북한 해커 React2Shell 취약점 악용 EtherRAT 유포
북한과 연계된 해커 조직이 React Server Components(RSC)의 치명적 취약점 ‘React2Shell(CVE-2025-55182)’을 실제 공격에 활용해 신종 악성코드 EtherRAT을 유포한 정황이 확인됐다. 보안업계는 이를 두고 “2025년 최악의 웹 취약점이 국가 주도 사이버 작전에 본격 활용되기 시작했다는 신호”라고 평가한다.
React와 Next.js는 한국의 공공·금융·전자상거래·스타트업 환경에서 매우 널리 사용되고 있다. 이 때문에 이번 공격은 특정 기업에 국한되지 않고, 한국 전체 웹 생태계가 직접적인 위험에 노출돼 있다는 점에서 각별한 주의가 요구된다.
1️⃣ React2Shell, 오늘 당장 공격 가능한 상태
React2Shell은 인증 절차 없이 서버에서 임의 코드 실행이 가능한 구조적 결함으로, 공개 직후 CVSS 10.0이라는 최악의 점수를 받았다. 이는 공격자가 웹 애플리케이션을 통해 서버 명령줄을 직접 장악하는 것과 동일한 수준의 위력을 가진다.
북한 해커들은 이 취약점을 자동화된 스캐너로 탐지한 뒤, Base64로 인코딩된 명령을 전달해 외부에서 악성 스크립트를 다운로드하고 실행하는 방식으로 EtherRAT을 설치한 것으로 분석됐다.
• 인증 없이 원격 코드 실행 가능
• 웹 애플리케이션 단에서 서버 장악
• 자동화 공격에 매우 적합한 구조
• 대규모 동시 침투 가능성 높음
2️⃣ EtherRAT, 단순 백도어가 아닌 완성형 APT 도구
EtherRAT은 기존의 단순 백도어와는 차원이 다르다. 감염 직후 서버 내부에 Node.js 런타임을 직접 설치해 자신만의 실행 환경을 구축한다. 이는 운영자가 인지하지 못한 상태에서 외부 실행 환경이 루트 권한으로 설치되는 매우 위험한 행위다.
이 런타임은 공격자가 원하는 악성 스크립트를 언제든 실행할 수 있는 사실상의 원격 제어 엔진 역할을 한다. 서버는 더 이상 정상 운영 상태라고 보기 어렵다.
3️⃣ 5중 이상 지속성 확보…제거 어려운 구조
EtherRAT은 감염 이후 최소 5가지 이상의 지속성 기법을 동시에 설정한다. 단일 방식이 제거되더라도 다른 경로를 통해 악성코드가 다시 살아나도록 설계돼 있다.
• systemd 서비스 등록
• cron 스케줄 추가
• XDG 자동 실행 등록
• .bashrc 코드 삽입
• 사용자 프로파일 변조
이 구조는 일반적인 백도어 제거 방식으로는 완전한 정리가 거의 불가능하며, 사고 대응 과정에서 시스템 재구성이 필요한 수준의 위협이다.
4️⃣ 이더리움 블록체인 기반 C2 은닉
EtherRAT의 가장 위협적인 특징은 명령·제어(C2) 서버 정보를 이더리움 블록체인 스마트컨트랙트에 숨긴다는 점이다.
DNS, IP, URL 차단 중심의 기존 보안 체계로는 이 구조를 차단하기가 사실상 불가능하다. 공격자는 스마트컨트랙트 값만 변경해도 전 세계 감염 서버의 C2 연결을 즉시 전환할 수 있다.
| 항목 | 설명 | 위험성 |
|---|---|---|
| C2 위치 | 이더리움 스마트컨트랙트 | 매우 높음 |
| 노드 조회 방식 | 9개 RPC 노드 다수결 | 차단 난이도 극상 |
| 통신 주기 | 0.5초 실시간 폴링 | 즉각적 원격 제어 가능 |
5️⃣ 북한 기존 캠페인과의 명확한 연관성
EtherRAT은 과거 북한 연계 공격 캠페인인 ‘Contagious Interview’와 기술적 유사성이 강하게 관찰된다. 기존에는 개인 개발자를 노린 공격이었다면, 이번에는 웹 서버로 공격 범위를 확장한 것이다.
이는 북한의 사이버 작전이 개인 → 기업 → 기관으로 진화하고 있음을 보여주는 신호로, 한국이 가장 먼저 영향을 받을 가능성이 높다는 분석이 나온다.
6️⃣ 한국 기업·기관이 지금 해야 할 조치
• 모든 React / Next.js 서비스 취약점 점검
• RSC 기능 사용 여부 확인 및 패치 재빌드
• 서버 내 비정상 Node.js 설치 여부 점검
• 이더리움 RPC 트래픽 발생 여부 모니터링
• 행위 기반 탐지 체계 강화
특히 일반 서버 환경에서 이더리움 RPC 호출이 발생한다면 EtherRAT 감염 가능성을 매우 높게 의심해야 한다.
7️⃣ 한국은 이미 주요 표적
한국은 금융·공공·기업 전반이 웹 기반 서비스로 빠르게 전환된 국가다. React2Shell과 같은 구조적 취약점이 악용될 경우, 동시다발적 피해가 발생할 위험이 크다.
보안 전문가들은 “이 취약점은 북한이 실제 공격에 사용하기 시작한 순간부터 한국은 직접적인 표적이 된다”며, 단순 패치를 넘어 서버 동작을 세밀하게 관찰하는 지속적 모니터링 체계가 필수라고 강조한다.
'IT 소식 뉴스 > IT 소식' 카테고리의 다른 글
| 국정원 AI 보안 가이드북 핵심 분석 (0) | 2025.12.14 |
|---|---|
| 개인정보위 2026년 업무계획- 사후제재 중심에서 사전예방 중심으로 개인정보 보호 체계 전환 예고 (0) | 2025.12.14 |
| 도커허브 이미지 인증정보 대량 노출 (0) | 2025.12.14 |
| 맥OS의 숨겨진 기능과 macOS 팁 8가지 (1) | 2025.12.10 |
| React2Shell 취약점 점검 스캐너 긴급 배포 (0) | 2025.12.10 |