OpenAI 맥 앱 사용자 주목: 6월 12일 전 업데이트가 필요한 이유

핵심 요약

TanStack npm 공급망 공격과 오픈AI의 대응

오픈AI가 오픈소스 패키지 매니저인 npm의 TanStack 라이브러리를 겨냥한 이른바 ‘Mini Shai-Hulud’ 공급망 공격의 여파를 맞았습니다. 공급망 공격(Supply-Chain Attack)이란 소프트웨어 개발사의 정상적인 개발·배포 과정이나 오픈소스 의존성 라이브러리에 악성코드를 삽입하여, 이를 이용하는 기업과 사용자를 한꺼번에 감염시키는 고도의 해킹 기법입니다.

오픈AI에 따르면, 사내 기업 환경의 직원 기기 2대가 이 공격에 노출되었습니다. 해당 기기를 통해 두 직원이 접근할 수 있었던 내부 소스 코드 저장소 중 제한된 일부에서 자격 증명(Credential) 정보가 유출된 것으로 파악되었습니다. 오픈AI는 즉시 외부 디지털 포렌식 및 침해 사고 대응 전문 기업과 함께 조사를 시작했으며, 감염 시스템 격리, 세션 만료, 자격 증명 재설정 등의 긴급 보안 조치를 완료했습니다.

어떤 제품이 영향을 받으며, 무엇이 바뀌나요?

유출된 소스 코드 저장소에는 iOS, macOS, Windows 등 오픈AI 주요 앱 제품군의 코드 서명 인증서가 포함되어 있었습니다. 코드 서명 인증서는 해당 프로그램이 변조되지 않은 정상적인 프로그램임을 운영체제(OS)가 검증하도록 돕는 디지털 도장입니다. 오픈AI는 혹시 모를 오용을 막기 위해 기존 인증서를 폐기하고 플랫폼 제조사들과 협력해 이전 인증서로 새로운 공증(Notarization)을 받지 못하도록 차단했습니다.

이에 따라 기존 구형 인증서로 서명된 macOS용 프로그램들은 2026년 6월 12일을 기점으로 전면 폐기됩니다. 이날 이후로는 구버전 앱의 작동이 멈추거나 더 이상 업데이트를 받을 수 없게 될 수 있습니다.

Nullnote 인사이트: 우리가 주목해야 할 이유

1. 표면적인 발표 이면의 진짜 변화

오픈AI처럼 세계 최고 수준의 기술 기업이라 할지라도 현대 개발 환경에서 피하기 어려운 ‘오픈소스 공급망 공격’의 사각지대에 노출될 수 있음을 보여준 사례입니다. 다행히 오픈AI의 초기 방어가 작동하여 프로덕션(실제 서비스) 시스템이나 사용자 데이터, 비밀번호, API 키 등은 침해되지 않았고, 악성코드가 심어진 앱이 배포된 정황도 발견되지 않았다고 합니다. 그러나 개발 환경의 자격 증명이 유출되었다는 점은 향후 더 큰 공격의 빌미가 될 수 있었기에, 오픈AI가 비용과 번거로움을 감수하고 인증서 전면 무효화라는 강수를 둔 것입니다.

2. 개인 및 기업에 미칠 실질적인 영향

기업 환경에서 macOS용 ChatGPT나 Codex CLI 등을 업무에 활용하던 팀들은 발등에 불이 떨어졌습니다. 사내 보안 정책이나 중앙 관리 시스템(MDM)을 통해 애플리케이션 버전을 통제하는 기업이라면, 6월 12일 이전에 임직원들의 오픈AI 도구들을 일괄 업데이트 리스트에 올려야 업무 공백을 막을 수 있습니다.

3. 독자가 지금 바로 해야 할 행동 가이드

4. 앞으로 후속으로 확인해야 할 관전 포인트

이번 TanStack npm 공격(Mini Shai-Hulud)의 규모가 오픈AI 외에 다른 테크 기업들에도 얼마나 확산되었는지 주의 깊게 살펴볼 필요가 있습니다. 오픈AI의 인증서가 완전히 바뀐 이후, 구버전 인증서를 악용한 유사 악성코드가 유포되는지 보안 업계의 모니터링 결과를 지켜봐야 합니다.

5. 마무리 정리

대대적인 인증서 교체 작업은 사용자에게 번거로움을 주지만, 잠재적 위협을 뿌리 뽑기 위한 가장 확실한 정공법입니다. 맥 환경에서 오픈AI의 생산성 도구들을 쓰고 계신다면, 다가오는 6월 12일 데드라인을 기억하시고 미리 공식 업데이트를 완료하여 안전하고 연속성 있는 워크플로우를 유지하시기 바랍니다.

참고 자료

관련 글로 이어가기