OpenAI's response to the Axios developer tool compromise

개요

OpenAI는 macOS 애플리케이션 서명 과정에 사용된 타사 개발 도구 Axios의 보안 이슈로 인해 macOS 앱의 보안 인증서를 업데이트하고 사용자에게 최신 버전으로 업데이트할 것을 권고하고 있습니다.

주요 내용

* 보안 이슈 발생: 2026년 3월 31일, OpenAI가 macOS 앱 서명 과정에 사용한 GitHub Actions 워크플로우가 악성 버전의 Axios(버전 1.14.1)를 다운로드하여 실행하는 보안 문제가 발생했습니다.
* 영향 범위: 해당 워크플로우는 ChatGPT Desktop, Codex, Codex-cli, Atlas 등 macOS 애플리케이션 서명에 사용되는 인증서 및 notarization 정보에 접근할 수 있었습니다.
* 데이터 유출 및 시스템 침해 증거 부재: OpenAI는 사용자 데이터가 접근되었거나, 시스템 또는 지적 재산권이 침해되었으며, 소프트웨어가 변조되었다는 증거는 발견되지 않았다고 밝혔습니다.
* 인증서 교체 및 폐기: 만일의 사태에 대비하여, OpenAI는 해당 인증서를 침해된 것으로 간주하고 폐기 및 교체 절차를 진행하고 있습니다.
* 사용자 업데이트 필수: 2026년 5월 8일부터 구 버전의 macOS 데스크톱 앱은 업데이트나 지원을 받지 못하며, 기능이 작동하지 않을 수 있습니다. 사용자들은 앱 내 업데이트 또는 공식 웹사이트를 통해 최신 버전으로 업데이트해야 합니다.
* macOS 보안 기능: 새롭게 서명되지 않은 이전 인증서로 서명된 소프트웨어는 macOS 보안 기능에 의해 기본적으로 차단됩니다.
* 근본 원인 및 조치: GitHub Actions 워크플로우 설정 오류가 근본 원인으로 파악되었으며, 해당 설정을 수정했습니다. 또한, 제3자 디지털 포렌식 및 사고 대응 업체를 통해 조사를 진행하고 Apple과 협력하여 이전 인증서로 서명된 소프트웨어의 notarization을 차단하고 있습니다.
* iOS, Android, Linux, Windows 영향 없음: 이번 문제는 macOS 앱에만 국한되며, iOS, Android, Linux, Windows 앱 및 웹 버전에는 영향을 미치지 않습니다.
* 사용자 주의사항: 이메일, 메시지, 광고, 타사 다운로드 사이트에서 제공되는 출처 불명의 OpenAI 애플리케이션 설치를 주의해야 합니다.

시사점

이번 incident는 소프트웨어 공급망 공격의 위험성을 다시 한번 보여주며, 개발 과정에서의 타사 라이브러리 사용 및 CI/CD 파이프라인 보안 설정의 중요성을 강조합니다. OpenAI는 사용자 데이터 보호와 투명성 확보를 위해 선제적인 조치를 취하고 사용자에게 명확한 업데이트 지침을 제공했습니다.