베르셀의 CEO는 최근 내부 시스템 침해로 고객 자격 증명이 유출된 보안 사고의 배후에 "매우 정교한", 잠재적으로 인공지능(AI)을 이용한 해킹 그룹이 있다고 밝혔습니다.
"우리는 공격 그룹이 매우 정교하며, 인공지능(AI)을 이용해 공격 속도를 크게 높였을 것으로 강력히 의심합니다."라고 CEO 기예르모 라우흐는 트위터를 통해 밝히며, 공격자들이 "놀라운 속도와 베르셀에 대한 깊이 있는 이해도를 바탕으로 움직였다"고 덧붙였습니다.
개발자용 클라우드 플랫폼 업체인 해당 회사는 일요일, 일부 내부 시스템에 대한 무단 접근을 확인했으며 적극적으로 조사 중이라고 밝혔습니다 . 이번 사건은 계정 정보가 유출된 일부 고객에게 영향을 미쳤으며, 이에 따라 회사 측은 해당 고객들에게 즉시 계정 정보를 변경할 것을 권고했습니다.
이번 침해는 Vercel 직원이 사용하던 타사 AI 도구인 Context.ai가 해킹당하면서 시작되었으며, 공격자들은 이를 통해 해당 직원의 Google Workspace 계정을 탈취하고 일부 Vercel 환경 및 민감하지 않은 환경 변수에 접근할 수 있었습니다.
이번 공개는 타사 통합 및 AI 기반 도구로 인한 보안 위험에 대한 우려가 커지고 있음을 보여줍니다. 공격자들이 공급망 취약점을 악용하여 조직 내부에 침투하려는 사례가 증가하고 있기 때문입니다.
CertiK의 선임 블록체인 보안 연구원인 나탈리 뉴슨은 Decrypt와의 인터뷰에서 이번 사건이 특히 암호화폐 개발자들 사이에서 경각심을 불러일으켰다고 말했습니다. 그녀는 "많은 암호화폐 프런트엔드가 UI 호스팅에 Vercel을 사용하기 때문에, 침해 사고가 발생하면 공격자가 지갑 탈취 악성코드를 심어놓을 수 있습니다. 신뢰받는 페이지를 이용하는 사용자는 악의적인 일이 발생할 것이라고 예상하지 못할 것입니다."라고 말하며, "암호화폐 업계의 취약점은 상당한 금전적 손실 로 이어질 수 있습니다."라고 덧붙였습니다.
스마트 계약이 안전하다고 하더라도 프런트엔드 공격은 여전히 위험을 내포하고 있습니다. 그녀는 "프런트엔드 공격은 최종 사용자에게 특히 큰 피해를 줄 수 있다"며, 지난 4월 한 사용자의 지갑에서 31만 6천 달러가 인출된 CoW 스왑 사건을 예로 들었습니다.
그녀는 에이전트형 AI 의 증가 추세로 인해 많은 사용자들이 생산성 향상을 위한 최신 앱과 확장 프로그램을 공유하고 있으며, 악의적인 공격자들이 이러한 추세를 악용하고 있다고 말했습니다. "기업들은 새로운 AI 앱과 확장 프로그램을 사용할 때 각별히 주의해야 하며, 내부 보안 모델을 검토하여 침해 사고 발생 시 피해를 최소화해야 합니다."라고 그녀는 강조했습니다.
라우흐는 이번 공격이 직원 계정 해킹을 시작으로 내부 환경 전반에 대한 접근 권한 확보로 이어지는 "일련의 전략"을 통해 전개되었다고 밝혔습니다. 버셀은 고객 환경 변수를 암호화하여 저장하지만, 일부 변수는 민감하지 않은 정보로 표시해 두는데, 공격자들은 이러한 변수에 접근할 수 있었습니다.
회사 측은 영향을 받는 고객 수가 제한적일 것으로 예상하며, 잠재적 영향 대상 고객에게 우선적으로 연락을 취했다고 밝혔습니다. 버셀은 이후 추가적인 모니터링 및 보호 조치를 시행하는 한편, Next.js 및 Turbopack과 같은 프로젝트의 안전을 보장하기 위해 공급망을 재검토하고 있습니다.
Nillion의 CEO인 존 우즈는 Decrypt와의 인터뷰에서 "제한된 하위 집합"이라는 표현은 일반적으로 현재까지 영향을 받은 고객 수가 제한적이라는 의미이지만, 더 광범위한 내부 확산이나 하위 시스템 전반에 걸친 위험을 배제하는 것은 아니라고 설명했습니다. 우즈는 "최신 클라우드 플랫폼에서 파급 효과는 처음에 눈에 띄게 영향을 받은 고객 수뿐만 아니라, 침해된 시스템이 백그라운드에서 어떤 시스템까지 영향을 미칠 수 있는지에 대한 것이기도 하다"라고 덧붙였습니다.
그는 기업들이 이러한 상황을 피하기 위해 다양한 모범 사례를 따를 것을 권고했습니다. "OAuth 권한 부여를 강화하고, 최소 권한 원칙을 준수하며, 민감한 환경 변수에 대한 엄격한 통제를 시행하고, 프런트엔드 배포와 비밀 키 또는 서명 권한을 분리하고, 배포 및 로그를 면밀히 모니터링해야 합니다."라고 그는 말했습니다.
그는 "자격 증명이 유출되었을 가능성이 있는 모든 사용자의 최우선 과제는 접근 권한을 취소하고, 자격 증명을 교체하며, 해당 자격 증명이 접근 가능한 모든 시스템을 검토하는 것"이라고 덧붙이며, "더 나아가, 이번 사태를 통해 얻을 수 있는 교훈은 한 번의 침해로 너무 많은 시스템에 영향을 미칠 수 있는 아키텍처를 피해야 한다는 것"이라고 강조했습니다.
이번 공격의 배후가 누구인지는 아직 불분명합니다. 해킹 그룹 "ShinyHunters"라는 닉네임을 사용하는 한 사용자가 포럼에서 Vercel을 해킹했으며 소스 코드, API 키, 내부 시스템 등 회사 데이터에 대한 접근 권한을 판매한다고 주장하는 스크린샷이 공개되었습니다.
샤이니헌터스를 사칭했을 가능성이 있는 이 배우는 해당 회사와 200만 달러의 몸값 요구에 대해 논의했다고 주장했습니다. 베르셀은 이러한 주장에 대한 확인 요청에 즉시 응답하지 않았습니다.
