[뉴스스페이스=김정영 기자] 오픈AI가 macOS용 챗GPT·Codex·Atlas 앱의 인증서 서명 과정이 북한 연계 해커의 소프트웨어 공급망 공격에 노출됐다고 공식 확인하면서, 글로벌 개발 생태계를 뒤흔든 Axios npm 사태의 파급력이 한층 구체적으로 드러나고 있다.

Microsoft Security Blog, axios, SANS Institute, Snyk, dunyanews.tv에 따르면, 오픈AI는 4월 10일(현지시간) macOS 애플리케이션의 인증서 서명에 사용되는 GitHub Actions 워크플로우가 2026년 3월 31일 발생한 Axios npm 공급망 공격의 영향을 받았다고 공개했다. 이 침해 사고는 구글과 마이크로소프트에 의해 북한 국가 지원 해커들의 소행으로 지목되고 있다. 오픈AI에 따르면, 해당 워크플로우가 널리 사용되는 Axios 자바스크립트 라이브러리의 손상된 버전에서 악성 업데이트를 내려받았으며, 이로 인해 공격자들이 위조 인증서를 만들어 가짜 오픈AI 앱을 정상 앱처럼 위장할 수 있는 가능성이 생겼다.

이번 공개는 Axios 침해 사고가 처음 탐지된 지 약 2주 만에 이루어진 것으로, 역대 최대 규모의 npm 공급망 공격 중 하나로 꼽히는 이번 사건의 광범위한 피해 여파에 대한 새로운 의문을 불러일으키고 있다.
 

3월 31일(현지시간), 자바스크립트 HTTP 라이브러리 ‘Axios’의 메인 유지관리자 npm 계정이 소셜 엔지니어링을 통해 탈취되면서 사건은 시작됐다. 공격자는 가짜 Microsoft Teams 회의 링크를 미끼로 원격접근 트로이목마(RAT)를 심은 뒤, 탈취한 자격 증명으로 악성 버전 두 개(1.14.1, 0.30.4)를 npm에 직접 올렸다.

표면적인 Axios 코드에는 변화가 없었지만, 눈에 띄지 않는 신규 의존성 ‘plain-crypto-js’가 추가됐고, 이 패키지는 설치 과정(postinstall)에서 곧바로 크로스플랫폼 RAT를 떨어뜨려 macOS·Windows·Linux를 모두 노렸다. 악성 버전 배포 기간은 약 3시간에 불과했지만, 자동 업데이트와 CI/CD 파이프라인에 깊숙이 들어가 있던 탓에 그 사이 약 60만 건의 백도어 설치가 이뤄졌다는 추정도 나왔다.

Microsoft는 이번 공격 인프라와 악성 Axios 버전을 북한 국가 지원 해킹조직 ‘사파이어 슬리트(Sapphire Sleet)’의 소행으로 공식 규정했다. 구글 위협인텔리전스(GTIG)는 같은 그룹을 UNC1069로 명명하고, 암호화폐 기업·개발 환경을 노려온 금전 동기형 북한 위협그룹과 전술·인프라가 겹친다고 분석했다. Axios는 자바스크립트 생태계에서 가장 많이 의존되는 패키지 중 하나로, 일부 연구자들은 “수백만 개발 프로젝트가 잠재적으로 노출됐다”고 경고했다.

이번 사건의 핵심은 Axios가 단순 라이브러리를 넘어, 주요 기업들의 자동화된 빌드·서명 체인 안에 깊이 박혀 있었다는 점이다. 오픈AI는 금요일 공개한 보안 공지에서 “macOS 애플리케이션의 코드 서명과 공인(notarization)에 사용하던 GitHub Actions 워크플로우가 3월 31일 손상된 Axios 업데이트를 내려받아 실행했다”고 밝혔다.

이론적으로는 공격자가 이 워크플로우를 통해 서명용 인증서를 탈취하거나, 서명 과정을 가로채 위조 앱에 합법 서명을 부여할 수 있는 길이 열린 셈이다. 이 경우 악성 오픈AI 앱이 정식 앱처럼 보안 검증을 통과하고, 사용자·기업 환경에 자연스럽게 배포될 수 있다.

다만 오픈AI와 외부 보안업체들은 현재까지 ▲인증서·키가 실제로 외부로 유출됐다는 포렌식 증거, ▲서명 체인을 악용한 위조 오픈AI 앱 유포 정황, ▲사용자 데이터, 내부 코드·모델 자산에 대한 직접 접근 흔적같은 ‘부정 징후’는 발견하지 못했다고 강조한다. 

오픈AI는 “현 시점에서 사용자 데이터 유출이나 지식재산 침해는 확인되지 않았다”고 선을 그었지만, 동시에 최악의 시나리오(인증서 탈취 가능성)를 가정해 선제적 조치에 나섰다고 설명한다.

Axios 공급망 공격의 잠재 영향 범위는 수치만 놓고 봐도 이례적이다. Microsoft와 기타 분석에 따르면 Axios는 주간 7000만~1억회 다운로드, 일부 보고서는 “클라우드 및 개발 환경의 약 80%에서 사용된다”고 추산한다. 사태가 벌어진 3시간 동안 최소 수십만 건의 악성 설치 시도가 있었고, SANS·Huntress 등은 실제 감염 장비만도 수백 대 이상을 확인했다고 전했다.

여기에 3월 내내 이어진 다른 공급망 공격이 겹치면서 ‘복합 리스크’가 현실화되고 있다. TeamPCP로 불리는 또 다른 위협그룹은 Aqua Security의 Trivy GitHub Action과 BerriAI의 LiteLLM 파이썬 패키지를 연달아 침해해, 최소 1,000개 이상의 엔터프라이즈 SaaS 환경에 악성 코드를 흘려 보냈다는 분석이 나왔다. LiteLLM은 월 다운로드 약 9,700만회에 달하는 LLM 프록시 게이트웨이로, LLM 기반 애플리케이션 상당수가 이 패키지를 통해 여러 모델 API에 접속한다.

구글 위협 인텔리전스 그룹의 존 헐트퀴스트 수석 애널리스트는 “북한 해커들은 이미 암호화폐 탈취를 위해 공급망 공격을 광범위하게 활용해 왔고, Axios 사건의 전체 피해 규모는 아직 가늠조차 어렵다”며 “패키지의 인기와 확산 속도를 고려하면 파급 효과는 글로벌 개발 생태계 전반으로 번질 것”이라고 경고했다.

오픈AI는 이번 이슈를 계기로 macOS 앱 생태계를 전면 재정비하고 있다. 회사는 Axios 연쇄공격과 관련된 모든 macOS 인증서를 취소·교체하고, 서명·notarization 워크플로우에 사용되는 비밀키·토큰을 전면 로테이션했다고 밝혔다.

이는 오픈AI가 추진해 온 데스크톱 ‘슈퍼앱’ 전략에도 직간접적 영향을 줄 수 있다. 월스트리트저널 등 외신에 따르면 오픈AI는 macOS에서 챗GPT 앱, Codex 코딩 플랫폼, Atlas 브라우저를 하나의 통합 데스크톱 애플리케이션으로 묶는 프로젝트를 진행 중이다. 이런 상황에서 서명 체인 자체에 대한 신뢰가 흔들리면, 통합앱 출시 일정과 보안 설계 전반에 대한 재검토가 불가피해진다.

오픈AI 사례는 지금까지 상대적으로 ‘블랙박스’처럼 여겨졌던 빌드·서명 자동화 영역에 대한 전면적인 재검증을 촉구하고 있다. macOS에서 “이 앱은 개발자가 신뢰할 수 있는 출처에서 배포했습니다”라는 문구가 더 이상 최종답이 아닌 시대, 개발사·플랫폼·사용자 모두가 서명 체인의 신뢰 모델을 다시 설계해야 할 시점이다.