제공 서비스
웹 보안 점검 소스코드 분석 (SAST) CRM 보안 진단 다크웹 유출 조회
요금제 스토어 블로그 파트너 마이페이지 무료 보안 점검
외부 자산 관리 2026.04.20 · 조회 172

외부에서 보이는 내 자산, 매주 어떻게 바뀌는지 알고 계신가요? — Vercel 사건과 ASM diff

Vercel 내부 시스템 무단 접근 사건이 확산 중입니다. 당신의 도메인도 '외부에서 보이는 자산'이 매주 조용히 바뀌고 있습니다. 그 변화를 감지하는 방법을 정리했습니다.

Vercel에서도 일어난 일

2026년 4월, Vercel 내부 시스템에 외부인이 무단 접근한 사건이 확인됐습니다. Vercel 측 공식 커뮤니케이션과 복수 매체를 통해 확산 중이며, 세부 경로는 일부 공개·일부 비공개 상태로 조사가 이어지고 있습니다.

이 사건의 핵심 포인트는 "유명 인프라 업체도 외부에서 들여다볼 수 있는 표면이 계속 바뀌고 있었고, 그 변화를 방어자가 먼저 보지 못했다"는 것입니다. 공격자 관점에서 보면 타깃의 외부 자산(Attack Surface)은 매일·매주 조금씩 바뀝니다. 새 서브도메인이 생기고, 잠깐 열렸던 테스트 포트가 닫히지 않고, 만료 직전 인증서가 방치되고, WAF가 꺼진 상태로 하루가 지나갑니다.

문제는 대부분의 팀이 그 변화를 몰라서 못 막는다는 점입니다.

외부 자산은 계속 바뀐다 — 바이브코딩 팀일수록 심함

AI 코딩 도구로 개발 속도가 빨라진 팀일수록 외부 자산 변화가 많습니다.

  • Vercel·Netlify·Railway 등에 프리뷰 배포가 *-preview.vercel.app 같은 서브도메인으로 계속 찍힙니다.
  • "잠깐만 확인"하려고 공개한 staging.example.com이 인증 없이 한 달째 떠 있습니다.
  • Supabase·Firebase 프로젝트가 늘어나면서 API 엔드포인트도 같이 늘어납니다.
  • 인증서는 자동 갱신되지만, 특정 서브도메인만 갱신이 빠지는 일이 생깁니다.

개별 변화 하나하나는 사소합니다. 하지만 공격자는 이 변화들을 자동으로 모니터링합니다. Certificate Transparency 로그, 포트 스캔 공개 DB, 서브도메인 브루트포스 — 공격자가 먼저 보는 쪽이 유리합니다.

Vercel 사건은 "업체가 뚫리면 내 env도 샌다"는 공급망 리스크를 보여주는 동시에, 내 쪽 자산 표면조차 내가 먼저 추적하지 못하면 위험하다는 사실을 환기시켰습니다.

ASM diff — 매주 뭐가 바뀌었는지 자동으로 비교

CodeScan은 ASM(Attack Surface Management) 자동 diff 리포트를 제공합니다. 구독자 도메인을 매일 스캔해 스냅샷으로 저장하고, 매주 월요일 오전 09:30에 지난 주 대비 바뀐 항목만 정리해 이메일로 보냅니다.

diff로 추적하는 항목

  • 새로 발견된 서브도메인, 사라진 서브도메인
  • 새로 열린 포트, 닫힌 포트
  • SSL 인증서 변경·만료 임박 (도메인별)
  • 새로 노출된 기술 스택(감춰야 할 프레임워크 버전 등)
  • WAF/보안 헤더 on/off 변화
  • 신규 유출 흔적(다크웹·breach DB)

왜 diff만 보내는가

매주 전체 리포트를 받으면 아무도 안 봅니다. 변화가 있을 때만 발송합니다. 변화 0건이면 메일 자체가 오지 않습니다. 노이즈가 없으니 수신함에 메일이 온 시점 자체가 신호입니다.

내부 구조상 AssetSnapshot.diff()가 핵심입니다. 구독 중인 URL별로 최신 스냅샷과 그 이전 스냅샷을 비교해 변경된 필드만 추출합니다. 변경이 0건이면 발송이 스킵됩니다.

공격자가 먼저 보기 전에 내가 먼저 본다

외부 자산 노출은 사고 방식의 전환이 필요한 영역입니다. 내부 코드 리뷰나 SAST는 팀이 주도권을 갖지만, 외부 자산은 "내가 의도하지 않게 세상에 보인 것"까지 포함합니다.

  • 개발자 한 명이 프리뷰 배포를 공개로 남김 → 서브도메인 노출
  • 운영팀이 긴급 점검용 포트를 잠깐 열어둠 → 포트 노출
  • CI가 인증서 자동 갱신 실패 → 만료 임박

이런 변화를 사람이 매일 들여다볼 수는 없습니다. 자동 스냅샷 + diff 알림이 유일한 현실적인 해법입니다.

지금 바로 확인하세요

내 도메인이 외부에서 어떻게 보이는지 한 번도 확인해 본 적 없다면, 지금이 그 타이밍입니다. URL 하나만 입력하면 서브도메인·포트·인증서·WAF·기술 스택·다크웹 노출까지 무료로 스냅샷을 찍어드립니다.

변화 추적까지 받으려면 구독 플랜으로 전환하면 됩니다. 변화가 없는 주는 메일이 오지 않습니다. 변화가 있으면 뭐가 새로 생겼고 뭐가 사라졌는지만 압축해서 받습니다.

Vercel 사건은 끝난 사건이 아니라 시작입니다. AI 코딩으로 외부 자산이 폭증하는 지금, 다음 사건은 내 도메인에서 날 수도 있습니다. 공격자가 먼저 보기 전에, 내가 먼저 봐야 합니다.

ASM Attack Surface Vercel 외부 자산 자산 변화 추적 바이브코딩 보안

내 사이트도 점검해보세요

CodeScan으로 보안 취약점을 무료로 점검할 수 있습니다.

무료 스캔 시작하기 →
🛒
추천 상품
웹서비스 런칭 전 보안 세팅
런칭 전에 반드시 해야 하는 보안 설정을 원격으로 직접 해드립니다. HTTPS, 환경변수 분리, 보안 헤더…
220,000원 150,000원

🔒 바이브코딩 보안 체크리스트 받기

바이브코딩 보안 체크리스트(PDF)를 무료로 받아보세요.

관련 글

공급망 보안

2026년 npm 공급망 공격 4건과 CI/CD 점검 5단계 — Bitwarden·SAP·Vercel 사고 분석

2026.5.5 보안가이드

AI 코딩 도구 쓰는 팀을 위한 환경변수 보안 체크리스트 7선

2026.4.22 바이브코딩

Vercel·Replit 배포할 때 놓치는 보안 설정 7가지

2026.4.16 바이브코딩 보안

바이브코딩으로 만든 사이트, 해커가 노리는 5가지 취약점

2026.4.5 보안

바이브코딩 CRM, 이것만은 점검하세요 (체크리스트 7개)

2026.4.2