"제2 Log4j 사태 막자"…티오리, React2Shell 점검 도구 '리액트가드' 공개

[서울=뉴시스]윤정민 기자 = 티오리가 최근 웹 개발 생태계를 뒤흔들고 있는 'CVE-2025-55182', 이른바 '리액트투쉘(React2Shell)' 취약점 대응을 위해 안전하고 신속하게 서버 취약 여부를 점검할 수 있는 웹 기반 도구 '리액트가드'를 공개했다고 9일 밝혔다.

이번 도구는 티오리가 개발한 인공지능(AI) 기반 애플리케이션 보안 점검 솔루션 '진트(Xint)' 기술력을 바탕으로 설계돼 복잡한 분석 과정을 자동화하고 실서비스 환경에서의 노출 여부를 빠르게 식별할 수 있도록 구현됐다.

React2Shell 취약점은 리액트 서버 컴포넌트(RSC)의 통신 방식인 플라이트 프로토콜 설계 문제로 인해 인증 없이 원격에서 임의 코드를 실행할 수 있다는 점이다. 기본 설정 환경에서도 악용될 수 있으며 단 한 줄의 공격 패킷으로 서비스 전체가 장악될 수 있어 보안 업계에서는 로그4j(Log4j) 사태에 버금가는 심각한 위협으로 평가하고 있다. 이미 여러 보안 기관은 즉각적인 패치, 노출 여부 확인 없이는 전 세계 수백만개 React/Next.js 기반 서비스가 위험에 놓여 있다고 경고한 바 있다.

리액트가드는 운영 중인 서비스의 URL을 입력하면 해당 서버가 취약한 플라이트 엔드포인트를 외부에 노출하고 있는지 자동으로 탐지해준다. 설치나 환경 구성 없이 웹에서 즉시 사용할 수 있는 방식이다.

티오리는 리액트가드가 서버에 코드를 실행하거나 데이터를 변경하지 않는 비파괴적 진단 방식을 채택해 안전성을 확보했다고 전했다. 또한 외부에 노출되지 않은 사내망 환경에서의 진단이 필요한 기업을 위해 전용 솔루션도 제공된다.

박세준 티오리 대표는 "React2Shell은 단순한 취약점이 아니라 전 세계 서비스 운영자들에게 구조적 점검을 요구하는 사건이다. '리액트가드'는 복잡한 기술 지식이 없어도 위험 여부를 신속하게 판단하도록 설계됐으며 이번 위협에 대응하는 첫 단계가 될 것"이라고 말했다.

이어 "티오리 연구진은 기업과 사용자 보호를 최우선 과제로 두고 즉시 분석과 대응 체계를 가동했다"며 "여러 단계의 내부 검증과 테스트를 거쳐 리액트가드를 조기에 공개할 수 있었으며 이 도구가 많은 조직이 위험 여부를 신속히 파악하고 선제적으로 대응하는 데 실질적인 도움이 되기를 바란다"고 전했다.


◎공감언론 뉴시스 [email protected]