CloudPNG

ºC

logo
IT/바이오

"리액트투쉘 CVSS 10점"…웹 생태계, 제2 Log4j 공포 확산

오태희 기자
입력

리액트 서버 컴포넌트에서 발견된 리액트투쉘 취약점이 전 세계 웹 생태계를 뒤흔들고 있다. 메타가 개발한 오픈소스 자바스크립트 라이브러리 리액트는 웹 화면 구축 표준처럼 활용되고 있어, 단일 라이브러리의 결함이 금융과 커머스, 대형 포털까지 아우르는 인터넷 인프라 전체 리스크로 번지고 있다. 업계는 2021년 로그포제이 사태에 버금가는 대형 보안 위기로 보고 있으며, 이미 중국 배후 해커조직이 공격 스캔에 나선 정황까지 확인되면서 선제 대응 속도가 보안 경쟁의 분기점이 될 수 있다는 평가가 나온다.

 

보안업계에 따르면 티오리와 엔키화이트햇은 최근 리액트투쉘로 명명된 리액트 서버 컴포넌트 취약점 점검 도구를 잇달아 공개했다. 이번 취약점은 CVE-2025-55182, CVE-2025-66478로 등록됐고 사전 인증 없이 원격에서 코드를 실행할 수 있는 RCE 유형으로 분류된다. 리액트 및 리액트 기반 프레임워크 넥스트 제이에스를 사용하는 서버에서 공격자가 단 한 번의 요청만으로 임의 코드를 실행할 수 있어, 패치가 지연되면 서버 전체가 해커에 장악될 가능성이 제기된다.

리액트는 메타가 공개한 오픈소스 라이브러리로, 사용자 인터페이스를 컴포넌트 단위로 나눠 구성하는 방식이 특징이다. 여기에 서버에서 화면을 미리 렌더링하는 리액트 서버 컴포넌트 구조가 더해지면서, 서버와 클라이언트가 긴밀히 연결된 현대 웹 아키텍처의 핵심 역할을 맡고 있다. 특히 넥스트 제이에스 등 메이저 프레임워크는 서버에서 데이터를 처리한 뒤 HTML을 생성해 전달하는 기능을 제공하는데, 이번 취약점은 바로 이 서버 컴포넌트 처리 과정에서 인증 여부를 제대로 검증하지 못해 발생하는 것으로 분석된다. 공격자는 정상 요청처럼 보이는 패킷에 악성 페이로드를 삽입해 서버 측 코드 실행 흐름을 가로채고, 명령어를 주입해 시스템을 장악하는 방식으로 악용할 수 있다.

 

실제 공격에 활용될 경우 피해 범위는 광범위하다. 서버 한 대가 뚫리면 내부망으로의 이동 공격, 이른바 레터럴 무브먼트가 이어질 수 있다. 결제 서버와 고객 데이터베이스, 메일 시스템, 인증 인프라 등 기업 핵심 시스템 전체로 감염이 확산될 위험이 있다. 공격자는 관리자 권한을 탈취해 중요 데이터를 삭제하거나 변조하고, 악성 스크립트를 심어 랜섬웨어를 설치한 뒤 파일을 암호화해 서비스 중단과 금전 요구 공격을 병행할 수 있다. 이용자 입장에서는 가짜 로그인 화면이나 결제창 삽입을 통한 계정 정보, 카드 정보 탈취 등 직·간접 피해가 동반될 수밖에 없다.

 

국내외 웹 서비스가 리액트를 대거 채택해 온 점은 위기를 키우는 요인이다. 넥스트 제이에스를 포함한 리액트 생태계는 글로벌 통계에서 웹 프레임워크 사용량 1위를 차지하고 있으며, 국내에서도 네이버, 카카오, 토스, 쿠팡 등 대형 플랫폼과 금융·커머스 업체가 적극 도입해 왔다. 네이버 디투에스에프가 올해 상반기 국내 개발자를 대상으로 진행한 설문에서 향후 리액트를 사용하겠다고 답한 비율이 94.4퍼센트를 기록한 바 있어, 생태계 의존도가 매우 높은 상황이 수치로 확인된 셈이다. 앞으로 신규 서비스뿐 아니라 기존 서비스 유지보수에서도 리액트 비중이 커질 것으로 보여, 특정 취약점이 곧 산업 전반의 구조적 위험으로 직결되는 구조가 됐다.

 

이번 사태는 2021년 자바 로깅 라이브러리 로그포제이에서 발견된 로그포쉘 취약점을 떠올리게 한다는 평가가 지배적이다. 당시에도 취약점 공개 직후 전 세계 해커들이 자동화된 스캐닝과 공격 도구를 동원해 무차별 공격에 나섰고, 기업과 기관은 광범위한 시스템을 일일이 점검·패치해야 했다. 리액트투쉘 역시 웹 애플리케이션 개발의 기본 도구에 해당하는 컴포넌트에서 발생했다는 점, 공격 난이도가 낮고 파급 범위가 넓다는 점에서 유사성이 크다는 분석이 뒤따르고 있다.

 

공격 징후도 이미 포착됐다. 보안 커뮤니티와 위협 인텔리전스 보고에 따르면 취약점 공개 후 몇 시간 안에 어스 라미아, 잭팟 판다로 불리는 중국 배후 해커조직이 리액트투쉘을 겨냥한 대규모 스캐닝에 나선 정황이 발견됐다. 서버 IP 대역을 무작위로 대상으로 삼아 취약한 엔드포인트를 찾는 자동화 스캐너가 가동된 것으로 파악되며, 일부 환경에서는 실제 침투 시도 및 랜섬웨어 연계 공격이 탐지됐다는 보고도 이어지고 있다. 국제 공통 취약점 등급 시스템 CVSS는 리액트투쉘에 최고 위험 점수인 10점을 부여해, 신속한 조치가 이뤄지지 않을 경우 대규모 피해가 현실화될 수 있음을 경고했다.

 

국내에서도 대응 체계가 가동됐다. 한국인터넷진흥원은 이달 5일 리액트 서버 컴포넌트 보안 업데이트 권고 공지를 내고, 관련 패치 적용을 서둘러야 한다고 강조했다. 이어 6일에는 리액트투쉘 취약점을 악용한 랜섬웨어 위협이 실제로 발생하고 있다며 구체적인 대응 수칙을 제시했다. 주요 권고사항은 외부 접속 관리 강화, 불필요한 네트워크 서비스 중지, 시스템 원격 접속 계정 정보의 평문 저장 금지, 정기적인 백업 관리, 이메일 사용자 교육과 피싱 대응 훈련, 이메일 시스템 관리자 보안 점검, 네트워크 스토리지 장비 보안 강화 등이다. 단기 패치만이 아니라 계정·네트워크·백업 전반을 동시에 강화해야 한다는 점을 분명히 한 셈이다.

 

보안업계는 진단 도구를 긴급 배포하며 현장 지원에 나섰다. 티오리는 리액트투쉘 취약 여부를 점검할 수 있는 웹 기반 도구 리액트가드를 공개했다. 서버에 코드를 추가로 실행하거나 설정을 변경하지 않고도 취약 여부를 확인하는 비파괴적 진단 방식을 채택해 운영 중인 서비스에 부담을 최소화했다. 외부에 노출되지 않은 사내망 환경에서의 점검 수요에 대응하기 위해 온프레미스 형태의 전용 솔루션도 함께 제공한다는 계획이다. 박세준 티오리 대표는 리액트투쉘은 개별 버그가 아니라 전 세계 서비스 운영자에게 구조적 점검을 요구하는 사건이라며 조직이 위험 여부를 신속히 파악하고 선제적으로 대응할 수 있도록 지원하겠다고 말했다.

 

엔키화이트햇도 공격형 보안 플랫폼 오펜에 리액트투쉘 스캐너를 탑재했다. 오펜은 실제 공격자 관점에서 취약점을 탐지하는 오펜시브 보안 플랫폼으로, 이번 업데이트를 통해 리액트 기반 서비스의 자동화된 취약점 스캔 기능을 추가했다. 특히 자사 서비스를 사용하지 않는 기업도 이번 위협에 대응할 수 있도록 스캐너를 무상 공개하기로 했다. 이성권 엔키화이트햇 대표는 오픈소스 중심으로 재편된 웹 개발 환경에서 단 하나의 취약점도 기업에 치명상을 줄 수 있는 상황이라며, 고객사와 외부 조직이 위험을 빠르게 식별하고 조치할 수 있도록 선제적 대응 체계를 마련했다고 설명했다.

 

전문가들은 리액트투쉘 사태가 단기 패치 이슈를 넘어 소프트웨어 공급망 관리와 오픈소스 거버넌스 체계를 재점검하는 계기가 될 수 있다고 본다. 리액트와 넥스트 제이에스 같은 핵심 컴포넌트를 사용하는 기업은 패키지 버전 관리, 서드파티 라이브러리 검증, 자동화된 보안 테스트 도입 여부 등을 다시 살펴야 한다. 동시에 취약점 공개와 패치 배포, 운영 환경 반영 사이의 시간차를 줄일 수 있는 조직 내 프로세스 구축도 중요 과제로 떠오르고 있다. 산업계는 리액트투쉘이 실제 대규모 침해 사고로 이어질지, 아니면 신속한 대응으로 피해를 최소화한 사례로 남을지 예의주시하고 있다. 기술 혁신 속도만큼이나 보안 역량과 제도적 대비가 웹 생태계의 지속 가능성을 좌우하는 핵심 조건이 되고 있다.

오태희 기자
share-band
밴드
URL복사
#리액트투쉘#리액트#log4j