Vercel 해킹에 디파이 경보…Next.js 공급망 흔들리나

13일(현지시간) 크립토 업계 핵심 인프라 업체 베르셀(Vercel)이 내부 시스템 침해 사실을 인정하면서 디파이(DeFi) 생태계에 비상이 걸렸다. 넥스트제이제스(Next.js)를 만든 베르셀은 다수의 크립토 사용자 서비스가 의존하는 클라우드 플랫폼으로, 보안 사고가 코드 공급망 전반으로 번질 수 있다는 우려가 커지고 있다.

직원 계정 뚫리며 내부망 확산…“AI로 공격 가속”

베르셀 최고경영자 기예르모 라우흐는 공격이 직원 한 명이 AI 플랫폼 고객인 컨텍스트.ai(Context.ai) 침해 사건에 연루되면서 시작됐다고 밝혔다. 이후 공격자는 해당 직원의 구글 워크스페이스 계정으로 접근 범위를 넓혀 베르셀 기업 환경까지 파고든 것으로 전해졌다. 라우흐는 이번 공격이 ‘인공지능(AI)’을 활용해 상당히 가속됐다고 설명했다.

보안 전문 매체 블리핑컴퓨터에 따르면 브리치포럼즈(BreachForums)에서 활동하는 판매자는 이 사건과 관련해 200만달러의 몸값을 요구하고 있으며, 유출 자료에 깃허브(GitHub) 토큰이 포함됐다고 주장했다. 다만 공개된 화면과 자료의 진위는 아직 확인되지 않았다.

디파이 업계 “며칠간 어떤 앱도 만지지 말라”

이번 사고는 디파이 업계에 특히 치명적이다. 웹사이트를 통해 오염된 넥스트제이제스 패키지에 접속한 사용자가 거래를 서명하면, 자금이 그대로 공격자 지갑으로 넘어갈 수 있기 때문이다. 베르셀은 일요일 보안 공지에서 ‘일부 내부 시스템에 대한 무단 접근’을 확인했으며, 법집행기관과도 공조하고 있다고 밝혔다.

코르크 프로토콜의 최고기술책임자 ‘피바스트’는 엑스(X)를 통해 ‘며칠 동안 어떤 디파이 애플리케이션과도 상호작용하지 말라’고 경고했다. 그는 “많은 디파이 서비스가 베르셀에 호스팅돼 있고, 크립토 이용자는 이런 공격의 주요 표적”이라고 지적했다.

넥스트제이제스 다운로드 5억2000만건…공급망 리스크 재부각

라우흐에 따르면 넥스트제이제스는 2025년에만 5억2000만건의 다운로드를 기록했다. 디파이 대시보드, 지갑 연결 도구, 토큰 발행 플랫폼까지 폭넓게 쓰이는 만큼, 업계는 해커가 베르셀 자격 증명을 이용해 하위 프로젝트에 악성 코드를 밀어 넣을 가능성도 우려하고 있다.

베르셀은 구글의 사고 대응 조직인 맨디언트(Mandiant)의 지원을 받고 있으며, 현재까지는 ‘제한된 일부 고객’만 영향을 받았고 서비스는 정상 운영 중이라고 강조했다. 다만 이번 사건은 크립토 서비스가 특정 클라우드와 개발 도구에 얼마나 깊게 의존하는지 다시 보여줬고, 디파이 보안의 취약한 공급망 문제를 다시 수면 위로 끌어올렸다.