[요약]
지난 3/31(UTC), macOS용 앱 서명에 사용하는 Github Action workflow가 악성 버전 Axios (v1.14.1) 다운로드했습니다. 인증서 탈취 가능성은 낮지만 위험 장비를 위해 기존 앱 서명 인증서를 폐기/교체했습니다. 앱 서명 인증서 폐기/교체로 인해 구버전의 macOS 앱은 추가 업데이트/지원 불가 또는 실행 자체가 안될 수 있습니다. 지난 번 LiteLLM "공급망 공격" 사고에 이은 대형 악재로 보입니다.
아래는 공식 발표문의 AI 자동 번역 내용입니다.
원문 링크를 참고 바랍니다.
=======================
무슨 일이었나?
2026-03-31(UTC)에 서드파티 라이브러리 Axios가 포함된 광범위한 소프트웨어 공급망 공격의 일환으로, OpenAI의 macOS 앱 서명에 사용되는 GitHub Actions 워크플로우가 악성 버전의 Axios(버전 1.14.1)를 다운로드·실행함.
해당 워크플로우는 macOS 앱 서명에 사용되는 코드 서명·노타리제이션 인증서(material)에 접근할 수 있는 상태였음.
영향 및 평가
조사 결과 인증서가 실제로 탈취되었을 가능성은 낮지만(시점·작업 순서 등으로 인해), 위험을 최소화하기 위해 인증서를 노출된 것으로 간주하고 폐기·교체함.
OpenAI는 사용자 데이터나 제품 소프트웨어가 변경되거나 노출됐다는 증거는 발견하지 못함.
사용자 영향 및 조치 일정
2026-05-08부터 이전(구버전) macOS 앱은 더 이상 업데이트·지원되지 않거나 실행되지 않을 수 있음.
해당 날짜 이후에는 이전 인증서로 서명된 앱의 신규 다운로드·첫 실행이 macOS 보안에서 차단될 수 있음(단, 사용자가 보안 우회를 하면 예외 발생).
OpenAI가 제시한 해당 앱의 최초 새 인증서 서명 버전(참고용):
대응 조치(조사·복구)
서드파티 포렌식/IR 업체 고용, macOS 코드 서명 인증서 교체, 새 빌드 배포.
Apple과 협력하여 이전 인증서로의 신규 노타리제이션을 차단함.
이전 인증서로 예상치 못한 노타리제이션이 발생하지 않았는지 확인했고, 공개된 소프트웨어에 무단 변경은 없는 것으로 검증함.
원인: GitHub Actions 워크플로우의 설정 오류(고정 커밋 대신 floating tag 사용, 새 패키지에 대한 minimumReleaseAge 미설정).
FAQ(요약)
제품 또는 사용자 데이터가 노출되었나? → 아니오, 증거 없음.
악성 코드가 OpenAI로 서명돼 배포되었나? → 현재까지 그런 증거 없음.
비밀번호 변경 필요? → 아니오.
영향을 받는 플랫폼? → macOS 앱만 해당. iOS/Android/Linux/Windows 및 웹 버전에는 영향 없음.
업데이트 방법? → 앱 내 업데이트 또는 공식 출처에서만 다운로드(이메일/메시지/광고/서드파티 사이트 링크는 피할 것).
권장 사용자 행동(간단)
사용 중인 OpenAI macOS 앱을 가능한 빨리 공식 경로(앱 내 업데이트 또는 OpenAI의 공식 페이지)로 최신 버전으로 업데이트하세요.
이메일·메시지·광고·파일공유 링크 등에서 받은 설치 프로그램이나 비공식 사이트에서의 다운로드를 절대 사용하지 마세요.
비밀번호나 API 키 변경은 현재 필요하지 않음(공식 발표 기준).