React2Shell 취약점 실전 악용과 한국 내 대규모 위협

React2Shell(CVE-2025-55182) 실전 공격 시작… 한국 18만여 개 서버 직접 위협

React 생태계를 뒤흔드는 치명적 취약점 ‘React2Shell(CVE-2025-55182)’이 공개된 직후, 중국 연계 해킹 조직들이 이를 악용해 실전 공격을 즉시 전개한 사실이 확인됐다. 취약점이 공개된 지 하루도 지나지 않아 공격이 시작되면서 전 세계가 경계 태세에 들어섰고, 한국 역시 수십만 개의 React·Next.js 기반 서버가 인터넷에 노출된 상태로 위험에 놓여 있다.

1️⃣ React2Shell — CVSS 10점, 단일 요청으로 RCE 가능

React2Shell은 React Server Components(RSC)가 사용하는 ‘Flight’ 프로토콜에서 발생한 구조적 결함으로, 인증 없는 단 한 번의 HTTP 요청만으로 임의 코드 실행(RCE)이 가능한 취약점이다. CVSS 10점이라는 최고 심각도로 평가되며, 전 세계 웹 개발·운영 생태계에 큰 충격을 주고 있다.

2️⃣ 공개 후 몇 시간 만에 실전 공격… 중국 해킹 조직 두 곳 확인

AWS 위협 인텔리전스팀은 중국 국가배후 해킹 조직으로 알려진 Earth Lamia와 Jackpot Panda가 React2Shell을 활용해 대규모 스캐닝과 침투 공격을 실행했다고 밝혔다.

공격에 동원된 인프라 상당수가 중국 내 ASN 기반으로 식별되면서, 이번 위협이 단순 사이버 범죄 수준이 아니라 국가 단위의 조직적 공격이라는 점이 드러났다.

3️⃣ 해외 기업들에서도 이미 2차 피해 발생

인터넷에 유출된 여러 PoC(Proof of Concept)로 인해 공격 자동화가 급격히 확산되고 있으며, 일부 해외 기업에서는 서버 장악 후 다음과 같은 2차 피해가 확인됐다.

• 암호화폐 채굴 프로세스 설치
• 자격증명 탈취 도구 배포
• 지속적 통제용 백도어 설치

공개 하루 만에 공격이 본격화된 점은 2021년 Log4Shell 사태와 유사한 흐름이라는 평가가 나온다.

4️⃣ 한국은 이미 위험권 — 18만 9천여 개 서버 노출

국내 인터넷에 노출된 React·Next.js 기반 서버는 분석 결과 약 18만 9천여 개에 달한다. 취약점 공개 하루 만에 실전 공격 사례가 나타났다는 점을 고려하면 한국 역시 예외가 될 수 없다.

특히 Next.js는 기본적으로 SSR과 RSC 기능이 활성화된 경우가 많아, 개발사가 스스로 취약 여부를 즉시 판단하기 어렵다는 점이 문제로 지적된다.

5️⃣ 패치가 끝이 아니다 — 전체 재빌드·재배포 필수

React와 Next.js는 긴급 패치를 발표했지만, 단순 버전 업데이트만으로는 보호되지 않는다. 반드시 전체 프로젝트를 재빌드하고 재배포해야 취약점이 실제로 제거된다.

글로벌 클라우드 기업들이 WAF 임시 규칙을 배포 중이지만, 이는 일시적 방어에 불과하며 근본적인 대응은 개발사가 직접 패치를 적용해야 한다.

6️⃣ 보안 전문가들이 제시하는 즉시 조치

• 전사 React·Next.js 서비스 전수 조사
• 최신 긴급 패치 적용 후 전체 재빌드·재배포
• WAF·IPS 탐지 규칙 업데이트
• 서버 프로세스·로그 실시간 모니터링 강화
• 의심 징후 발견 시 즉시 초기 대응 수행

전문가들은 “React2Shell은 이미 실전 공격 단계에 있으며, 대응 속도가 피해 규모를 좌우한다”고 경고하고 있다.

7️⃣ React2Shell이 남긴 교훈 — 웹 공급망 전체의 위기

이번 사태는 단순 취약점이 아니라 전 세계 웹 공급망을 뒤흔든 구조적 위협으로 평가된다. 한국 기업과 기관 역시 개발과 보안을 분리해 사고하는 기존 방식에서 벗어나 통합적 관점의 보안 체계를 갖추는 것이 필수적이다.

[React RSC 원격 코드 실행 취약점 CVE]

2025.12.08 - [IT 소식 뉴스/CVE CODE] - React RSC 원격 코드 실행 취약점 CVE-2025-55182, CVE-2025-66478

React RSC 원격 코드 실행 취약점 CVE-2025-55182, CVE-2025-66478