OpenAI 회사(ChatGPT 개발사)는 최근 타사 도구와 관련된 보안 취약점을 발견했다고 확인했지만, 사용자 데이터가 액세스되거나 시스템이 침해당했다는 징후는 기록되지 않았다고 강조했습니다.
발표에 따르면, 사고는 대규모 소프트웨어 공급망 공격으로 인해 3월 31일에 침해당한 것으로 확인된 인기 있는 Axios 개발 라이브러리에서 비롯되었습니다.
OpenAI는 이번 공격으로 인해 GitHub Actions 작업 프로세스가 실수로 Axios의 악성 버전을 다운로드하고 실행하게 되었다고 밝혔습니다.
이 프로세스는 ChatGPT Desktop, Codex, Codex-cli 및 Atlas와 같이 macOS 애플리케이션에 서명하는 데 사용되는 인증서 및 인증 문서에 액세스할 수 있습니다.
그러나 분석 후 회사는 이 서명된 인증서가 성공적으로 도난당했다는 증거가 없다고 단언했습니다. 동시에 OpenAI는 소프트웨어 변경, 지적 재산권 침해 또는 사용자 데이터 무단 액세스를 기록하지 않았습니다.
사고의 근본 원인은 GitHub Actions 프로세스의 구성 오류로 확인되었습니다. OpenAI는 이 문제가 해결되었으며 소프트웨어 공급망 제어를 강화하기 위해 추가 보안 조치가 시행되고 있다고 밝혔습니다.
위험을 최소화하기 위해 회사는 보안 인증서를 업데이트하고 모든 macOS 사용자에게 OpenAI 응용 프로그램을 최신 버전으로 업그레이드하도록 요청하고 있습니다.
이러한 움직임은 가짜 애플리케이션이 이전 인증서를 이용하여 악성 소프트웨어를 배포할 위험을 방지하기 위한 것입니다.
또한 OpenAI는 5월 8일부터 macOS의 ChatGPT 애플리케이션의 이전 버전이 더 이상 지원되거나 업데이트되지 않으며 작동이 중단될 수 있다고 발표했습니다. 사용자는 안전과 안정적인 경험을 보장하기 위해 조기에 업데이트하는 것이 좋습니다.
주목할 만한 점은 회사가 사용자의 비밀번호와 API 키가 이번 사고의 영향을 받지 않았다고 확인했다는 것입니다.
