OpenAI, Axios 악성 버전 다운로드 후속 대응 조치 발표

123.88.***.***
12

[요약]

지난 3/31(UTC), macOS용 앱 서명에 사용하는 Github Action workflow가 악성 버전 Axios (v1.14.1) 다운로드했습니다. 인증서 탈취 가능성은 낮지만 위험 장비를 위해 기존 앱 서명 인증서를 폐기/교체했습니다. 앱 서명 인증서 폐기/교체로 인해 구버전의 macOS 앱은 추가 업데이트/지원 불가 또는 실행 자체가 안될 수 있습니다. 지난 번 LiteLLM "공급망 공격" 사고에 이은 대형 악재로 보입니다.

아래는 공식 발표문의 AI 자동 번역 내용입니다.

원문 링크를 참고 바랍니다.

=======================

무슨 일이었나?

2026-03-31(UTC)에 서드파티 라이브러리 Axios가 포함된 광범위한 소프트웨어 공급망 공격의 일환으로, OpenAI의 macOS 앱 서명에 사용되는 GitHub Actions 워크플로우가 악성 버전의 Axios(버전 1.14.1)를 다운로드·실행함.

해당 워크플로우는 macOS 앱 서명에 사용되는 코드 서명·노타리제이션 인증서(material)에 접근할 수 있는 상태였음.

영향 및 평가

조사 결과 인증서가 실제로 탈취되었을 가능성은 낮지만(시점·작업 순서 등으로 인해), 위험을 최소화하기 위해 인증서를 노출된 것으로 간주하고 폐기·교체함.

OpenAI는 사용자 데이터나 제품 소프트웨어가 변경되거나 노출됐다는 증거는 발견하지 못함.

사용자 영향 및 조치 일정

2026-05-08부터 이전(구버전) macOS 앱은 더 이상 업데이트·지원되지 않거나 실행되지 않을 수 있음.

해당 날짜 이후에는 이전 인증서로 서명된 앱의 신규 다운로드·첫 실행이 macOS 보안에서 차단될 수 있음(단, 사용자가 보안 우회를 하면 예외 발생).

OpenAI가 제시한 해당 앱의 최초 새 인증서 서명 버전(참고용):

  • ChatGPT Desktop: 1.2026.051

  • Codex App: 26.406.40811

  • Codex CLI: 0.119.0

  • Atlas: 1.2026.84.2

대응 조치(조사·복구)

서드파티 포렌식/IR 업체 고용, macOS 코드 서명 인증서 교체, 새 빌드 배포.

Apple과 협력하여 이전 인증서로의 신규 노타리제이션을 차단함.

이전 인증서로 예상치 못한 노타리제이션이 발생하지 않았는지 확인했고, 공개된 소프트웨어에 무단 변경은 없는 것으로 검증함.

원인: GitHub Actions 워크플로우의 설정 오류(고정 커밋 대신 floating tag 사용, 새 패키지에 대한 minimumReleaseAge 미설정).

FAQ(요약)

  • 제품 또는 사용자 데이터가 노출되었나? → 아니오, 증거 없음.

  • 악성 코드가 OpenAI로 서명돼 배포되었나? → 현재까지 그런 증거 없음.

  • 비밀번호 변경 필요? → 아니오.

  • 영향을 받는 플랫폼? → macOS 앱만 해당. iOS/Android/Linux/Windows 및 웹 버전에는 영향 없음.

  • 업데이트 방법? → 앱 내 업데이트 또는 공식 출처에서만 다운로드(이메일/메시지/광고/서드파티 사이트 링크는 피할 것).

권장 사용자 행동(간단)

사용 중인 OpenAI macOS 앱을 가능한 빨리 공식 경로(앱 내 업데이트 또는 OpenAI의 공식 페이지)로 최신 버전으로 업데이트하세요.

이메일·메시지·광고·파일공유 링크 등에서 받은 설치 프로그램이나 비공식 사이트에서의 다운로드를 절대 사용하지 마세요.

비밀번호나 API 키 변경은 현재 필요하지 않음(공식 발표 기준).

로그인한 회원만 댓글 등록이 가능합니다.

개발한당

KR | ID | EN
  • IDR
  • KOR
8.36 0.01

2026.07.10 KEB 하나은행 고시회차 1091회

다가오는 한인 행사일정

  • 등록 된 일정이 없어요!