React2Shell 실전 악용 확산 서버 장악

React2Shell 실전 악용 확산 서버 장악

리액트(React) 기반 서비스에서 발견된 치명적 취약점 React2Shell이 실제 공격에 적극적으로 악용되고 있다. 이 취약점은 CVE-2025-55182로 분류됐으며, 인터넷에서 접근 가능한 서버에 특수 제작된 요청만 전달해도 원격 명령 실행(RCE)이 가능하다는 점에서 매우 높은 위험도를 가진다.

초기 단계에서는 취약한 서버를 대량으로 찾는 자동화 스캔이 중심이었지만, 최근에는 침투 이후 서버를 장기간 장악하기 위한 후속 행위가 더욱 빈번하게 관측되고 있다.

실전 공격으로 이어진 React2Shell

다수의 위협 인텔리전스 분석에 따르면, 여러 국가 기반의 위협 그룹이 React2Shell을 실제 공격에 사용한 정황이 확인됐다. 공개된 공격 코드가 빠르게 확산되면서 공격 속도와 빈도 또한 눈에 띄게 증가한 상황이다.

공격자들은 단순히 서버를 침해하는 데서 멈추지 않고, 침투 이후 장기적인 접근 권한을 확보하는 데 초점을 맞추고 있는 것으로 분석된다.

리눅스 백도어 설치 사례

현장 대응 보고에서는 React2Shell로 침투한 서버에 리눅스 기반 백도어가 설치된 사례가 확인됐다. 일부 분석에서는 정상 프로세스를 위장하는 원격접근 도구가 사용돼 탐지를 회피하려는 정황도 함께 언급됐다.

특정 지역을 대상으로 한 공격 사례에서는 ZnDoor 계열 백도어가 설치되는 흐름이 확인됐으며, 이 백도어는 다음과 같은 기능을 제공하는 것으로 정리된다.

원격 명령 실행 및 파일 열람·삭제
시스템 정보 수집 및 지속성 유지
프록시·포트포워딩 기능을 통한 내부망 확장

공격자들의 다음 목표 서버 다음은 키·토큰

보안 대응 가이드에서는 공격자들이 서버에서 임의 명령을 실행한 뒤 리버스 셸을 생성하거나 원격 관리 도구를 설치하는 흐름이 반복적으로 관측되고 있다고 설명한다.

특히 SSH 설정을 조작해 접근 권한을 유지하려는 시도, 예를 들어 authorized_keys 변조나 루트 로그인 활성화 같은 행위도 함께 확인되고 있다.

클라우드 환경에서는 피해가 더욱 현실적으로 확장된다. 공격자는 서버 내에서 클라우드 토큰과 자격증명을 찾기 위해 자동화된 탐지 스크립트를 실행하며, 여기에는 API 키, CI/CD 비밀값, 외부 AI 서비스 연동 키까지 포함될 수 있다.

패치가 1순위지만 패치만으로는 부족

여러 관측 기관은 취약한 React·Next.js 서버가 여전히 인터넷에 광범위하게 노출돼 있으며, 자동화된 악용 시도도 계속되고 있다고 경고한다.

보안 업계의 공통된 권고는 단순히 패치를 적용하는 데서 끝나지 않는다. 패치 이후 반드시 이미 침투가 발생했는지 여부를 점검해야 한다는 점이 강조된다.

갑작스러운 wget·curl 다운로드 기록
새로 추가된 SSH 키 또는 계정
정체 불명의 원격 관리 에이전트 실행 흔적
프록시·포트포워딩 동작 여부

키·토큰 교체의 중요성

침투 가능성이 완전히 배제되지 않는 경우, 패치 여부와 관계없이 중요 자격증명 교체가 필요하다는 조언도 나온다. 침투 기간 동안 클라우드 토큰, API 키, SSH 키가 이미 유출됐을 가능성을 고려해야 하기 때문이다.

서비스 영향도를 분석해 우선순위를 정하고, 단계적으로 자격증명을 로테이션하는 대응이 현실적인 피해 확산을 막는 핵심 조치로 꼽힌다.