미국에 본사를 둔 웹 애플리케이션 배포 및 운영 서비스를 전문으로 제공하는 프로그래머를 위한 클라우드 컴퓨팅 플랫폼인 Vercel은 데이터 유출 사고를 확인하여 제3자의 인공 지능(AI) 도구를 통한 공급망 공격 추세에 대한 우려를 불러일으켰습니다.
소수의 고객만 영향을 받았지만, 이 사건은 AI 시대에 사이버 공격의 정교함이 점점 더 증가하고 있음을 보여줍니다.
Vercel에 따르면 해커는 Context AI라는 외부 AI 도구의 취약점을 이용하여 내부 시스템에 침입했습니다.
시작점은 직원의 Google Workspace 계정이 점령된 것으로, 공격자는 Vercel 환경에 대한 액세스 권한을 확장했습니다.
주목할 만한 점은 해커가 민감한 데이터로 간주되지 않는 시스템 설정을 이용하여 정보에 액세스하고 가져갔다는 것입니다. 중요한 데이터는 종종 암호화되지만 보안 라벨이 없는 시스템 구성 정보는 공격자가 더 많은 정보를 수집하는 데 도움이 되는 약점이 됩니다.
회사 대표는 이것이 핵심 암호화 시스템의 오류가 아니라 구성 방식의 취약점이라고 밝혔습니다.
Vercel은 React 라이브러리를 기반으로 개발된 인기 있는 오픈 소스 도구 세트인 Next. js의 배후에 있으며, 웹사이트 및 웹 애플리케이션을 더 빠르고 효율적으로 구축하는 데 도움이 됩니다.
이 플랫폼은 수백만 명의 프로그래머에게 서버리스 인프라, 엔드 컴퓨팅 및 CI/CD 프로세스를 제공합니다.
따라서 어떤 사고든 소프트웨어 개발 생태계에 광범위한 영향을 미칠 수 있습니다.
베르셀의 CEO인 기예르모 라우치는 공격 그룹이 수준이 높고 AI의 지원을 받았을 수 있다고 말했습니다.
기예르모 라우흐는 소셜 네트워크 X에 "그들은 놀라운 속도로 행동하고 우리 시스템에 대해 깊이 이해하고 있습니다."라고 썼습니다.
회사는 사고 대응 전문가를 동원하고 법 집행 기관에 통보했습니다.
사고 후 Vercel은 환경 변수 관리 제어판 개선 및 고객에게 민감한 데이터 재검토 권장 등 보안 강화 조치를 신속하게 시행했습니다. 회사는 또한 핵심 서비스와 오픈 소스 프로젝트가 여전히 안전하다고 확인했습니다.
이번 사건은 오픈 소스 AI 프로젝트가 지속적으로 공격 목표가 되는 상황에서 발생했습니다.
LiteLLM 또는 Trivy와 같은 소프트웨어 도구도 유사한 사고를 기록한 적이 있으며, 해커가 기업을 직접 공격하지 않고 그들이 의존하는 도구 체인을 목표로 하는 새로운 추세를 보여줍니다.
또 다른 주목할 만한 발전은 해커 그룹 ShinyHunters가 책임을 인정하고 도난당한 데이터를 판매했다는 것입니다.
보고서에 따르면 이 그룹은 API 키, 소스 코드 및 내부 데이터를 소유하고 있다고 주장하며 최대 200만 달러의 몸값 요구를 했습니다. 그러나 현재까지 이 사건에서 이 그룹의 역할에 대한 공식적인 확인은 없습니다.
전문가들은 AI가 소프트웨어 개발 프로세스에 점점 더 깊이 통합됨에 따라 보안 경계도 더욱 복잡해지고 있다고 경고합니다.
생산성을 높이는 데 사용되는 제3자 도구는 엄격하게 통제되지 않으면 의도치 않게 공격의 "관문"이 될 수 있습니다.
Vercel의 사고는 보안이 주요 시스템뿐만 아니라 관련 도구 체인 전체에 있다는 것을 상기시켜 줍니다. AI 시대에는 단 하나의 약한 연결 고리만으로도 생태계 전체에 위험을 초래하기에 충분합니다.
