A Roblox cheat, a month of silence, and an enterprise OAuth breach: what the Vercel incident is really teaching

본 문서는 영어 원본을 기계 번역한 것입니다. 번역본과 영어 원본 사이에 내용이 상충할 경우 영어 원본이 우선합니다. 영어 원본 보기

Roblox 치트, 한 달간의 침묵, 그리고 기업 OAuth 침해: Vercel 사건이 실제로 가르쳐주는 것

2026-04-22 · Caiioo Team

Vercel 침해 사건에서 주목해야 할 세 가지 세부 사항이 있습니다. 이 중 어느 것도 헤드라인은 아니지만, 모두 서드파티 AI 도구 설치에 대한 생각을 바꿔놓을 것입니다.

세부 사항 1: Vercel 침해의 공급망은 Roblox 치트에서 시작되었습니다

Vercel 사건의 공개된 서사는 이렇습니다: Vercel 직원이 Context AI를 설치하고 광범위한 Google Workspace 권한을 부여했고, Context AI가 침해되어 OAuth 토큰이 탈취되었으며, 공격자가 Vercel로 침투했습니다.

이것은 다운스트림 이야기입니다. 업스트림 이야기는 더 기이합니다.

Hudson Rock의 분석에 따르면(현재 Trend Micro, OX Security, Strapi, The Hacker News 등에서 공통적으로 보도하고 있으며 4월 22일 현재 Vercel이나 Context AI 모두 반박하지 않음), 최초의 벡터는 2026년 2월에 개인 기기가 침해된 Context AI 직원이었습니다. 침해 도구는 기성 정보 탈취 프로그램인 Lumma Stealer였습니다. 전달 매체는 보도에 따르면 다운로드된 Roblox "자동 파밍" 게임 익스플로잇이었습니다.

탈취 프로그램은 제 역할을 했습니다. 직원의 Google Workspace 자격 증명과 AWS 액세스 자격 증명을 탈취했습니다. 이러한 자격 증명은 다운스트림의 모든 것을 여는 지렛대가 되었습니다: Context AI의 AWS 환경 접근, Context AI가 일반 사용자를 대신해 보유한 OAuth 토큰 금고 접근, Vercel 직원이 기업용 Google Workspace를 위해 부여한 토큰 접근, 그리고 궁극적으로 Vercel의 내부 환경 및 일부 고객 환경 변수 접근까지 이어졌습니다.

한 직원의 개인 노트북에 설치된 Roblox 치트 하나가, Vercel이 "여러 조직에 걸친 수백 명의 사용자"에게 영향을 미칠 수 있다고 설명하는 기업 OAuth 공급망 침해의 근본 원인이 되었습니다.

교훈은 "Roblox가 나쁘다"는 것이 아닙니다. SaaS-AI 아키텍처에서는 공격 표면이 공급망에 있는 모든 벤더의 모든 직원 개인 기기까지 확장된다는 것입니다. 회사의 엔드포인트 위생이 완벽하더라도, 두 단계 떨어진 벤더의 누군가가 잘못된 파일을 다운로드했다는 이유만으로 침해될 수 있습니다.

세부 사항 2: Context AI는 3월에 알았지만, 단 한 명의 고객에게만 통지했습니다.

context.ai/security-update에 게시되고 2026년 4월 21일에 업데이트된 Context AI의 자체 보안 공지는 다음과 같은 타임라인을 공개합니다:

  • 2026년 3월: Context AI가 중단된 AI Office Suite 제품을 호스팅하는 AWS 환경에 대한 무단 액세스를 감지합니다. CrowdStrike에 포렌식을 의뢰하고, 영향을 받은 환경을 폐기하며, 확인된 피해 고객 한 명에게 통지합니다.
  • 3월에서 4월 19일 사이: "일부" 일반 사용자의 OAuth 토큰이 침해된 상태로 유지됩니다. 추가적인 사용자 통지는 없었으며, 공개 발표도 없었습니다.
  • 2026년 4월 19일: Vercel이 자체 포렌식을 통해 침해의 원인을 Context AI로 추적한 후 보안 사고 공지를 발표합니다.
  • 2026년 4월 21일: Context AI가 추가 사용자 가이드를 포함하여 공지를 업데이트합니다. 나머지 영향을 받은 일반 사용자들에게 통지할 일정은 확정되지 않았습니다.
  • 2026년 4월 22일 (작성 시점): 여전히 통지 일정이 없습니다. 2월에 토큰이 침해된 사람들은 언제, 혹은 통지를 받을 수 있을지조차 알지 못합니다.

이 부분이 기술 팀이 서드파티 AI 도구 설치를 생각하는 방식을 바꿔야 하는 지점입니다. 벤더의 침해 감지가 곧 귀하에 대한 공지를 의미하지는 않습니다.

많은 경우, 귀하가 건네준 OAuth 토큰이 침해에 포함되었더라도 벤더가 서비스 침해 사실을 귀하에게 알려야 할 계약적 또는 규제적 의무가 없습니다. 귀하가 할 수 있는 모든 조치(최소 권한 범위, MFA, 조건부 액세스, 보안 인식 교육)를 다했더라도, 경고를 줄 수 있는 유일한 당사자가 아직 아무 말도 하고 싶어 하지 않기 때문에 몇 달 동안 공격자의 시간표 위에서 놀아날 수 있습니다.

세부 사항 3: Context AI 자체의 제품 분리가 어떤 아키텍처가 살아남는지 확인시켜 줍니다

동일한 Context AI 게시판에는 문서의 나머지 부분보다 더 큰 무게를 지닌 단일 조항이 숨겨져 있습니다.

침해된 제품은 Context AI의 중단된 소비자용 제품인 AI Office Suite였습니다. 현재 기업용 제품인 Bedrock은 영향을 받지 않았습니다. Context AI가 밝힌 이유는 Bedrock이 "고객 환경에서 실행되기 때문"입니다.

동일한 엔지니어링 팀을 가진 동일한 회사가 두 가지 다른 아키텍처로 두 가지 제품을 만들었습니다. 중앙 집중식 클라우드에서 고객을 대신해 OAuth 토큰을 보유했던 SaaS 중개형 제품은 털렸습니다. 데이터 옆에 AI를 두어 고객 환경에서 실행되는 제품은 살아남았습니다. 보안 엔지니어링이 더 뛰어나서가 아니라, 공격자가 접근할 수 있는 중앙 집중식 금고가 없었기 때문입니다.

중앙 집중식 SaaS AI에 구조적 문제가 있다는 Caiioo의 말을 그대로 믿을 필요는 없습니다. Context AI의 자체 제품 라인이 이를 증명합니다.

AI 도구를 평가하는 모든 이들에게 이것이 의미하는 바

보안 연구 커뮤니티(Trend Micro, Varonis, Halborn, OX Security, Strapi)의 공통된 구조적 교훈은 광범위한 "모두 허용" OAuth 범위가 문제의 원인이라는 것입니다. 일단 발행된 토큰은 MFA와 조건부 액세스를 우회합니다. 벤더의 침해는 모든 다운스트림 계정의 침해가 됩니다.

세 가지 시사점은 다음과 같습니다:

  1. 벤더가 제공하는 경우 최소 권한 범위를 선호하십시오. AI 도구가 캘린더 기능을 수행하기 위해 Google Workspace 전체에 대한 읽기-쓰기 권한을 요구한다면, 그 요구 자체가 위험 신호입니다.
  2. 수명이 긴 중앙 집중식 토큰이 아예 필요 없는 아키텍처의 벤더를 선호하십시오. 이것이 구조적인 해결책입니다. OAuth 클라이언트가 본인의 클라우드 프로젝트에 프로비저닝되고 토큰이 본인의 기기에 머무는 BYOA(Bring Your Own Auth) 모델은 신뢰 체인에서 벤더를 완전히 제거합니다.
  3. 벤더의 공지를 조기 경보 시스템으로 신뢰하지 마십시오. 3월 감지, 1개 고객 통지, 4월 21일 업데이트 후에도 여전히 광범위한 사용자 통지 약속이 없는 Context AI의 타임라인은 예외적인 사례가 아닙니다. 이는 엄격한 법적 의무가 없는 상황에서 사고 공지의 경제학이 만들어내는 결과입니다. 귀하의 통제 수단은 벤더가 제때 알려주지 않을 것임을 가정해야 합니다.

Caiioo가 이를 중심으로 구축된 방식

Caiioo는 사이드 패널에서 실행되는 에이전트 오케스트레이터와 채팅 인터페이스를 갖춘 강력한 프라이버시 우선 워크스페이스입니다. 이 아키텍처는 Context AI의 제품 분리가 우연히 확인해 준 것과 동일한 통찰력을 바탕으로 구축되었습니다. 즉, 워크스페이스는 데이터를 옆에 두고 실행되어야 하며, 데이터 옆에 워크스페이스를 두어서는 안 된다는 것입니다.

요약하자면, 사용자의 Workspace OAuth 토큰은 Caiioo 데이터베이스가 아닌 사용자의 기기에 암호화되어 저장됩니다. Gmail/Calendar/Drive API 호출은 사용자의 기기에서 Google로 직접 전달되며, 우리의 인프라는 데이터 경로에 절대 관여하지 않습니다. 기기 간 조정, OAuth 교환, 라이선스/결제 트래픽을 위해 운영하는 릴레이는 사용자별 Cloudflare Durable Objects(각 사용자는 다른 모든 사용자와 하드웨어적으로 격리됨)를 기반으로 구축되었으며 WebSocket 메시지 버스에서 종단간 암호화를 사용합니다(우리는 메시지를 라우팅할 수 있지만 읽을 수는 없습니다). 우리의 중앙 데이터베이스는 계정 식별 정보, 결제 상태, 라우팅 메타데이터를 저장하며, 사용자의 콘텐츠, Workspace 토큰, 대화 내용은 저장하지 않습니다. Little Snitch나 Wireshark로 직접 확인할 수 있는 트래픽 테이블을 포함한 전체 기술 분석은 이 침해 사고에 대한 아키텍처적 대응에 관한 게시물에서 확인할 수 있습니다.

이는 Caiioo에 대한 Context AI 스타일의 사고가 발생하더라도 Context AI 스타일의 여파를 낳을 수 없음을 의미합니다. 토큰 금고가 없기 때문에 유출될 토큰 금고도 없습니다. 우리 인프라에는 공격자가 사용자로부터 탈취할 수 있는 것이 아무것도 없기 때문에, 사용자에게 언제 알릴지 결정하느라 한 달 동안 침묵할 일도 없습니다. 벤더가 애초에 사용자의 것을 아무것도 가지고 있지 않을 때, 벤더의 탐지 지연 문제는 사라집니다.

Caiioo 체험하기

Caiioo는 브라우저 확장 프로그램, 네이티브 macOS 앱, 네이티브 iOS 앱, 네이티브 Android 앱, Windows 및 Linux용 데스크톱 앱으로 제공됩니다. 무료로 시작하기.

출처: