피드로 돌아가기
Vercel April 2026 Incident: Non-Sensitive Environment Variables Need Investigation Too
Dev.toDev.to
Security

OAuth 탈취로 인한 Non-Sensitive 환경 변수 노출 및 전파 사례

Vercel April 2026 Incident: Non-Sensitive Environment Variables Need Investigation Too

Dwayne McDaniel2026년 5월 18일2intermediate

AI 요약

Context

Third-party AI 도구인 Context.ai의 Google Workspace OAuth 앱 취약점을 통한 Vercel 내부 계정 하이재킹 발생. 환경 변수 설정 시 'sensitive' 플래그가 누락된 Non-Sensitive 변수들이 평문 형태로 노출되어 공격자의 데이터 접근을 허용한 아키텍처적 허점 노출.

Technical Solution

  • OAuth 권한 체인 하이재킹을 통한 내부 시스템 접근 경로 차단 및 계정 권한 재검토
  • API Key 및 Token 등 기밀 정보 저장 시 'sensitive' 플래그 강제를 통한 저장 방식의 암호화 전환
  • GitGuardian의 ggshield를 활용한 .env.local 파일 내 유효 Secret 스캔 및 노출 변수 식별
  • Upstream Service(AWS, Stripe 등)에서의 Secret 우선 Rotate 후 Vercel 환경 변수를 업데이트하는 순차적 갱신 프로세스 적용
  • Deployment Protection 설정을 Standard 레벨 이상으로 상향하여 비정상적 배포 시도 제어

실천 포인트

1. 모든 환경 변수 중 API Key, DB Credential, Signing Key 포함 여부 전수 조사

2. 민감 정보 변수에 대해 'sensitive' 플래그 설정 여부 검증 및 적용

3. `vercel env pull` 후 `ggshield`를 이용한 로컬 시크릿 스캔 자동화 파이프라인 구축

4. Deployment Protection 토큰 주기적 Rotate 및 활동 로그 모니터링 체계 수립

태그

#Supply Chain Attack#Environment Variables#Credential Rotation#Secret Management#OAuth
원문 읽기