CloudPNG

ºC

logo
IT/바이오

"AI로 React2Shell 추적"…티오리, 리액트가드 공개로 웹보안 경보

김태훈 기자
입력

인공지능 기반 보안 점검 기술이 전 세계 웹 서비스의 새로운 리스크로 떠오른 React2Shell 취약점 대응에 투입되고 있다. 국내 스타트업 티오리가 서버 측 리액트 환경에서의 원격 코드 실행 위협을 자동으로 점검하는 도구를 공개하며, 소프트웨어 공급망 전반에 걸친 보안 불안을 완화할 수 있을지 주목된다. 업계에서는 이번 조치를 로그4j 사태 이후 재점화된 웹 런타임 보안 경쟁의 분기점으로 본다.

 

티오리는 최근 CVE-2025-55182로 등록된 React2Shell 취약점에 대응하기 위해 웹 기반 점검 도구 리액트가드를 공개했다고 9일 밝혔다. 사용자는 운영 중인 서비스의 주소를 입력하는 것만으로 해당 서버가 취약한 리액트 서버 컴포넌트 플라이트 엔드포인트를 외부에 노출하고 있는지 자동 진단할 수 있다. 별도 설치나 환경 구성이 필요 없는 방식으로 설계됐다.

React2Shell은 리액트 서버 컴포넌트가 서버와 클라이언트 사이에서 데이터를 교환할 때 사용하는 플라이트 프로토콜 설계 결함을 노린 취약점이다. 공격자는 인증 없이 해당 통신 채널을 악용해 서버에서 임의 코드를 실행할 수 있어, 원격 코드 실행 취약점으로 분류된다. 기본 설정 상태의 서비스에서도 악용될 수 있고 최소한의 공격 패킷으로 전체 서비스 장악까지 이어질 수 있다는 점에서, 보안 업계는 과거 로그4j 라이브러리 결함에 비견되는 위협으로 평가하고 있다.

 

리액트가드는 티오리가 자체 개발한 인공지능 기반 애플리케이션 보안 점검 솔루션 진트의 기술을 바탕으로 구현됐다. 진트는 웹 애플리케이션의 구조와 통신 패턴을 학습해 잠재적 취약 구간을 자동 분석하는 플랫폼으로, 사람이 일일이 로그를 확인하거나 트래픽 패턴을 수작업 분석하던 과정을 자동화하는 데 초점이 맞춰져 있다. 리액트가드는 이 엔진을 React2Shell에 특화된 형태로 재구성해, 플라이트 엔드포인트 식별과 악용 가능성 판단 과정을 단일 웹 인터페이스에서 처리하도록 했다.

 

특히 이번 도구는 서버 측에서 실제 코드를 실행하거나 데이터를 변경하지 않는 비파괴적 진단 방식을 택했다. 의심 엔드포인트에 대해 공격 패턴을 모사하되, 시스템 상태를 바꾸지 않는 탐지 전용 요청만 전송하는 구조다. 보안 점검 도구 자체가 장애를 유발하거나 추가적인 보안 리스크를 만들 수 있다는 업계 우려를 반영해 설계된 부분이다.

 

시장 측면에서 React와 Next.js는 글로벌 웹 프런트엔드와 서버 환경을 사실상 표준처럼 점유하고 있어, 이번 취약점의 영향 범위가 광범위할 것으로 분석된다. 이미 여러 보안 기관은 패치 적용과 노출 여부 확인이 이뤄지지 않으면 전 세계 수백만 개 서비스가 위험에 노출될 수 있다고 경고한 상태다. 실제로 기업 입장에서는 애플리케이션 코드뿐 아니라 미들웨어 구성, 서버 배포 파이프라인 전체를 점검해야 해, 자동화된 진단 수단의 필요성이 커지는 상황이다.

 

해외에서는 로그4j 사태 이후 취약점 자동 스캐닝과 소프트웨어 자재명세 관리 플랫폼이 빠르게 확산됐지만, React2Shell처럼 특정 프레임워크의 통신 프로토콜을 정조준하는 취약점에 대해서는 아직 대규모 상용 점검 서비스가 초기 단계에 머물러 있다는 평가가 나온다. 티오리는 이번 도구 공개로 국내뿐 아니라 글로벌 웹 개발 생태계에서 선제적 대응 레퍼런스를 확보하겠다는 전략이다.

 

기업의 실제 도입 구도도 변수다. 리액트가드는 공개 웹 서비스 형태로 누구나 접근할 수 있는 버전을 제공하면서, 외부로 노출되지 않은 사내망 환경을 점검하려는 기업을 위해 전용 솔루션도 별도 공급한다. 규제 산업이나 금융, 공공기관처럼 외부 도구 접속이 제한된 조직에서는 온프레미스 형태의 폐쇄망 진단 도구가 필요하기 때문이다. 티오리는 진트 기반 엔진을 기업 내부망에 배치해 자체적으로 React2Shell 점검을 돌릴 수 있는 형태를 제안하고 있다.

 

규제 측면에서는 아직 React2Shell 자체가 특정 규제 당국의 별도 지침 대상으로 분류되지는 않았지만, 소프트웨어 공급망 보안과 취약점 관리에 대한 감독 강화 기조와 맞물릴 가능성도 제기된다. 일부 국가에서는 주요 정보통신기반시설 운영자가 심각한 등급의 취약점에 대한 탐지와 조치 현황을 신고하도록 요구하는 흐름이 강해지고 있어, 자동 진단 도구의 활용이 컴플라이언스 준수 수단으로 평가될 여지도 있다.

 

박세준 티오리 대표는 React2Shell을 단순한 개별 취약점이 아니라, 전 세계 서비스 운영자에게 구조적인 점검 체계 전환을 요구하는 사건으로 규정했다. 그는 리액트가드가 높은 수준의 보안 지식이 없는 운영자나 개발자라도 위험 노출 여부를 빠르게 판단할 수 있도록 설계됐다며, 제2의 로그4j 사태를 막기 위한 첫 단계가 될 수 있을 것으로 내다봤다. 이어 티오리 연구진이 기업과 사용자 보호를 최우선 과제로 두고 긴급 분석과 대응 체계를 가동해 여러 차례 내부 검증과 테스트를 거친 뒤 도구를 조기 공개했다며, 더 많은 조직이 자체적인 위험 수준을 파악하고 선제적으로 대응 전략을 세우는 데 실질적인 도움이 되기를 기대한다고 말했다.

 

산업계는 React2Shell 대응 도구가 얼마나 빠르게 개발 현장과 운영 환경에 스며들 수 있을지 주시하고 있다. 웹 프레임워크 의존도가 높아질수록 개별 취약점의 파급력은 커지고 있어, 자동 점검 플랫폼과 공급망 보안 체계를 함께 강화하는 것이 새로운 성장과 안전을 동시에 담보하는 조건으로 떠오르고 있다.

김태훈 기자
share-band
밴드
URL복사
#티오리#리액트가드#react2shell