OpenAI, Axios supply-chain incident 뒤 macOS app signing certificate 교체

OpenAI가 공개한 내용

2026년 4월 10일, OpenAI는 Axios 1.14.1 compromise가 자사 macOS app-signing pipeline에서 사용하던 GitHub Actions workflow에 닿았다고 설명하는 security note를 공개했다. OpenAI에 따르면 이 문제는 2026년 3월 31일(UTC) 확인된 broader industry supply-chain incident의 일부였다. 영향을 받은 workflow는 ChatGPT Desktop, Codex App, Codex CLI, Atlas의 macOS build를 서명하는 데 쓰이는 certificate와 notarization material에 접근할 수 있었다.

핵심은 노출 사실과 함께 적시된 부정 확인이다. OpenAI는 사용자 데이터 접근, 시스템 또는 intellectual property 침해, 배포 소프트웨어 변조의 증거를 찾지 못했다고 밝혔다. OpenAI 이름으로 서명된 악성코드도 확인하지 못했다고 한다. 그럼에도 이 workflow가 “이 앱이 정말 OpenAI가 배포한 것인가”를 보증하는 signing material에 닿았기 때문에, 회사는 certificate를 사실상 노출된 것으로 간주하고 교체와 폐기를 진행하고 있다.

macOS 사용자가 해야 할 일

OpenAI는 macOS 사용자가 반드시 in-app update 또는 공식 다운로드 페이지를 통해 최신 build로 옮겨야 한다고 안내했다. 회사는 영향을 받은 모든 macOS 제품의 새 build를 공개했고, 2026년 5월 8일 이후에는 이전 certificate로 서명된 오래된 build가 더 이상 update나 support를 받지 못하고 동작하지 않을 수도 있다고 밝혔다. 새 certificate가 적용된 최소 버전은 다음과 같다.

• ChatGPT Desktop: 1.2026.051
• Codex App: 26.406.40811
• Codex CLI: 0.119.0
• Atlas: 1.2026.84.2

OpenAI는 영향 범위가 macOS 앱으로 제한된다고도 설명했다. iOS, Android, Linux, Windows, 웹 버전은 해당되지 않는다. Apple과 협력해 이전 certificate로 새로운 notarization이 이뤄지지 않도록 막고 있으며, macOS 보안 보호 기능이 기본적으로 이런 위조 app을 차단하도록 조치하고 있다고 한다.

왜 고신호 supply-chain 보안 이슈인가

더 중요한 의미는 운영 계층에 있다. OpenAI는 root cause로 GitHub Actions misconfiguration을 지목했다. 문제의 workflow가 특정 commit hash가 아니라 floating tag를 참조했고, 새로 공개된 package에 대한 minimumReleaseAge도 설정하지 않았다는 것이다. 이는 AI 제품 보안이 model과 API만의 문제가 아니라 CI/CD, dependency pinning, notarization, release-signing까지 포함한 전체 배포 체계의 문제라는 점을 다시 보여 준다.

여기서 읽히는 추론은 OpenAI가 실제 피해 징후가 나오기 전부터 desktop distribution chain의 신뢰를 우선 복구하려 한다는 점이다. certificate의 가치는 “이 installer가 진짜 vendor에서 왔다”는 신호에 있기 때문에, 낮은 확률의 노출이라도 대응을 피하기 어렵다. 이 사건은 단순히 package 하나가 compromise됐다는 수준을 넘어, Codex와 Atlas처럼 설치형 agentic product를 내놓는 AI 회사들이 build pipeline 자체를 핵심 security boundary로 다뤄야 하는 단계에 들어섰다는 신호다.

출처: OpenAI X 게시물 · OpenAI security note