북한이 OpenAI를 해킹한 방법: npm 공급망 공격이 바꾸는 AI 보안의 규칙

2026년 3월 31일 자정, 북한 해커들이 OpenAI의 보안 시스템을 뚫었다. 방화벽을 우회한 것도 아니고, 취약한 서버를 공격한 것도 아니다. 그들은 그저 npm 패키지 하나를 건드렸다. 전 세계 수백만 개발자가 매일 다운로드하는, 아무도 의심하지 않는 JavaScript 라이브러리 Axios의 유지보수자 계정을 탈취하고, 그 안에 트로이목마를 심었다. OpenAI는 뒤늦게 알아챘지만, 그 시점엔 이미 자사 macOS 앱 서명 인증서가 위험에 노출된 뒤였다.

정확히 무슨 일이 있었나 , 수치로 보는 공급망 공격

공격자들은 npm 생태계에서 월간 5억 회 이상 다운로드되는 Axios 라이브러리의 유지보수자 계정을 탈취했다. 이후 악성 버전 v1.14.1과 v0.30.4를 배포하며, 그 안에 plain-crypto-js라는 숨겨진 의존성 패키지를 심었다. 이 패키지는 Windows, macOS, Linux를 모두 표적으로 하는 크로스플랫폼 원격 접속 트로이목마(RAT)였다. OpenAI가 macOS 앱 서명 과정에서 사용하는 GitHub Actions 워크플로우는 이 악성 버전을 자동으로 다운로드했고, 그 결과 ChatGPT Desktop, Codex, Codex-cli, Atlas 앱의 서명에 사용되는 인증서와 공증 자료가 공격자의 손에 노출될 가능성이 생겼다. OpenAI는 사용자 데이터 침해나 소프트웨어 변조 증거는 발견되지 않았다고 밝혔지만, 2026년 5월 8일까지 모든 macOS 사용자에게 앱 업데이트를 강제화했다. 이 날짜 이후 구버전 앱은 기능이 완전히 중단될 수 있다.

AI 보안이 놓친 것 , 가장 비싼 실수는 아무도 주목하지 않는 곳에서 온다

OpenAI는 2025년 한 해에만 보안에 수억 달러를 투자했다. 레드팀, 침투 테스트, AI 안전 연구팀을 갖추고, GPT-5.5 출시 전 200개 이상의 외부 파트너와 함께 안전성 검토를 진행했다. 그런데 공격은 엉뚱한 곳에서 왔다. CI/CD 파이프라인에서 자동으로 실행되는 오픈소스 라이브러리, 아무도 매번 확인하지 않는 바로 그 지점이었다. 이는 AI 기업들이 모델 보안에는 집착하면서, 소프트웨어 공급망이라는 가장 고전적인 보안 취약점을 방치하고 있다는 것을 보여준다. 유사한 수법의 공급망 공격은 2020년 SolarWinds 사태에서도 쓰였지만, 6년이 지난 지금도 업계 전반에서 반복되고 있다.

숨은 인사이트: AI 패권 전쟁은 이미 코드 생태계 전쟁이 됐다

이 사건의 진짜 의미는 OpenAI가 해킹당했다는 것이 아니다. 북한이 노린 것은 ChatGPT의 사용자 데이터가 아니었다. 그들이 원한 것은 OpenAI의 macOS 앱 서명 인증서, 즉 수백만 사용자의 기기에 신뢰할 수 있는 소프트웨어처럼 보이는 악성 프로그램을 배포할 수 있는 열쇠였다. AI 앱이 기업 인프라의 중심에 자리 잡는 지금, 이 인증서 하나는 전략적 가치가 핵 기밀만큼 높아졌다. 더 불편한 진실은 이것이다. AI 경쟁이 격화될수록, 지정학적 행위자들은 모델 자체보다 모델을 전달하는 인프라와 생태계를 표적으로 삼을 것이다. Axios 같은 오픈소스 프로젝트 수천 개가 소수의 자원봉사자에 의해 유지되는 현실에서, AI 산업 전체의 보안 기반은 예상보다 훨씬 취약하다.

AI 모델의 안전성을 수백억 원 들여 검증하면서, 그 모델을 배포하는 파이프라인은 북한 해커 한 명이 탈취한 npm 계정 하나에 뚫렸다.