅테크에 이르기까지 수많은 기업이 Next.js 생태계를 기반으로 서비스를 운영합니다. 전 세계 수백만 개발자가 Vercel 인프라 위에서 서비스를 구축합니다.

팩트사고의 근원은 2026년 2월로 거슬러 올라갑니다. 보안업체 허드슨 록(Hudson Rock)은 Context AI 직원 한 명이 2026년 2월 'Lumma Stealer' 악성코드에 감염됐다고 밝혔습니다. 이에 따르면, 해당 직원은 Roblox 게임 치트 스크립트를 내려받다가 감염됐습니다. 탈취된 자격증명에는 구글 워크스페이스뿐 아니라 Supabase, Datadog, Authkit 키도 포함됐습니다. Context AI는 3월 자사 AWS 환경 침해를 확인했으나 당시 공개 공시를 하지 않았습니다.

교차검증테크크런치(TechCrunch)는 4월 20일 보도에서 사이버 범죄 포럼에 고객 API 키·소스 코드·데이터베이스 데이터 판매 게시물이 올라왔다고 전했습니다. 판매자는 ShinyHunters 해킹 그룹을 자칭했고 요구 금액은 200만 달러입니다. 다만 ShinyHunters 측은 보안 전문 매체 블리핑컴퓨터(Bleeping Computer)에 이번 사고와 무관하다고 부인했습니다. 공격자 신원은 확인되지 않았습니다.

팩트버셀은 사고 규모를 일부 고객에게 영향이 미칠 수 있다고 밝혔습니다. 버셀은 사이버보안 전문업체 맨디언트(Mandiant)와 공동 조사 중이며 법 집행기관에도 신고했습니다. '민감'으로 분류된 환경 변수는 접근된 증거가 없다고 했습니다.

주장이번 사고 진입로는 검증되지 않은 OAuth 앱과 과도한 권한 부여입니다. 직원 한 명이 기업 계정에 'Allow All' 권한으로 제3자 앱을 연결한 것만으로 내부 인프라 전체가 노출됐습니다.

주장버셀의 방화벽 등 보안을 뚫은 게 아니라 서드 파티 앱을 통한 공급망 해킹 방식으로 단 한 번의 침투가 광범위한 연쇄 피해로 이어지는 구조입니다.

팩트버셀 최고경영자 기예르모 라우크(Guillermo Rauch)는 X에서 '비민감(non-sensitive)'으로 표시된 모든 키와 자격증명을 즉시 교체하라고 당부했습니다.

팩트버셀이 공개한 침해 지표(IoC)는 문제가 된 OAuth 앱 ID '110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com'입니다. 구글 워크스페이스 관리자와 구글 계정 소유자는 해당 앱의 접근 기록을 즉시 점검해야 합니다.

주장Vercel 이용자가 지금 취해야 할 조치는 네 단계입니다. 첫째, 환경 변수 전수 점검 후 '민감'으로 분류되지 않은 API 키·데이터베이스 자격증명·서명 키를 모두 교체해야 합니다.

주장버셀은 "프로젝트나 계정 삭제만으로는 위험이 사라지지 않는다"고 명시했습니다. 버셀 계정을 삭제해도 이미 탈취된 키는 외부 서비스에서 그대로 작동합니다. 키 자체를 해당 서비스에서 직접 교체해야 합니다.

주장둘째, 버셀 계정에 2단계 인증(2FA)을 즉시 활성화해야 합니다.셋째, 계정 활동 로그와 최근 배포 이력을 검토해 비정상 접근 흔적을 확인해야 합니다.

주장넷째, 버셀의 공식 권고 조치에는 포함되지 않았지만 환경 변수 중 암호화 키와 복호화 키가 저장된 경우 기존의 DB를 마이그레이션해 기존의 키로 복호화를 한 뒤 새 키로 재암호화해 DB에 넣어야 합니다. 이는 리스크가 큰 작업입니다.

주장조치를 미루면 연쇄 피해가 현실화됩니다. 탈취된 API 키가 데이터베이스·결제 게이트웨이·클라우드 스토리지 접근 권한을 담고 있을 경우 공격자는 외부 시스템까지 장악할 수 있습니다.

주장무단 서비스 이용으로 인한 과금, 고객 데이터 유출, 서비스 중단이 잇따를 수 있습니다. 자격증명 교체는 보안 조치 중 비용이 가장 낮고 효과가 즉각적입니다.

출처Vercel 공식 보안 공고 'Vercel April 2026 security incident', 2026년 4월 20일 게재. TechCrunch, "App host Vercel says it was hacked and customer data stolen", Zack Whittaker, 2026년 4월 20일 보도. Hudson Rock, InfoStealers.com, 2026년 4월 20일 보도.