소프트웨어 개발 생태계가 복잡해짐에 따라 공급망 공격은 기업 규모를 막론하고 중대한 위협이 되고 있다. 최근 OpenAI는 소프트웨어 개발 시 통신 요청을 단순화하는 라이브러리인 Axios가 업계 전반의 공격에 노출되면서 보안 문제를 겪었다. 이는 뛰어난 기술력을 갖춘 AI 기업조차 수많은 외부 코드에 의존하고 있으며, 각 코드 조각이 보안 취약점의 경로가 될 수 있음을 보여준다.

이번 문제는 소프트웨어의 자동화된 테스트와 배포를 돕는 GitHub Actions 워크플로우에서 발생했다. 지난 2026년 3월 31일, 자동화된 프로세스가 실수로 악성 코드가 포함된 버전의 Axios 라이브러리를 내려받은 것이다. 이 워크플로우는 macOS 앱의 디지털 서명을 관리하는 권한을 가지고 있었기에, 소프트웨어가 신뢰할 수 있는 개발자에 의해 제작되었음을 증명하는 디지털 인증서에 접근할 위험이 있었다.

다행히 내부 조사 결과 사용자 데이터 접근이나 서명 인증서 탈취 정황은 확인되지 않았다. 그럼에도 OpenAI는 보안을 최우선으로 고려해 기존 인증서를 무효화하고 새로운 보안 인증서를 발급하는 '인증서 교체'를 진행했다. 이에 따라 ChatGPT 데스크탑, Codex, Atlas 등 Mac용 앱을 사용하는 모든 사용자는 소프트웨어를 즉시 업데이트해야 한다.

업데이트 기한은 2026년 5월 8일로 설정되었다. 해당 시점 이후에는 보안이 취약한 기존 인증서로 서명된 구버전 앱을 운영체제가 차단하게 되며, 이에 따라 앱 실행이 불가능해질 가능성이 높다. 이번 조치는 악의적인 공격자가 기존 인증서를 악용해 악성 소프트웨어를 배포하는 것을 방지하기 위한 선제적 대응이다.

결과적으로 이번 사례는 현대 소프트웨어 보안이 예상치 못한 위협에 얼마나 민첩하게 대응해야 하는지를 잘 보여준다. 복잡하게 얽힌 디지털 환경 속에서 사용자 신뢰를 유지하기 위해서는 신속한 사건 대응과 명확한 정보 공유가 무엇보다 중요하다.

소프트웨어 개발 생태계가 복잡해짐에 따라 공급망 공격은 기업 규모를 막론하고 중대한 위협이 되고 있다. 최근 OpenAI는 소프트웨어 개발 시 통신 요청을 단순화하는 라이브러리인 Axios가 업계 전반의 공격에 노출되면서 보안 문제를 겪었다. 이는 뛰어난 기술력을 갖춘 AI 기업조차 수많은 외부 코드에 의존하고 있으며, 각 코드 조각이 보안 취약점의 경로가 될 수 있음을 보여준다.

이번 문제는 소프트웨어의 자동화된 테스트와 배포를 돕는 GitHub Actions 워크플로우에서 발생했다. 지난 2026년 3월 31일, 자동화된 프로세스가 실수로 악성 코드가 포함된 버전의 Axios 라이브러리를 내려받은 것이다. 이 워크플로우는 macOS 앱의 디지털 서명을 관리하는 권한을 가지고 있었기에, 소프트웨어가 신뢰할 수 있는 개발자에 의해 제작되었음을 증명하는 디지털 인증서에 접근할 위험이 있었다.

다행히 내부 조사 결과 사용자 데이터 접근이나 서명 인증서 탈취 정황은 확인되지 않았다. 그럼에도 OpenAI는 보안을 최우선으로 고려해 기존 인증서를 무효화하고 새로운 보안 인증서를 발급하는 '인증서 교체'를 진행했다. 이에 따라 ChatGPT 데스크탑, Codex, Atlas 등 Mac용 앱을 사용하는 모든 사용자는 소프트웨어를 즉시 업데이트해야 한다.

업데이트 기한은 2026년 5월 8일로 설정되었다. 해당 시점 이후에는 보안이 취약한 기존 인증서로 서명된 구버전 앱을 운영체제가 차단하게 되며, 이에 따라 앱 실행이 불가능해질 가능성이 높다. 이번 조치는 악의적인 공격자가 기존 인증서를 악용해 악성 소프트웨어를 배포하는 것을 방지하기 위한 선제적 대응이다.

결과적으로 이번 사례는 현대 소프트웨어 보안이 예상치 못한 위협에 얼마나 민첩하게 대응해야 하는지를 잘 보여준다. 복잡하게 얽힌 디지털 환경 속에서 사용자 신뢰를 유지하기 위해서는 신속한 사건 대응과 명확한 정보 공유가 무엇보다 중요하다.