OAuth 권한 방치와 Session Hijacking으로 인한 200만 달러 규모의 보안 사고

Context

OAuth 기반의 Third-party 앱 연동 시 과도한 권한 부여와 관리 부재로 인한 보안 취약점 노출 상황. 특히 내부 Environment Variables에 접근 가능한 관리자 계정이 Lumma Stealer에 감염되며 공급망 공격의 시발점이 됨.

Technical Solution

• Session Vacuum 기술을 통한 Browser Cookie 및 OAuth Token 탈취로 MFA를 완전히 우회하는 공격 경로 확보
• Context.ai 직원의 계정 탈취 후 연결된 OAuth Permission Chain을 통해 Vercel 내부 환경으로 침투
• 과도하게 설정된 "Allow All" 권한을 악용하여 내부 Environment Variables 및 Production Logs에 무단 접근
• 정식 인증된 Credential을 이용한 요청으로 인해 기존 Perimeter Defense 및 Endpoint Detection 시스템의 탐지를 회피
• OAuth Client ID 기반의 Indicator of Compromise(IoC)를 식별하여 침해 범위 확인 및 외부 패키지 매니저(npm 등) 무결성 검증