OpenAI, Axios 공급망 공격으로 macOS 앱 인증서 폐기
오픈AI가 2026년 4월 29일 macOS 사용자 전체에 긴급 보안 경고를 발령했다. 2026년 5월 8일 전까지 앱을 업데이트하지 않으면 코드 서명 인증서가 폐기되어 앱을 실행할 수 없게 된다.
사고의 원인은 오픈소스 HTTP 라이브러리 Axios를 겨냥한 공급망 공격이다. 3월 31일, 북한 정부 지원으로 추정되는 해커들이 소셜 엔지니어링으로 Axios 수석 관리자의 npm과 GitHub 계정을 탈취하고, Axios 1.14.0·1.14.1 버전에 악성코드를 삽입했다. 악성 버전은 plain-crypto-js라는 숨겨진 의존성을 포함했으며, 이는 Windows·macOS·Linux를 대상으로 하는 원격 액세스 트로이안(RAT)으로 작동했다.
오픈AI의 macOS 앱 서명 워크플로우가 감염된 버전을 다운로드하면서, ChatGPT Desktop·Codex·Codex CLI·Atlas의 코드 서명에 사용된 인증서가 노출됐다. 오픈AI는 사용자 데이터나 API 키 탈취는 없었다고 밝혔지만, 해당 인증서를 탈취된 것으로 간주하고 폐기·교체했다.
기존 인증서로 서명된 앱은 5월 8일부터 macOS 보안 정책에 의해 기본 차단된다. 그 이전에 업데이트하지 않은 사용자는 앱 실행이 불가능해진다.
이번 사고는 광범위하게 사용되는 오픈소스 패키지의 공급망 취약점 하나가 어떻게 대형 보안 사고로 번질 수 있는지를 보여준다. 자세한 내용은 The Hacker News 원문에서 확인할 수 있다.
Related Articles
OpenAI는 2026년 4월 10일 Axios package compromise가 자사 macOS app-signing GitHub Actions workflow에 영향을 줬다고 밝혔다. 회사는 사용자 데이터나 시스템, 배포 소프트웨어의 침해 증거는 없다고 했지만, macOS 사용자는 2026년 5월 8일 전에 새 certificate로 서명된 build로 업데이트해야 한다고 안내했다.
OpenAI는 Axios package compromise가 macOS app-signing pipeline에 영향을 줬다고 2026년 4월 10일 공개했다. 회사는 user data나 product compromise 증거는 없다고 밝혔지만, 인증서를 교체하고 macOS 앱 업데이트를 요구하고 있다.
OpenAI는 macOS 앱 서명에 사용하던 GitHub Actions 워크플로에서 악성 Axios 1.14.1 패키지가 실행됐다고 밝혔다. 회사는 사용자 데이터 노출이나 앱 변조 증거는 없다고 했지만, 인증서를 교체하면서 ChatGPT Desktop, Codex App, Codex CLI, Atlas 사용자의 업데이트를 May 8, 2026 전까지 요구하고 있다.
Comments (0)
No comments yet. Be the first to comment!