OpenAI, Axios npm 공급망 공격 영향 확인… "사용자 데이터·시스템 침해 증거 없어"

OpenAI가 4월 10일, 자사 내부 개발 도구가 악성코드에 감염된 오픈소스 라이브러리 Axios의 업데이트를 다운로드한 사실을 확인했다고 밝혔다.

이번 사건은 3월 31일 발생한 Axios npm 패키지 공급망 공격과 관련된 것으로, 공격 배후에는 북한과 연계된 것으로 추정되는 위협 행위자가 있는 것으로 알려졌다.

OpenAI에 따르면 macOS 애플리케이션 서명에 사용되는 GitHub Actions 워크플로가 악성 버전의 Axios를 다운로드해 실행했다. 해당 워크플로는 macOS 앱 서명용 인증서와 공증 자료에 접근 권한을 갖고 있었다.

그러나 OpenAI는 "사용자 데이터가 접근되었거나, 시스템 또는 지적재산이 침해되었거나, 소프트웨어가 변조되었다는 증거를 발견하지 못했다"고 밝혔다.

또한 서명 워크플로에 포함된 인증서가 악성 페이로드에 의해 성공적으로 유출되었을 가능성은 낮다고 분석했다.

영향을 받은 애플리케이션은 ChatGPT Desktop, Codex, Codex-cli, Atlas 등이며, 비밀번호와 OpenAI API 키는 영향을 받지 않은 것으로 확인됐다.

사고의 근본 원인은 GitHub Actions 워크플로의 구성 오류로, 이미 조치가 완료됐다고 OpenAI는 설명했다.

OpenAI는 예방 차원에서 5월 8일부터 이전 버전의 macOS 앱 지원을 중단할 예정이며, 사용자에게 30일 이내에 최신 버전으로 업데이트할 것을 권고했다.