Axios 공급망 공격으로 OpenAI macOS용 앱 서명 인증서 교체를 했고, 이로 인해 기존 macOS용 앱의 추가 업데이트나 지원이 안될 것이라는 소식입니다. OpenClaw와 Hemes 토큰 소비량 차이에 대해서는 Caveman 사용을 권장하고 있습니다.

OpenAI, Axios 악성 버전 다운로드 후속 대응 조치 발표

[요약]

AD

지난 3/31(UTC), macOS용 앱 서명에 사용하는 Github Action workflow가 악성 버전 Axios (v1.14.1) 다운로드했습니다. 인증서 탈취 가능성은 낮지만 위험 장비를 위해 기존 앱 서명 인증서를 폐기/교체했습니다. 앱 서명 인증서 폐기/교체로 인해 구버전의 macOS 앱은 추가 업데이트/지원 불가 또는 실행 자체가 안될 수 있습니다. 지난 번 LiteLLM “공급망 공격” 사고에 이은 대형 악재로 보입니다.

아래는 공식 발표문의 AI 자동 번역 내용입니다.

=======================

무슨 일이었나?

2026-03-31(UTC)에 서드파티 라이브러리 Axios가 포함된 광범위한 소프트웨어 공급망 공격의 일환으로, OpenAI의 macOS 앱 서명에 사용되는 GitHub Actions 워크플로우가 악성 버전의 Axios(버전 1.14.1)를 다운로드·실행함.

해당 워크플로우는 macOS 앱 서명에 사용되는 코드 서명·노타리제이션 인증서(material)에 접근할 수 있는 상태였음.

 

영향 및 평가

조사 결과 인증서가 실제로 탈취되었을 가능성은 낮지만(시점·작업 순서 등으로 인해), 위험을 최소화하기 위해 인증서를 노출된 것으로 간주하고 폐기·교체함.

OpenAI는 사용자 데이터나 제품 소프트웨어가 변경되거나 노출됐다는 증거는 발견하지 못함.

 

사용자 영향 및 조치 일정

2026-05-08부터 이전(구버전) macOS 앱은 더 이상 업데이트·지원되지 않거나 실행되지 않을 수 있음.

해당 날짜 이후에는 이전 인증서로 서명된 앱의 신규 다운로드·첫 실행이 macOS 보안에서 차단될 수 있음(단, 사용자가 보안 우회를 하면 예외 발생).

 

OpenAI가 제시한 해당 앱의 최초 새 인증서 서명 버전(참고용):

  • ChatGPT Desktop: 1.2026.051

  • Codex App: 26.406.40811

  • Codex CLI: 0.119.0

  • Atlas: 1.2026.84.2

 

대응 조치(조사·복구)

서드파티 포렌식/IR 업체 고용, macOS 코드 서명 인증서 교체, 새 빌드 배포.

Apple과 협력하여 이전 인증서로의 신규 노타리제이션을 차단함.

이전 인증서로 예상치 못한 노타리제이션이 발생하지 않았는지 확인했고, 공개된 소프트웨어에 무단 변경은 없는 것으로 검증함.

 

원인: GitHub Actions 워크플로우의 설정 오류(고정 커밋 대신 floating tag 사용, 새 패키지에 대한 minimumReleaseAge 미설정).

 

FAQ(요약)

  • 제품 또는 사용자 데이터가 노출되었나? → 아니오, 증거 없음.

  • 악성 코드가 OpenAI로 서명돼 배포되었나? → 현재까지 그런 증거 없음.

  • 비밀번호 변경 필요? → 아니오.

  • 영향을 받는 플랫폼? → macOS 앱만 해당. iOS/Android/Linux/Windows 및 웹 버전에는 영향 없음.

  • 업데이트 방법? → 앱 내 업데이트 또는 공식 출처에서만 다운로드(이메일/메시지/광고/서드파티 사이트 링크는 피할 것).

 

권장 사용자 행동(간단)

사용 중인 OpenAI macOS 앱을 가능한 빨리 공식 경로(앱 내 업데이트 또는 OpenAI의 공식 페이지)로 최신 버전으로 업데이트하세요.

이메일·메시지·광고·파일공유 링크 등에서 받은 설치 프로그램이나 비공식 사이트에서의 다운로드를 절대 사용하지 마세요.

비밀번호나 API 키 변경은 현재 필요하지 않음(공식 발표 기준).

OpenClaw vs. Hermes 토큰 소비

메일 확인, cron 단순 반복 작업, 텔레그램 이슈 디버깅 등 간단한 작업을 OpenClaw와 Hermes 이용했을 때, 10분간 토큰 소비량이 OpenClaw 2M, Hemes 500k로 큰 차이가 벌어졌다고 합니다. 저자의 질문에 달린 댓글이 오늘 흥미를 끌었는데 짧게 말해서 “Caveman” 사용하라는 겁니다.  찾아 보니 Github star 수가 21.9k 나 되네요. 

Caveman 사용으로 Input/Output 토큰 감량이 가능하다고 하니 사용해 봐야겠습니다.

Caveman: https://github.com/JuliusBrussee/caveman

 

지난 게시글:

※ 출처: Reddit/LocalLLM, OpenClaw, unsloth

AD

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here