Vercel이 뚫렸다: 프론트엔드 배포 플랫폼 해킹이 던진 공급망 보안 경고

프론트엔드 개발자라면 Vercel이라는 이름을 한 번쯤 들어봤을 겁니다. Next.js를 만든 회사이자, 수많은 스타트업과 기업의 웹사이트가 올라가 있는 배포 플랫폼인데요. 그런 Vercel이 2026년 4월 침해를 당했고, 해커들이 훔친 고객 데이터를 판매하고 있다는 소식이 돌고 있습니다. 왜 이게 단순한 보안 사고 하나로 끝나지 않는지 짚어보겠습니다.

사건의 윤곽: 무엇이 새어 나갔나

현재 공개된 정보를 종합하면, 공격자들은 Vercel 내부 시스템 일부에 접근한 뒤 고객 관련 데이터를 탈취해 지하 포럼에 매물로 올린 것으로 보입니다. 유출된 것으로 거론되는 항목은 고객 계정 정보, 프로젝트 메타데이터, 일부 환경변수와 배포 로그 등입니다. 소스코드 자체가 통째로 털린 것인지, 아니면 설정·시크릿 위주인지는 아직 조각조각 확인되는 단계입니다.

여기서 진짜 무서운 지점은 “어느 한 회사가 털렸다"가 아니라, “한 플랫폼이 털리니 그 위에 올라간 수천 개 서비스가 동시에 위험해진다"는 구조입니다. Vercel에 올린 프로젝트의 환경변수에는 대개 DB 접속 문자열, 서드파티 API 키, 결제 시스템 시크릿이 들어 있거든요.

왜 Vercel이 털리면 공급망이 흔들리는가

클라우드 시대의 보안 리스크는 개별 회사의 방화벽보다 플랫폼 의존성에 쏠려 있습니다. Vercel은 단순 호스팅이 아니라 빌드 파이프라인, 서버리스 함수, 엣지 네트워크, 환경변수 관리, 도메인 발급까지 통합된 서비스인데요. 이 말은 Vercel 내부 토큰 하나가 유출되면 그 위의 고객사 프로덕션이 연쇄적으로 노출될 수 있다는 뜻입니다.

과거 Okta, CircleCI, LastPass 사고가 왜 큰 파장을 일으켰는지 떠올려보면 패턴이 똑같습니다. 공격자는 고객사를 일일이 뚫지 않습니다. 고객사들이 공통으로 쓰는 허브를 뚫는 쪽이 훨씬 효율적이거든요. SolarWinds 이후 6년이 지났는데도 공급망 공격이 늘어나는 이유입니다.

개발자가 지금 당장 점검해야 할 것

만약 Vercel을 쓰고 있다면 오늘 안에 해야 할 일이 몇 가지 있습니다.

첫째, 모든 환경변수와 토큰 로테이션입니다. 데이터베이스 비밀번호, Stripe 같은 결제 키, GitHub/GitLab Personal Access Token, OAuth 클라이언트 시크릿을 전부 새로 발급하세요. “내 프로젝트는 작으니까 타겟이 아니겠지"가 가장 위험합니다. 자동화된 스캐너는 회사 규모를 가리지 않습니다.

둘째, 액세스 로그 감사입니다. 최근 4~6주간 비정상적인 배포, 모르는 IP에서의 로그인, 새로 추가된 팀 멤버가 없는지 확인하세요. 셋째, Git 레포지토리 쪽도 같이 봐야 합니다. Vercel이 연결된 GitHub/GitLab 계정에서 webhook이나 deploy key가 임의로 추가되지 않았는지 점검해야 합니다.

플랫폼 록인의 대가

이번 사고는 “편리함의 청구서"가 언젠가 도착한다는 걸 보여줍니다. Vercel, Netlify, Cloudflare Pages 같은 통합 플랫폼은 개발자 생산성을 몇 배로 끌어올려줍니다. git push 한 번이면 전 세계 엣지에 배포되니까요. 그런데 이 편리함은 단일 장애점(Single Point of Failure)을 만듭니다. 기술적 장애뿐 아니라 보안적 장애도 포함해서요.

대안으로 거론되는 것은 멀티 플랫폼 전략입니다. 프로덕션은 자체 인프라(AWS, GCP 위의 컨테이너)로 돌리고, 프리뷰 환경이나 마케팅 사이트만 Vercel 같은 플랫폼을 쓰는 식이죠. 비용과 관리 복잡도가 늘지만, 블라스트 반경을 줄이는 효과는 확실합니다.

아직 밝혀지지 않은 것들

솔직히 이번 사건은 현 시점에서 공식 사후 분석(post-mortem)이 충분히 공개되지 않았습니다. 초기 침투 경로, 영향 받은 고객 규모, 데이터 암호화 여부가 투명하게 공유되어야 업계가 교훈을 얻을 수 있는데요. Vercel의 후속 커뮤니케이션이 사고 자체만큼이나 중요한 평가 포인트가 될 겁니다.

당신의 스택에서 “이 회사가 털리면 우리 서비스가 같이 죽는다"에 해당하는 업체는 몇 개인가요? 그 목록을 한번 적어보시면, 공급망 보안이 왜 남의 이야기가 아닌지 체감하게 될 겁니다. 편리한 도구를 쓰는 건 좋지만, 그 도구가 무너졌을 때 당신의 시크릿이 어디까지 노출되는지는 오늘 밤이라도 점검해볼 가치가 있습니다.