뉴스 요약
최근 서드파티 AI 도구인 Context.ai의 Google Workspace OAuth 앱이 외부 공격자에 의해 침해되었는데,
Vercel 직원이 해당 도구를 Google 계정과 연동해 두었다가, 공격자가 이 OAuth 앱을 통해 직원의 Google 계정 권한을 탈취했고,
그 결과 Vercel 내부 시스템까지 침입하게 되었다.
이로 인해 직원 명단과 암호화되지 않은 일반 환경 변수들이 모두 유출되었다.
이 뉴스가 웹도메인에 끼친 영향
이 뉴스는 웹 개발에 있어
복잡한 기능을 직접 구현하지 않아도 되고 DB 서버 구축·관리 부담도 줄여주는
서드파티도구는 편리하지만,
서드파티도구의 내부 코드나 보안 수준에 관해서 통제할 수 없기에
그에 따르는 위험도 고려해볼 필요가 있다는 것을 깊게 생각하게 해줌
※ 서드파티도구 : 하드웨어 생산자(1st)나 서비스 제공자(2nd)가 아닌,
외부의 제3자 개발자/기업이 만든 소프트웨어나 솔루션생각
서드파티도구와의 연동 권한은 최소한으로 설정해 서드파티 보안 이슈를 예방할 수 있고
해당 도구가 해킹당했을 상황을 가정해 피해 범위를 사전에 제한하는 조치가 필요하다. (ex. API 키 등 민감 정보는 암호화해서 저장, OAuth 스코프 최소화, 토큰 만료 기간 및 자동 갱신 설정, 허용된 IP에서만 접근 가능하도록 제한 등)
양치기소녀