Vercel 사건의 본체는 해킹 자체보다 위임된 신뢰의 붕괴였다
Vercel 공지에 따르면 공격자는 Context.ai 손상을 거쳐 Vercel 직원의 Google Workspace 계정을 장악했고, 그 계정으로 일부 Vercel 환경과 비민감 환경변수에 접근했다. Vercel은 민감 표시된 환경변수에는 접근 증거가 없다고 했고, npm 패키지나 공급망 변조 증거도 없다고 설명했다. 이 사고가 날카로운 이유는 제로데이나 코어 인프라 취약점보다, 직원이 연결한 외부 AI 도구의 OAuth 권한이 실제 침투의 출발점이 됐다는 데 있다.
이 말은 곧 보안의 무게중심이 바뀌었다는 뜻이다. 예전엔 “우리 서버가 안전한가”가 핵심 질문이었다면, 이제는 “우리 직원이 연결한 외부 도구가 무엇을 대신할 수 있게 허용됐는가”가 더 중요해졌다. Vercel 사건은 기술기업 보안이 더 이상 내부 코드베이스만의 문제가 아니라, 직원 생산성 도구와 OAuth 위임망 전체의 문제가 됐음을 보여준다. 이는 해킹의 고도화라기보다, 소프트웨어가 너무 많은 행동 권한을 외부에 위임하기 시작한 결과다.
Notion 사건의 본체는 침투보다 공개의 정의가 무너진 데 있다
Notion에서 최근 화제가 된 문제는 Vercel처럼 누군가가 내부를 뚫고 들어간 사고와는 다르다. 최근 보도와 연구자 지적은, 공개 페이지에서 기여자 이메일과 프로필 정보가 비인증 상태로 노출될 수 있다는 점을 문제 삼는다. 그런데 Notion 공식 도움말은 아예 공개 페이지 메타데이터에 기여자의 이름, 사진, 이메일이 포함될 수 있다고 명시하고 있다.
이 지점이 본찰적으로 더 중요하다. Notion 문제는 기술적으로만 보면 “버그냐 아니냐”의 논쟁으로 흘러갈 수 있다. 하지만 사용자 입장에서 핵심은 다르다. 사람들은 공개 문서를 올린다고 생각했지, 그 문서를 함께 편집한 사람들의 식별정보까지 웹에 실린다고 체감하지 않았다. 즉 Notion의 쟁점은 해커의 침투보다, 제품이 공개를 어떻게 정의했고 사용자는 공개를 어떻게 이해했는가의 불일치다. 이건 취약점이면서 동시에 UX 문제이고, UX 문제이면서 동시에 신뢰 문제다.
두 사건을 묶는 공통점은 AI가 아니라 행동 가능한 소프트웨어다
둘을 AI 시대의 사건으로 읽어야 하는 이유는 단지 둘 다 기술회사라서가 아니다. Vercel은 외부 AI 도구가 기업 계정 권한망 안으로 들어오며 사고가 났고, Notion은 최근 메일·캘린더 연결과 AI 에이전트 기능을 확대하면서 “앱 전반의 작업 처리”를 전면에 내세우고 있다. Notion은 설정에서 메일·캘린더를 연결하면 Notion AI가 회의 일정 잡기, 이메일 초안 작성 같은 작업을 처리할 수 있다고 설명하고, 커스텀 에이전트 보안 문서에서는 이메일·캘린더 데이터, 외부 통합, 서드파티 연결을 경고 대상으로 따로 분류한다.
즉 지금의 SaaS는 더 이상 정보를 저장만 하는 도구가 아니다. 이들은 점점 더 행동을 위임받는 대리행위자가 되고 있다. 메일을 대신 쓰고, 캘린더를 대신 만지고, 외부 툴을 대신 호출하고, 페이지에 대신 접근한다. 이 구조에서 보안은 저장 데이터 보호보다, 어떤 도구가 누구 대신 무슨 행동을 할 수 있는지의 범위를 얼마나 명확하게 제한하느냐로 옮겨간다. Vercel은 권한이 너무 넓게 위임된 결과를, Notion은 공개의 범위가 너무 넓게 정의된 결과를 보여줬다.
AI 시대의 보안 실패는 코드 결함보다 경계 설계 결함에 더 가깝다
Vercel은 고객에게 MFA 활성화, 환경변수 회전, IOC 점검을 권고했고, Notion은 커스텀 에이전트에 대해 관리자 통제, 감사 로그, 외부 링크 확인, 민감 자원 공유 경고, 서드파티 권한 확대 제한을 강조한다. 표면적으로는 둘 다 보안 모범사례처럼 보인다. 하지만 거꾸로 읽으면, 기업들이 이제 방어해야 하는 것이 단순 취약점이 아니라 경계가 끊임없이 재구성되는 소프트웨어 구조라는 뜻이기도 하다.
본찰적으로 보면, AI 시대의 보안은 “뚫렸는가/안 뚫렸는가”로 끝나지 않는다. 더 중요한 질문은 이것이다. 무엇이 너무 쉽게 연결됐는가. 무엇이 너무 넓게 공개됐는가. 무엇이 너무 모호하게 위임됐는가. Vercel과 Notion은 서로 다른 경로를 통해 같은 결론을 보여준다. 오늘날의 SaaS는 기능이 많아질수록, 그리고 에이전트성이 강해질수록, 보안 문제도 기술 문제가 아니라 제품 철학의 문제가 된다. Convenience를 위해 경계를 지운 소프트웨어는 결국 그 지워진 경계만큼의 대가를 치른다.
DIM의 해석
Vercel과 Notion의 최근 보안을 한 문장으로 요약하면 이렇다. 뚫린 것은 서버가 아니라 경계다.
Vercel은 외부 AI 도구가 기업 권한망 안으로 너무 깊게 들어온 결과를 보여줬다. Notion은 공개 문서가 개인 식별정보까지 품게 된 순간, 공개와 노출의 선이 얼마나 쉽게 흐려지는지 보여줬다. 둘 다 AI 시대의 소프트웨어가 어디로 가고 있는지를 선명하게 드러낸다. 앞으로 강한 제품은 기능이 가장 많은 제품이 아니라, 연결과 위임과 공개의 범위를 가장 명확하게 설계하는 제품이 될 가능성이 높다. AI SaaS의 다음 경쟁은 성능 경쟁이 아니라, 경계 설계 경쟁이다.