CloudPNG

ºC

logo
IT/바이오

“리액트투쉘 CVSS 10.0”…엔키화이트햇, 무료 스캐너 공개로 대응 촉구

배주영 기자
입력

오픈소스 프론트엔드 프레임워크 리액트에서 서버 원격 코드 실행이 가능한 중대 취약점이 공개되면서 웹 보안 패러다임이 다시 흔들리고 있다. 국내 보안업체 엔키화이트햇이 CVSS 10.0 등급을 받은 이번 취약점 전용 스캐너를 무료 배포하며 긴급 대응에 나섰다. 쿠팡, 토스, 카카오페이뿐 아니라 페이스북, 인스타그램, 넷플릭스 등 글로벌 플랫폼이 사용하는 핵심 기술 기반에서 결함이 드러난 만큼, 업계에서는 2021년 로그포제이 사태에 버금가는 공급망 보안 위기로 번질 가능성에 주목하고 있다.

 

엔키화이트햇은 9일 자사 공격형 보안 플랫폼 오펜에 리액트 서버 컴포넌트 RSC 원격 코드 실행 취약점 CVE-2025-55182, CVE-2025-66478 존재 여부를 점검하는 리액트투쉘 스캐너를 추가했다고 밝혔다. 이번 취약점은 국제 공통 취약점 등급 시스템 CVSS에서 최고 위험도인 10.0점을 받은 것으로 알려졌다. 회사는 자사 솔루션 도입 여부와 관계없이 누구나 취약성 노출 여부를 확인할 수 있도록 무료 점검 도구를 외부에 개방하기로 했다.

문제가 된 리액트투쉘 취약점은 메타가 개발한 오픈소스 기반 웹 화면 개발 도구 리액트의 서버 컴포넌트 기능과 관련돼 있다. 리액트는 웹사이트 화면을 구성하는 컴포넌트 기반 프레임워크로, 국내 주요 전자상거래, 핀테크, 콘텐츠 서비스뿐 아니라 글로벌 빅테크가 대거 채택한 사실상 표준급 기술이다. 특히 서버에서 화면 정보를 생성해 브라우저로 전송하는 RSC 구조가 확산되면서, 이번과 같은 서버 측 취약점이 서비스 전반의 치명적 위험으로 이어질 수 있다는 경고가 나온다.

 

취약점의 핵심은 서버와 브라우저가 화면 정보를 교환하는 플라이트 프로토콜 처리 로직에 존재하는 구조적 결함이다. 플라이트 프로토콜은 RSC가 생성한 UI 상태와 데이터를 직렬화해 네트워크로 주고받는 규격으로, 클라이언트는 해당 정보를 기반으로 화면을 최종 렌더링한다. 엔키화이트햇 분석에 따르면 공격자는 인증 절차를 거치지 않고도 특수 조작한 악성 HTTP 요청만 전송해 플라이트 프로토콜 파싱 과정을 교란하고, 결국 서버 측에서 임의의 시스템 명령을 실행하게 만들 수 있다. 웹 애플리케이션 자체의 인증 로직을 우회해 서버 운영체제 권한에 접근할 수 있어, 공격 성공 시 서버 장악으로 직결되는 수준의 위협이라는 평가다.

 

특히 이번 기술은 기존 웹 보안 방어 체계가 주로 로그인 세션, API 권한, 입력값 검증 등 애플리케이션 레벨에 집중돼 있다는 점을 비껴간다. 사용자 인터페이스를 효율적으로 전달하기 위한 프로토콜 자체 설계 상 허점을 파고들어, 보안 장비나 웹 방화벽이 정상 트래픽으로 오인할 수 있는 형태로 악성 요청을 주입한다는 점이 특징이다. 업계에서는 이러한 구조적 취약점이 웹 프레임워크 전반의 설계 검증 필요성을 다시 부각시키고 있다고 본다.

 

리액트가 글로벌 웹 서비스 전반에 폭넓게 쓰이는 만큼, 취약점이 악용될 경우 단일 기업 차원을 넘어 전체 웹 생태계의 동시다발적 침해로 이어질 수 있다는 우려도 팽배하다. 실제로 취약점 공개 후 불과 몇 시간 만에 중국 국가배후 해커 조직으로 분류되는 어스라미아와 잭팟판다가 리액트투쉘을 노린 대규모 스캐닝과 침투 시도를 벌인 정황이 포착됐다. 두 조직은 전 세계 IP 대역을 무작위로 탐색하며, 리액트 기반 웹서버를 식별한 뒤 자동화된 공격 스크립트로 취약점 악용을 시도한 것으로 알려졌다.

 

업계는 이런 양상이 2021년 로그포제이 로그포쉘 사태와 유사한 경로를 밟을 수 있다고 본다. 당시에도 자바 로그 라이브러리 한 종의 취약점이 공개되자마자 각국 해커들이 곧바로 익스플로잇을 배포하고 인터넷 전역을 스캔했고, 수많은 기업과 기관 서버가 원격 코드 실행 공격에 노출됐다. 특히 당시와 마찬가지로 오픈소스 공급망 전반에 걸친 패치 난이도, 의존성 관리 문제, 레거시 시스템의 장기 미패치 리스크가 반복될 수 있다는 지적이 나온다.

 

엔키화이트햇은 이번 취약점이 국내외 웹서비스 환경에 치명적인 영향을 미칠 수 있다고 보고, 오펜 내 공격 표면 관리 ASM 긴급 스캐너 기능을 통해 신속 대응에 나섰다고 설명했다. 공격 표면 관리는 기업이 외부로 노출된 도메인, 서브도메인, 클라우드 인스턴스, 웹 애플리케이션을 자동 탐지해 현실적인 공격 진입 지점을 파악하는 기술이다. 회사는 리액트투쉘 관련 규칙을 ASM 스캐너에 긴급 반영해, 고객이 실제 공격 전에 자신의 자산 중 어느 영역이 취약한지 우선적으로 식별할 수 있도록 했다.

 

오펜 서비스를 사용하지 않는 기업이나 개발팀도 해당 취약점 노출 여부를 자체적으로 점검할 수 있도록, 엔키화이트햇은 리액트투쉘 전용 스캐너를 무상으로 외부에 배포했다. 사용자는 공격 표면 관리 ASM 긴급 스캐너 서비스에 접속한 뒤 스캔 버튼을 실행하는 것만으로도 취약점 존재 여부를 확인할 수 있도록 구성돼 있다. 회사 측은 이 도구가 안전 스캔 모드를 채택해 실제 서버에서 시스템 명령을 실행하지 않고도 취약 가능성을 판별하는 방식을 사용해, 운영 중인 서비스에 부하나 장애를 최소화한다고 설명했다.

 

글로벌 차원에서는 이미 웹 프레임워크 취약점을 정조준한 공격 경쟁이 본격화된 상황이다. 미국과 유럽에서는 로그포제이 이후 소프트웨어 자자산 목록 SBOM 관리, 공급망 보안 규제, 필수 보안 패치 가이드라인이 강화되는 흐름이 이어지고 있다. 이번 리액트투쉘 사태도 SBOM 상 리액트 의존성 버전 확인, 자동 패치 배포, 클라우드 네이티브 환경에서의 롤링 업데이트 전략 등을 재점검하는 계기가 될 것으로 보인다.

 

국내에서도 과학기술정보통신부와 관련 기관이 오픈소스 기반 웹서비스 보안 가이드, 위협 정보 공유 체계 강화를 추진하는 흐름과 맞물리며, 이번 사건을 계기로 프레임워크 레벨 취약점 대응 정책이 재정비될 가능성이 제기된다. 특히 공공·금융 분야에서 리액트 기반 프론트엔드와 백엔드 연계 구조를 도입한 사례가 늘고 있어, 식별된 취약점에 대한 패치 적용 우선순위 설정과 영향 범위 평가가 중요 과제로 떠오르고 있다.

 

전문가들은 이번 리액트투쉘 사태가 웹 개발 패턴 자체에 대한 보안 관점을 재정립하는 분기점이 될 수 있다고 본다. 단일 컴포넌트나 모듈의 취약점을 넘어, 서버 렌더링과 클라이언트 렌더링이 결합된 하이브리드 구조, API 게이트웨이, 마이크로서비스 등 복합 아키텍처 전반에서 데이터 흐름과 프로토콜 설계 보안성을 재검증해야 한다는 지적이 이어진다. 동시에 로그 수집, 위협 헌팅, 공격 표면 가시화 등 공격형 관점의 보안 운영 필요성도 부상하고 있다.

 

이성권 엔키화이트햇 대표는 웹 개발 환경이 오픈소스 기반으로 급변하면서 단 하나의 취약점도 기업에 심각한 타격을 줄 수 있는 상황이라고 말했다. 그는 엔키화이트햇이 앞으로도 국내 기업 환경에 특화된 공격 표면 및 취약점 탐지 서비스와 심층 보안 점검을 오펜을 통해 지속적으로 제공하겠다고 밝혔다. 산업계는 리액트투쉘과 같은 고위험 취약점이 실제 시장에 어떤 피해를 남길지, 그리고 선제 대응 체계가 새로운 표준으로 자리 잡을 수 있을지 주시하고 있다.

배주영 기자
share-band
밴드
URL복사
#엔키화이트햇#리액트투쉘#오펜