핵심 요약
- 직원이 AI 도구에 구글 워크스페이스 전권한을 부여하며 내부망 침투 경로 허용
- 해커 그룹 ‘ShinyHunters’, 탈취 데이터 기반으로 200만 달러 규모 몸값 요구
- 유출된 데이터는 비민감 환경 변수이나 AI를 통한 새로운 공격 패턴에 업계 긴장
상세 분석
사건 경위: 보안의 가장 약한 고리 ‘인적 요인’
클라우드 및 AI 인프라 혁신 기업인 버셀(Vercel)이 최근 발생한 데이터 유출 사고로 몸살을 앓고 있습니다. 이번 사고의 결정적 발단은 내부 직원의 부주의한 권한 설정이었습니다. 해당 직원은 업무 효율성을 극대화하기 위해 서드파티 AI 도구를 도입하면서, 자신의 구글 워크스페이스(Google Workspace) 계정에 대한 전권한(Full Access)을 부여했습니다.
AI 도구의 보안 취약점을 미리 파악하고 있던 공격자는 이 통로를 통해 버셀의 내부 개발 환경에 성공적으로 잠입했습니다.
피해 규모와 공격자의 정체
이번 공격의 배후에는 악명 높은 해커 그룹 ‘ShinyHunters’가 있는 것으로 확인되었습니다. 이들은 탈취한 데이터를 볼모로 버셀 측에 200만 달러(약 27억 원)의 대가를 요구하고 있습니다. 버셀의 공식 발표에 따르면, 유출된 데이터는 주로 프로젝트 구성에 사용되는 비민감 환경 변수(Environment Variables)들이며, 핵심 소스 코드나 사용자 개인 정보의 유출 흔적은 발견되지 않았습니다.
그러나 기업의 보안 방어 체계가 AI 도구라는 ‘신뢰된 통로’를 통해 무너졌다는 사실만으로도 브랜드 신뢰도에 적지 않은 타격을 입었습니다.
시사점: ‘쉐도우 AI’의 위험성과 대응 전략
이번 사고는 현대 기업 보안 환경에서 ‘쉐도우 AI(Shadow AI)‘가 얼마나 치명적인 위협이 될 수 있는지를 여실히 보여줍니다. 직원 개개인이 편리함을 위해 도입하는 AI 서비스들이 기업 전체의 보안 가이드라인을 우회하는 구멍이 되고 있습니다. 향후 기업들은 모든 외부 AI 도구에 대해 ‘최소 권한 원칙(Principle of Least Privilege)‘을 강제하고, API 권한 부여 현황을 실시간으로 감시하는 자동화된 보안 거버넌스 체계를 구축해야 할 것입니다.
시사점
AI 도입 속도가 보안 전략 수립 속도를 앞지르면서 발생하는 전형적인 과도기적 사고다. 기업은 직원들의 AI 활용을 막기보다, 안전하게 검증된 ‘기업용 전용 샌드박스 AI 환경’을 선제적으로 제공하여 임의적인 권한 오남용의 동기를 원천 차단해야 한다.
