"2021년 Log4j 악몽 재현"…'리액트포쉘' 취약점에 웹 생태계 초비상

[서울=뉴시스]윤정민 기자 = 전 세계 웹 프레임워크 사용량 1위 '리액트(React)'에 심각한 보안 취약점이 발견됐다. 단일 기업 사고로 끝날 문제가 아니라 리액트를 기반으로 한 전 세계 웹 생태계 전체를 위협할 수 있는 수준이다.

일반 이용자가 사용하는 대형 웹사이트 역시 영향을 받을 수 있어 인터넷 자체를 흔드는 사건이라는 평가도 나온다. 취약점을 악용한 공격 시도가 확인되자 정부와 보안업계도 일제히 대응에 나섰다.

10일 보안업계에 따르면 티오리, 엔키화이트앳은 최근 '리액트투쉘(React2Shell)'이라 불리는 보안 취약점(CVE-2025-55182, CVE-2025-66478) 점검 도구를 공개했다.

리액트는 메타가 개발한 오픈소스 기반 자바스크립트 라이브러리로, 웹 화면을 구축하는 데 가장 널리 쓰인다. 특히 리액트 기반 프레임워크 '넥스트(Next).js'까지 포함하면 전 세계 대부분의 웹 서비스가 리액트 생태계를 활용한다고 해도 과언이 아니다. 국내에서도 네이버, 카카오, 토스, 쿠팡 등 주요 IT 기업과 금융·커머스 플랫폼이 폭넓게 사용하고 있는 것으로 알려졌다.

네이버 D2SF가 지난 4~5월 국내 개발자 대상으로 한 설문조사에 따르면 '리액트를 사용하겠다'고 답한 비율이 94.4%에 달할 정도로 높은 인기를 끌고 있다. 높은 생산성과 풍부한 생태계, 개발 인력 수급 용이성이 리액트 인기를 끌어올린 요인으로 꼽힌다.

이 리액트에 최근 심각한 취약점 '리액트투쉘'이 발견됐다. 리액트 서버 컴포넌트(RSC)에서 발생한 사전 인증 원격 코드 실행(RCE) 취약점인데 공격자가 단 한 번의 요청만으로 인증 없이 서버에서 임의 코드를 실행할 수 있다.

이 취약점을 제때 해결하지 않는다면 서버 전체가 해커에게 장악될 수 있다. 공격자는 임의 명령을 실행해 중요 데이터를 삭제하거나 변조하고 관리자 권한까지 탈취할 수 있다.

서버 한 대가 뚫리면 공격자는 내부망으로 이동해 결제 서버, 고객 데이터베이스(DB), 사내 메일 시스템 등 핵심 인프라를 연쇄적으로 감염시킬 수 있다. 이 과정에서 내부 네트워크 전체가 무력화될 가능성도 있다.

공격자는 서버에 악성 스크립트를 심어 랜섬웨어를 설치하고 파일을 암호화해 서비스 운영을 중단시키거나 금전을 요구하는 공격을 전개할 수 있다. 실제로 많은 랜섬웨어 조직이 이와 같은 RCE 취약점을 이용해 초기 침투를 시도해 왔다.

이용자 피해도 크다. 가짜 로그인 화면이나 결제창을 삽입해 개인정보와 결제 정보를 대규모로 탈취하는 방식이다. 국내 주요 플랫폼 다수가 리액트를 사용하고 있는 만큼 취약점 대응이 지연될 경우 결제 시스템, 전자상거래 등 국민 생활과 직결된 서비스가 연쇄적으로 중단될 위험이 있다.

이에 업계에서는 2021년 '로그포제이(Log4j)·로그포쉘(Log4Shell)' 사태와 유사하다는 반응이 나온다. 인터넷 역사상 최악의 보안 결함으로 꼽히는 이 사태는 당시에도 취약점 공개 직후 전 세계 해커들이 즉시 공격에 나서면서 수많은 기업·기관의 서버가 위험에 노출됐다.

이번 사태 역시 취약점이 공개된 지 불과 몇 시간 만에 중국 배후 해커조직으로 분류되는 '어스 라미아(Earth Lamia)', '잭팟 판다(Jackpot Panda)' 등이 리액트투쉘을 악용한 대규모 스캐닝과 침투 시도를 수행한 것으로 확인됐다.

이에 지난 3일 리액트투쉘은 국제 보안 등급인 '공통 취약점 등급 시스템(CVSS)'에서 최고 위험도인 10.0점을 받았다.

한국인터넷진흥원(KISA)은 지난 5일 공지를 통해 리액트 서버 컴포넌트 보안 업데이트를 권고했다. 6일에는 취약점을 악용한 랜섬웨어 위협이 발생하고 있어 보안 담당자들의 사전 점검·대비가 필요하다며 ▲외부 접속 관리 강화(불필요한 네트워크 서비스 중지 등) ▲계정 관리 강화(시스템 원격 접속 계정정보 평문 저장 금지 등) ▲백업 관리 강화 ▲이메일 사용자 보안 강화 ▲이메일 시스템 관리자 보안점검 ▲네트워크 연결 스토리지(NAS) 보안 강화 방안 등을 안내했다.

티오리는 리액트투쉘 여부를 점검할 수 있는 웹 기반 도구 '리액트가드'를 공개했다. 서버에 코드를 실행하거나 데이터를 변경하지 않는 비파괴적 진단 방식을 채택해 안전성을 확보했으며 외부에 노출되지 않은 사내망 환경에서의 진단이 필요한 기업을 위해 전용 솔루션도 제공된다.

박세준 티오리 대표는 "리액트투쉘은 단순한 취약점이 아니라 전 세계 서비스 운영자들에게 구조적 점검을 요구하는 사건"이라며 "많은 조직이 위험 여부를 신속히 파악하고 선제적으로 대응하는 데 실질적인 도움이 되기를 바란다"고 전했다.

엔키화이트햇도 자사 공격형(오펜시브) 보안 플랫폼 '오펜(OFFen)'에 리액트투쉘 스캐너를 추가했다. 오펜 서비스를 이용하지 않는 기업도 해당 취약점 노출 여부를 자체적으로 확인할 수 있도록 스캐너를 무상으로 외부에 공개·지원하기로 했다.

이성권 엔키화이트햇 대표는 "웹 개발 환경이 오픈소스 기반으로 급변하면서 단 하나의 취약점도 기업에 심각한 타격을 줄 수 있는 상황"이라며 고객들이 신속하게 위험을 식별하고 조치할 수 있도록 선제적이고 신속한 대응방안을 제공·공개했다고 설명했다.


◎공감언론 뉴시스 [email protected]