React·Next.js 겨냥한 React2Shell 공격 전세계 확산

React·Next.js 겨냥한 React2Shell 공격 한국 포함 전세계 확산

React 기반 웹 애플리케이션을 겨냥한 치명적인 원격 코드 실행(RCE) 취약점 ‘React2Shell’을 악용한 공격이 한국을 포함해 전 세계적으로 빠르게 확산되고 있다. 취약점 공개 이후 인터넷에는 수백 개의 공격 코드(PoC)가 등장했으며, 이 가운데 일부는 웹 애플리케이션 방화벽(WAF)을 우회해 실제 공격에 사용 가능한 수준으로 확인됐다.

React2Shell 취약점 개요

React2Shell은 React Server Components(RSC) 프로토콜 처리 과정에서 발생하는 안전하지 않은 역직렬화 문제로, 공격자가 원격에서 임의의 코드를 실행할 수 있는 치명적 결함이다.
CVE-2025-55182로 등록됐으며, CVSS 점수는 최고 등급인 10.0으로 평가됐다.

이 취약점은 React 오픈소스 자체뿐 아니라, Next.js 등 React 생태계 전반에 영향을 미치는 구조적 문제로 지적된다. 특히 RSC를 사용하는 서비스에서는 별도의 인증 우회 없이도 공격 경로가 열릴 수 있어 파급력이 크다.

취약점 공개 직후 실제 공격 관측

보안 업계에 따르면 취약점 공개 직후부터 실제 공격이 관측됐다. 아마존 위협 인텔리전스는 중국과 연계된 공격 그룹들이 React2Shell을 악용한 정황을 확인했다고 밝혔다.

이후 기회주의적 공격자들까지 가세하면서 크립토마이너 설치, 정보 탈취 악성코드 유포, 웹 서버 백도어 설치 등 다양한 공격이 전 세계적으로 시도되고 있다.

145개 PoC 분석 결과… 대부분은 가짜, 일부는 실전 가능

트렌드마이크로는 React2Shell 관련 공개 개념증명(PoC) 약 145개를 분석한 결과를 공개했다. 분석 결과, 대부분의 PoC는 실제 취약점을 트리거하지 못하거나 동작하지 않는 코드, 혹은 AI로 대량 생성된 가짜 코드로 확인됐다.

일부 PoC에는 백도어나 악성 기능이 포함돼 있어, 연구자나 개발자가 검증 목적으로 실행하더라도 오히려 피해를 입을 수 있는 사례가 발견됐다.

다만 트렌드마이크로는 일부 PoC는 실제 취약점 트리거가 가능하며, 표적 공격이나 침투 테스트에 악용될 수 있는 수준이라고 경고했다.

Godzilla 웹셸 포함 PoC 확인

위협 인텔리전스 기업 벌른체크(VulnCheck) 역시 React2Shell 관련 공격 코드를 분석한 결과를 공개했다. 벌른체크의 제이콥 베인스(Jacob Baines) CTO는 “이번에 공개된 React2Shell PoC의 양은 지금까지 분석한 어떤 취약점보다 많았다”고 밝혔다.

벌른체크 연구진이 확인한 일부 PoC에는 실제 공격에서 사용돼 온 메모리 기반 웹셸 Godzilla를 로딩하는 기능이 포함돼 있었다. 이는 서버 내부에 은밀히 상주하며 지속적인 원격 제어를 가능하게 하는 고위험 도구다.

중국어 GUI 도구·WAF 우회 기법 등장

일부 PoC는 단순한 스크립트 수준을 넘어 GUI 기반 공격 도구 형태로 제작됐다. 이 가운데에는 중국어 인터페이스를 가진 도구도 포함돼 있었으며, 유니코드 인코딩을 활용해 WAF 탐지를 우회하는 기능이 구현돼 있었다.

또 다른 PoC는 취약점을 악용해 경량 WAF를 서버에 설치하는 이례적인 방식도 사용했다. 공격 목적이 아닌 방어 실험 사례로, 기술적으로 흥미로운 접근으로 평가됐다.

WAF 과신은 위험… 우회 사례 다수 확인

클라우드플레어, AWS 등 주요 클라우드 사업자는 React2Shell 공격을 차단하기 위한 WAF 규칙을 배포했다. 그러나 트렌드마이크로는 단순 패턴 매칭 기반 WAF는 충분하지 않다고 경고했다.

효과적인 방어를 위해서는 단일 문자열 차단이 아닌
▲ $@ 청크 참조
▲ resolved_model 문자열
▲ constructor:constructor 패턴
▲ _formData.get 패턴 등
다중 탐지 규칙이 필요하다고 분석됐다.

Next.js 개발사, WAF 우회 버그바운티까지 개설

Next.js를 관리하는 버셀(Vercel)은 React2Shell 대응을 위해 WAF 우회 버그바운티 프로그램을 개설했다. HackerOne을 통해 운영되며, 고위험 우회 기법에는 최대 2만5천 달러, 치명적 사례에는 최대 5만 달러의 보상이 책정됐다.

“패치 없이는 근본 대응 불가”

보안 전문가들은 WAF만으로 React2Shell 위협을 완전히 차단하는 것은 어렵다고 입을 모은다. 패치가 지연된 시스템이나 맞춤형 설정 환경은 충분히 표적 공격의 대상이 될 수 있다는 것이다.

React 및 Next.js 기반 서비스를 운영하는 조직은 다음과 같은 조치를 즉시 수행해야 한다.

• 공식 패치 즉시 적용
• React Server Components 사용 여부 점검
• 불필요한 기능 비활성화
• WAF 규칙 다중 강화
• 침해 지표 기반 모니터링 강화

“공개 PoC가 등장한 취약점은 반드시 실제 공격으로 이어진다”는 점에서, 이번 React2Shell 사태 역시 선제적 대응 여부가 피해 규모를 가르는 핵심 변수가 될 전망이다.