본문으로 건너뛰기
J
피드

맥용 챗GPT 앱 보안 업데이트 배포, 오픈소스 공급망 이슈가 원인

security 약 4분
tags
#openai#chatgpt#macos#supply-chain#security
vote
0
댓글
북마크

오픈AI 맥용 챗GPT 데스크톱 앱에서 오픈소스 라이브러리 침해와 관련된 보안 이슈가 확인돼 업데이트가 배포되고 있다. 오픈AI는 직원 기기 2대가 영향을 받았고 사용자 데이터 접근이나 핵심 시스템 침해 증거는 없다고 밝혔다.

  • 1

    영향을 받은 것으로 확인된 대상은 오픈AI 직원 기기 2대

  • 2

    업데이트는 순차 배포 중이며 전체 적용 완료 예상 시점은 6월 12일

  • 3

    오픈소스 라이브러리 침해가 원인으로 언급됨

  • 4

    사용자 데이터 접근 증거와 핵심 시스템 침해 정황은 없다고 설명됨

  • 5

    맥 사용자는 업데이트 알림이 뜨면 즉시 설치해야 하며 윈도우11·아이오에스 사용자는 별도 조치가 필요 없음

  • 오픈AI가 맥용 챗GPT 데스크톱 앱 보안 업데이트를 배포 중임

    • 보도에 따르면 이번 이슈는 오픈AI 직원 기기 2대가 영향을 받은 사례로 확인됨
    • 업데이트는 순차 배포 중이고, 전체 사용자 적용 완료까지는 6월 12일까지 걸릴 전망임
    • 맥 사용자는 업데이트 알림이 뜨는 즉시 설치하라는 권고가 나옴

  • 원인은 널리 쓰이는 오픈소스 라이브러리 쪽 보안 문제로 전해짐

    • 해당 라이브러리가 침해되면서 오픈AI 내부 기기 2대에 영향이 간 것으로 설명됨
    • 오픈AI는 악성 행위를 인지한 뒤 조사, 차단, 시스템 보호 조치를 진행했다고 밝힘
    • 코드 저장소에서는 제한적인 자격 증명 정보만 유출된 것으로 확인됐고, 다른 데이터나 코드는 영향을 받지 않았다고 함

⚠️주의

> 맥용 챗GPT 앱을 쓰고 있다면 업데이트 알림을 미루지 않는 게 좋음. 현재 공개된 영향 범위는 제한적이지만, 공급망 이슈는 패치 적용 속도가 실질적인 방어선이 되는 경우가 많다.

  • 현재까지 공개된 피해 범위는 제한적임

    • 사용자 데이터 접근 증거는 발견되지 않았다고 오픈AI가 설명함
    • 회사 핵심 시스템이 침해됐다는 정황도 없다고 함
    • 외부 디지털 포렌식 및 사고 대응 업체를 투입해 원인을 추가 조사 중임

  • 다른 플랫폼 사용자는 별도 조치가 필요 없다고 안내됨

    • 윈도우11이나 iOS 사용자는 이번 업데이트 대상이 아님
    • 추가 안내는 추후 제공될 예정임
    • 즉, 지금 당장 체크해야 할 대상은 맥용 챗GPT 데스크톱 앱 사용자임

  • 맥용 챗GPT 앱은 예전에도 보안 논란이 있었음

    • 2024년에는 사용자 대화를 암호화하지 않은 채 로컬에 평문으로 저장한다는 지적이 나왔음
    • 당시에는 로컬 저장 방식이 문제였고, 이번에는 오픈소스 공급망과 내부 기기 영향이 겹친 케이스임
    • 같은 앱에서 다른 유형의 보안 이슈가 반복적으로 언급된다는 점은 기업용 사용 환경에서 꽤 민감한 지점임

기술 맥락

  • 이번 사건의 핵심은 앱 자체 기능보다 의존성 관리예요. 데스크톱 앱은 혼자 돌아가는 것처럼 보여도 내부적으로 여러 오픈소스 라이브러리를 가져다 쓰고, 그중 하나가 침해되면 제품 업데이트까지 이어질 수 있거든요.

  • 오픈AI가 사용자 데이터 접근 증거는 없다고 선을 그은 것도 중요해요. 보안 사고에서는 “침해가 있었나”와 “어떤 데이터까지 닿았나”를 분리해서 봐야 하거든요. 그래서 외부 포렌식 업체를 넣어 범위를 확인하는 절차가 따라붙어요.

  • 맥 사용자에게 업데이트가 중요한 이유는 공급망 이슈가 사용자 단에서 바로 보이지 않기 때문이에요. 앱이 정상적으로 실행돼도 내부 구성요소가 취약할 수 있고, 사용자가 할 수 있는 가장 현실적인 조치는 패치된 버전으로 빨리 올라가는 거예요.

이번 건은 피해 규모보다 공급망 리스크가 포인트임. 로컬 데스크톱 앱이 오픈소스 의존성 문제와 엮이면, 사용자 입장에서는 결국 업데이트 속도가 방어선이 됨.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.