"전 세계 수천만 웹 서버 무력화"…'리액트투쉘'은 무엇?

4년만에 '최악의 보안 취약점'이 다시 발견됐다. 전 세계 수천만 웹서버를 일시에 무력화 할 수 있는 '리액트투쉘(React2shell)'이다. 

보안 전문가들은 '리액트투쉘이' 2021년 12월 등장한 대형 보안 취약점 '로그포제이(Log4j)'와 비슷한 정도의 '대형 보안 취약점'이라고 진단했다. 국내 웹사이트도 18만대 이상이 사용하고 있는 것으로 알려졌다. 

9일 지디넷코리아는 리액트투쉘 취약점을 톺아봤다.

리액트투쉘이란?

리액트투쉘은 메타(Meta) 웹서비스 개발에 사용되는 라이브러리인 '리액트(React)' 프레임워크에 영향을 미치는 취약점으로, CVE-2025-55182으로 분류된다. Next.js 등 리액트 기반의 다른 프레임워크에도 피해를 줄 수 있는 취약점으로 알려졌다.

리액트투쉘을 악용하면 공격자는 조작된 HTTP 페이로드를 전송하기만 해도 인증 없이 서버로부터 원격 코드 실행(RCE), 즉 서버 장악이 가능하다.

쉽게 예를 들면 라면 가게에서 라면 하나를 주문하는 상황이라고 가정했을 때, 종업원에게 "라면 하나 만들어주고 가게 금고(서버)도 열여줘"라고 요청하면 종업원이 주문자가 누구인지 검증하지도 않고 가게 금고를 열어주는 상황을 가능케 하는 취약점이다.

어떻게 발견됐나?

깃허브에서 라클란 데이비드슨(Lachlan Davidson)으로 활동하고 있는 한 화이트해커가 메타 리액트에서 리액트투쉘 취약점을 발견했고, 공익적 차원에서 메타 측에 해당 내용을 제보하면서 리액트투쉘이 세간에 알려졌다.

라클란 데이비드슨은 "지난달 29일(현지 시간) 리액트투쉘 취약점을 메타에 책임감 있게 공개했다"며 "최초 공개 및 패치 배포는 리액트에서 이달 3일(현지 시간) 진행됐다"고 설명했다.

그는 "실제 공개 PoC(개념증명)는 최초 공개 후 약 30시간 만에 유포되기 시작됐다"며 "저도 몇 시간 후 PoC를 공유했다"고 밝혔다.

제2의 '로그포제이 사태'?…CVSS '만점' 취약점

실제로 해당 취약점은 CVSS 점수 만점인 10.0점을 받았다. CVSS는 소프트웨어 보안 취약점의 심각도를 평가하고 점수화하는 표준 프레임워크로, 0.0부터 10.0까지의 점수를 매긴다. 점수가 높을수록 취약점이 심각함을 의미한다.

CVSS 만점인 리액트투쉘은 인터넷 역사 사상 최악의 보안 결함으로 꼽히는 '로그포제이(Log4j) 사태'를 일으킨 취약점 '로그포쉘(Log4shell)'과 같은 점수다.

앞서 로그포제이 사태는 자바(Java) 프로그래밍 언어로 제작된 로그포제이 라이브러리 대부분에서 중대한 보안 취약점이 발견된 사건으로 요약된다. 당시 로그포쉘도 비밀번호 등 인증 절차 없이 해커가 사용자의 컴퓨터를 사실상 원격 조종할 수 있는 수준인 것으로 조사돼 리액션투쉘과 닮아있다. 자바 프로그래밍 언어가 거의 모든 곳에서 사용되는 점을 감안하면 당시 모든 서버가 위험한 상태였다.

CVSS 10.0은 평가 기준상 악용 시 기밀성, 무결성, 가용성 모두에 완전한 영향을 주거나, 네트워크 접근, 권한 상승 없이도 공격이 가능한 경우다.

실제로 로그프레소 분석에 따르면 Next.js의 경우 기본 실행 상태에서도 익스플로잇(취약점 공격)이 가능할 정도로 공격이 쉬운 것으로 나타났다.

국내에서도 위기감은 감지된다. 로그프레소 측도 지난 5일 발표한 리액트투쉘 분석 보고서에서 "리액트투쉘은 로그포쉘에 비견될 정도로 심각하다"며 "CVSS 점수 10.0을 받아 매우 위중한 보안 위협으로 평가되고 있다"고 밝힌 바 있다.

또 엔키화이트햇에 따르면 리액트투쉘 발견 이후 중국 배후 해커 조직이 실전 공격을 진행한 것으로 알려졌다.

"지금 당장 패치하라" 보안업계 경고

보안업계는 리액트 및 리액트 기반 라이브러리의 버전을 리액트투쉘 패치가 적용된 19.3.0 버전 이상으로 업데이트하라고 당부하고 있다. 한국인터넷진흥원(KISA)도 'React 서버 컴포넌트 보안 업데이트 권고' 공지를 통해 영향을 받는 버전을 사용 중인 사용자는 해결 방안에 따라 최신 버전으로 업데이트라하라고 권고하고 있다.

오펜시브 보안 기업들은 리액트투쉘 취약점에 영향을 받는지 직접 확인할 수 있는 스캐너 서비스를 오픈하고 있다. 오펜시브 보안 전문 기업 엔키화이트햇(대표 이성권)은 자사 올인원 오펜시브 보안 플랫폼 OFFen(오펜)에 'React2shell 취약점 스캐너'를 긴급히 추가했다. 티오리(Theori)도 국내외 웹서비스에 치명적 영향을 줄 수 있는 만큼 URL(인터넷주소) 입력 만으로 React2shell 취약점에 영향을 받는지 즉시 진단할 수 있는 사이트를 공개했다.

이용준 극동대 해킹보안학과 교수는 "리액트투쉘은 굉장히 심각한 상황"이라고 강조하며 "해커가 웹사이트 계정 탈취, 네트워크 스캐닝 등 다양한 공격이 가능하다. 국내 웹사이트 18만대 이상이 사용하고 있어 피해가 심각할 수 있다"고 설명했다.

이 교수는 "React, Next.js 등 영향권 내 라이브러리를 전수조사해 최신 버전 패치가 적용될 수 있도록 신속히 조치돼야 한다"며 "기업이 당장 할 수 있는 조치로는 웹 방화벽에서 React, Next.js 등의 비정상 호출을 차단하는 등의 조치가 필요하다"고 당부했다.

관련기사

그는 이어 "근본적인 해결책으로는 웹사이트에 사용되는 라이브러리에 대한 SBOM(소프트웨어 자재 명세서) 제작을 통해 취약점 악용을 막는 것이 필요하겠다"고 역설했다.

보안업계 관계자는 "리액트투쉘은 4년전 로그포제이 사태 때처럼 전 세계 수천만 웹 서버 및 사이트를 한 번에 무력화시킬 수 있는 중대한 결함"이라며 "당장 최신 버전으로 라이브러리를 업데이트하지 않으면 랜섬웨어, 데이터 탈취, 서비스 마비 등 보안 위협으로부터 자유롭지 않다"고 경고했다.