리액트 취약점 악용 급증... KISA·보안업계 긴급 대응

CVSS 10.0 만점...Log4j 급 위협 보안 업계 긴장
KISA, 공격 IP 리스트 공개...침해사고 신속 신고 당부
파이오링크·티오리, 긴급 시그니처·무료 진단툴 배포

[보안뉴스 여이레 기자] 최근 발견된 리액트(React) 서버 컴포턴트(RSC)의 고위험 취약점을 악용한 실제 공격이 나타나기 시작함에 따라, 한국인터넷진흥원 C-TAS도 대응에 나섰다. 공격 추정 IP 모니터링을 강화하고 피해가 생기면 신속히 신고해 줄 것을 요청했다.

[자료: React]

이 취약점은 보안 연구원 라클란 데이비슨이 11월 29일 메타에 보고하면서 알려졌다. 리액트는 메타가 개발한 자바스크립트 라이브러리로, RSC는 현재 5000만개의 웹사이트와 주요 기업 제품에 탑재돼 있다. 이처럼 광범위한 활용성 때문에 현재까지 피해가 집계된 조직만 30곳이 넘는다.

‘리액트2쉘’(React2Shell)로 명명된 이 취약점 CVE-2025-55182은 특수 제작된 HTTP 요청을 이용해 인증 절차 없이 원격 코드 실행(RCE)을 허용한다. 별도 설정 변경 없이 공격 가능하며, 단 한 줄의 악성 패킷으로 전체 서비스가 탈취될 수 있다.

보안 업계는 이를 과거 Log4j 사태에 필적하는 중대한 위협으로 보고 있다. 취약점 심각도 점수는 최고치인 CVSS 10.0을 기록했다.

또 이 취약점은 리액트 자체뿐 아니라 Next.js, Waku, React Router, RedwoodSDK 등 리액트에 의존하는 다른 프레임워크에도 영향을 미친다.

공개 직후 유포된 다수의 개념 증명(PoC) 익스플로잇 코드들은 가짜이거나 실제 환경에선 작동하지 않았지만, 곧 실제 작동하는 PoC가 등장하면서 악용 시도도 급증했다.

AWS는 3일부터 어스 라미아(Earth Lamia)와 잭팟 판다(Jackpot Panda) 등 최소 두 개의 중국 연계 해킹 그룹이 이 취약점을 악용한 공격을 수행했다고 보고했다.

한국인터넷진흥원(KISA)은 5일 ‘리액트(React) 서버 컴포넌트 보안 업데이트 권고’를 통해 최신 패치 적용을 당부했다.

이어 KISA C-TAS를 통해 8일 국내 인텔리전스 및 KISA 내부 탐지 시스템을 이용해 확보한 공격 IP 리스트를 공개했다. 랜섬웨어 감염 및 자료 유출 등 피해가 생길 경우 신속하게 침해사고 신고를 해 달라고 요청했다.

국내 보안 기업들도 피해 확산 방지를 위해 긴급 패치 버전 혹은 무료 진단 서비스를 배포하고 있다. 파이오링크는 최근 공개된 리액트와 Next.js의 RCE 취약점에 대응해 5일 자사 웹방화벽 ‘웹프론트-K’(WEBFRONT-K)용 전용 탐지·차단 시그니처를 긴급 배포했다.

파이오링크는 웹프론트-K의 긴급 시그니처 적용을 통해 비정상 RSC 요청 탐지와 악성 페이로드 차단 등 실시간 방어 기능을 제공, 고객사가 패치를 적용하기 전이라도 즉각적 보호가 가능하다.

또 파이오링크 산하 사이버위협분석팀도 고객사의 취약점 영향을 빠르게 확인할 수 있는 점검 스크립트를 배포했다. 파이오링크는 스크립트 제공 외에도 취약점 영향 분석, 공격 시나리오 모니터링, 기술지원 등 후속 대응을 지속할 계획이다.

티오리는 이 취약점의 영향 여부를 간편하게 확인할 수 있는 진단 서비스 ‘리액트가드’(ReactGuard)를 내놨다. 이 도구는 티오리가 개발한 AI 기반 애플리케이션 보안 점검 솔루션 ‘진트’(Xint)의 기술력을 바탕으로 설계돼 복잡한 분석 과정을 자동화하고 실서비스 환경에서 노출 여부를 빠르게 식별할 수 있다.

리액트가드는 운영 중인 서비스의 URL을 입력하면, 서버가 취약한 플라이트(Flight) 엔드포인트를 외부에 노출하고 있는지 자동 탐지한다. 설치나 환경 구성 없이 웹에서 즉시 사용할 수 있는 방식이며, 서버에 코드를 실행하거나 데이터를 변경하지 않는 비파괴적 진단 방식을 채택해 안전성을 확보했다. 또 외부에 노출되지 않은 사내망 환경에서 진단이 필요한 기업을 위해 전용 솔루션도 제공된다.

엔키화이트햇은 ‘React2Shell 취약점 스캐너’를 자사 올인원 오펜시브 보안 플랫폼 ‘오펜(OFFen’)에 추가했다.

[자료: 쉐도우 파운데이션]

비영리 사이버 보안 단체 쉐도우서버 파운데이션은 이미 세계적으로 7만7000개 이상의 IP에서 취약한 리액트 인스턴트가 호스팅되고 있다고 밝혔다. 미국이 약 23만7000개로 가장 많았고 독일(약 9만4000개) 프랑스(약 4만7000개), 인도(약 4만6000개)가 뒤를 이었다. 한국은 2만5000개 IP가 영향을 받았다.

보안 검색 플랫폼 센시스 또한 리액트, Waku, React Router, Next.js, RedwoodSDK를 사용하는 25만 곳 이상의 인스턴스가 잠재적으로 취약하다고 분석했다. 국가별로는 미국이 약 7만개로 가장 많았고 중국(3만개), 독일(2만5000개), 인도(1만3000개)가 뒤를 이었다.

위즈 또한 다수의 피해자를 식별했으며 주로 Next.js 애플리케이션 및 쿠버네티스 컨테이너 환경에서 피해가 발생했다고 보고했다. 공격자들은 AWS 자격 증명 탈취, 암호화폐 채굴기 설치 등을 시도하고 있다.

미국 사이버보안·인프라보안국(CISA) 역시 이 취약점이 현장에서 실제 악용되고 있음을 공식 확인하고, CVE-2025-55182를 ‘악용 중인 알려진 취약점’(KEV) 목록에 추가했다. CISA는 연방 기관들에게 26일까지 취약점을 반드시 패치하도록 지시했다.

[여이레 기자(gore@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)