OpenAI, 공급망 해킹으로 일부 데이터 도난 확인
원제: OpenAI says hackers stole some data after latest code security issue
왜 중요한가
AI 대기업 대상 공급망 공격이 증가하면서 오픈소스 생태계 보안 강화 필요성이 부각되고 있다.
OpenAI가 직원 2명의 기기가 오픈소스 라이브러리 TanStack 공급망 공격에 영향받아 내부 소스코드 저장소에서 제한된 인증 정보가 도난당했다고 5월 14일 발표했다. 사용자 데이터나 프로덕션 시스템 침해는 없었다고 밝혔다.
OpenAI는 이번 주 발생한 공급망 공격으로 직원 2명의 기기가 영향받았다고 수요일 공식 블로그를 통해 확인했다. 공격자들은 웹앱 개발에 널리 사용되는 오픈소스 라이브러리 TanStack을 해킹해 악성 코드가 포함된 84개 버전을 6분 동안 배포했다. 해당 악성 소프트웨어는 설치된 컴퓨터에서 인증정보를 탈취하고 다른 시스템으로 확산되도록 설계됐다. OpenAI는 조사 결과 영향받은 직원들이 접근 권한을 가진 '제한된 내부 소스코드 저장소'에서 무단 접근과 인증정보 도난이 발생했다고 밝혔다. 다만 '제한된 인증 자료'만 탈취됐으며, 사용자 데이터나 프로덕션 시스템, 지적재산권 침해는 없었다고 강조했다. 예방 조치로 제품 서명에 사용되는 디지털 인증서를 교체하기로 했으며, macOS 사용자들은 앱 업데이트가 필요하다고 안내했다.