OpenAI의 Axios 개발자 도구 보안 침해에 대한 대응

Source: Hacker News

보안 사고 업데이트 – macOS 앱 서명

우리는 최근 제3자 개발자 도구 Axios와 관련된 보안 문제를 확인했으며, 이는 널리 보도된 보다 넓은 산업 사고의 일부였습니다. 충분한 주의를 기울여, macOS 애플리케이션을 정식 OpenAI 앱으로 인증하는 프로세스를 보호하기 위한 조치를 취하고 있습니다.

우리는 OpenAI 사용자 데이터가 접근되었거나, 우리의 시스템 또는 지적 재산이 손상되었으며, 소프트웨어가 변경되었다는 증거가 없습니다.

무슨 일인가요?

• 날짜: 2026년 3월 31일 (UTC)
• 문제: 널리 사용되는 서드파티 라이브러리인 Axios가 보다 광범위한 소프트웨어 공급망 공격의 일환으로 침해되었습니다.
• 영향: macOS 앱 서명 프로세스에서 사용된 GitHub Actions 워크플로가 악성 버전의 Axios(v1.14.1)를 다운로드하고 실행했습니다.
• 범위: 해당 워크플로는 ChatGPT Desktop, Codex, Codex‑CLI, Atlas를 포함한 macOS 애플리케이션 서명에 사용되는 인증서와 공증 자료에 접근할 수 있었습니다.

우리의 분석에 따르면 페이로드 실행 시점, 인증서 주입, 작업 순서 및 기타 완화 요인으로 인해 서명 인증서는 아마도 유출되지 않은 것으로 판단됩니다. 그럼에도 불구하고 우리는 인증서를 손상된 것으로 간주하고 폐기 및 교체하고 있습니다.

우리가 하고 있는 일

• 제3자 디지털 포렌식 및 사고 대응 업체와 협력했습니다.
• macOS 코드 서명 인증서를 교체했습니다.
• 새로운 인증서로 모든 관련 macOS 제품의 새 빌드를 배포했습니다.
• 이전 인증서로 서명된 소프트웨어가 새로 공증(notarized)되지 않도록 Apple과 협력했습니다.
• 이전 인증서로 수행된 모든 공증을 검토하고 예상치 못한 소프트웨어가 공증되지 않았음을 확인했습니다.
• 배포된 소프트웨어에 무단 수정이 없음을 검증했습니다.

현재까지 기존 소프트웨어 설치에 대한 침해 증거나 위험이 발견되지 않았습니다.

해야 할 일

macOS 앱을 최신 버전으로 업데이트하세요 (앱 내 업데이트 또는 아래 공식 링크를 통해). 이렇게 하면 새로운 신뢰할 수 있는 인증서로 서명된 소프트웨어를 사용하게 됩니다.

• ChatGPT Desktop – ≥ 1.2026.051 로 업데이트
• Codex App – ≥ 26.406.40811 로 업데이트
• Codex CLI – ≥ 0.119.0 로 업데이트
• Atlas – ≥ 1.2026.84.2 로 업데이트

2026년 5월 8일부터, 이전 버전은 더 이상 업데이트나 지원을 받지 못하며 작동이 중단될 수 있습니다. 위에 나열된 버전이 업데이트된 인증서로 서명된 최초 릴리스입니다.

자주 묻는 질문

OpenAI 제품이나 사용자 데이터가 손상되었나요?

아니오. 제품이나 사용자 데이터 손상의 증거가 없습니다.

OpenAI로 서명된 악성코드를 본 적이 있나요?

아니오. 잠재적으로 노출된 공증 및 코드 서명 자료가 악용되었다는 증거가 없습니다.

비밀번호를 변경해야 하나요?

아니오. 비밀번호와 OpenAI API 키는 영향을 받지 않았습니다.

iOS, Android, Linux, Windows에 영향을 주나요?

아니오. macOS 앱만 영향을 받으며, 웹 버전은 영향을 받지 않습니다.

왜 내 Mac 앱을 업데이트하라고 하나요?

노출된 GitHub Actions 워크플로우가 macOS 앱 서명에 사용되었습니다. 공증 및 코드 서명 자료를 교체하면 사용자를 보호할 수 있습니다. 업데이트하면 새로운 인증서로 서명된 버전을 사용하게 됩니다.

업데이트된 macOS 앱은 어디서 다운로드하나요?

• 인앱 업데이트를 사용하거나 공식 OpenAI 웹페이지에서 다운로드하십시오.
• 이메일 링크, 메시지, 광고, 제3자 다운로드 사이트 등에서 앱을 설치하지 마십시오. 어떠한 채널을 통해서든 예상치 못한 “OpenAI”, “ChatGPT”, “Codex” 설치 파일에 주의하십시오.

2026년 5월 8일 이후는 어떻게 되나요?

위에 나열된 오래된 버전은 더 이상 업데이트나 지원을 받지 못하며 기능이 중단될 수 있습니다. 이전 인증서로 서명된 앱을 새로 다운로드하거나 실행하면 macOS 보안 보호에 의해 차단됩니다.

근본 원인

GitHub Actions 워크플로우의 잘못된 구성으로 인해 문제가 발생했습니다:

• 액션이 특정 커밋 해시 대신 floating tag를 사용했습니다.
• 새 패키지에 대해 minimumReleaseAge가 설정되지 않았습니다.

이 문제는 수정되었습니다.

인증서 즉시 폐기?

우리는 영향을 받은 인증 자료를 사용한 macOS 앱에 대한 추가 공증을 차단하기 위해 작업했습니다. 이는 영향을 받은 인증서를 사용해 OpenAI 앱인 척하는 사기성 앱이 공증이 없게 되며, 사용자가 명시적으로 보호를 우회하지 않는 한 macOS 보안 보호에 의해 기본적으로 차단된다는 의미입니다.

이전 인증서를 사용한 새로운 공증이 차단되고, 인증서 폐기로 인해 macOS가 이전 인증서로 서명된 앱의 새로운 다운로드 및 최초 실행을 차단할 수 있기 때문에, 우리는 30일 업데이트 창을 제공하여 중단을 최소화하려 합니다. 이 기간 동안:

• 사용자 위험을 줄이는 데 도움이 됩니다.
• 영향을 받은 클라이언트가 내장된 업데이트 메커니즘을 통해 업데이트할 수 있도록 합니다.
• 모든 설치가 적절히 복구되도록 보장합니다.

우리는 파트너와 협력하여 서명 인증서 오용 징후를 모니터링하고 있으며, 이 기간 동안 악의적인 활동이 확인되면 폐기 일정을 앞당길 것입니다.