2026.01.12 월요일
검색
'액트' 검색결과
기간검색
-
~
검색영역
검색어
-
중국 해커조직 '리액트2섈' 취약점 무차별 공격… 클라우드 40% 위험 노출 [이코노믹데일리] 전 세계 웹 개발 생태계의 표준으로 자리 잡은 ‘리액트(React)’ 프레임워크에서 치명적인 보안 취약점이 발견돼 중국계 해커 조직의 무차별 공격이 시작됐다. 아마존웹서비스(AWS)와 보안 업계는 이번 사태가 2021년 전 세계를 강타했던 ‘로그4j(Log4j)’ 사태에 버금가는 파급력을 가질 수 있다고 경고했다. 10일 AWS 및 보안 업계에 따르면 지난 3일 공개된 ‘리액트2섈(React2Shell·CVE·2025·55182)’ 취약점을 노린 중국 지능형 사이버 지속공격(APT) 그룹의 활동이 포착됐다. 이 취약점은 리액트 19.x 버전과 이를 기반으로 한 프레임워크 ‘넥스트js(Next.js)’ 15~16.x 버전의 서버 컴포넌트에 존재한다. 해커는 이를 악용해 별도의 인증 절차 없이 원격으로 서버를 장악하거나 랜섬웨어를 배포하는 등 치명적인 피해를 입힐 수 있다. 문제는 공격 속도와 범위다. AWS 분석 결과 어스 라미나(Earth Lamia)와 잭팟 판다(Jackpot Panda) 등 중국 정부를 배후에 둔 것으로 추정되는 해킹 조직은 취약점이 공개된 지 불과 수 시간 만에 이를 무기화해 실전 공격에 투입했다. 이들은 통상적인 개념 증명(PoC) 코드의 검증 과정조차 건너뛰고 보안 패치가 적용되기 전 광범위한 영역을 빠르게 타격하는 속도전 양상을 보이고 있다. 이번 사태의 심각성은 리액트와 넥스트js의 압도적인 시장 점유율에서 기인한다. 글로벌 클라우드 보안 기업 위즈는 전체 클라우드 환경의 약 40% 이상이 이번 취약점의 영향권에 있다고 분석했다. 소프트웨어 공급망의 원재료 단계에서 문제가 발생했기 때문에 공격이 정밀하지 않더라도 다수의 기업과 기관이 속수무책으로 뚫릴 수 있는 구조다. 실제로 해당 취약점은 공통 취약점 등급 시스템(CVSS)에서 위험도 만점인 10.0 등급을 부여받았다. 이는 시스템의 기밀성 무결성 가용성을 모두 파괴할 수 있는 최고 수준의 위협을 의미한다. 국제 사회도 기민하게 움직이고 있다. 미국 보안 기업 팔로알토네트웍스는 지난 주말 사이에만 30개 이상의 조직이 공격 영향을 받았다고 밝혔다. 원격 코드 실행(RCE)을 노린 스캐닝 활동과 AWS 자격 증명 파일 탈취 시도가 감지됐으며 공격 배후로 중국 국가안전부(MSS)와의 연계 가능성이 제기됐다. 브렛 리서맨 미 연방수사국(FBI) 사이버 부국장은 IT 보안팀에 즉각적인 최신 패치 업데이트와 침해 징후 모니터링을 지시했다. 국내 보안 업계도 비상 대응 태세를 갖추고 있다. 보안 기업 티오리는 지난 9일 리액트2섈 대응 도구인 ‘리액트가드’를 무료로 공개해 기업들의 자가 진단을 돕고 있다. 네트워크 보안 기업 파이오링크 또한 자사 웹방화벽 ‘웹프론트-K’에 전용 탐지 및 차단 솔루션을 긴급 배포했다. 보안 당국인 한국인터넷진흥원은 보호나라 공지를 통해 리액트 최신 패치 적용을 강력히 권고했다. KISA 관계자는 "패치가 나오고 있지만 보안 역량이 부족한 중소기업 등은 신속한 대응이 어려울 수 있다"며 "공격이 소강상태가 아닌 현재 진행형인 만큼 국내 위협이 될 만한 IP를 식별해 안내하고 있다"고 밝혔다. 전문가들은 이번 취약점이 서버단에서 직접 코드를 실행할 수 있는 구조적 문제를 안고 있어 단순한 방화벽 설정만으로는 방어가 어렵다고 지적한다. 이용준 극동대 해킹보안학과 교수는 "국내 웹사이트 18만 대 이상이 해당 라이브러리를 사용하는 것으로 파악된다"며 "기업들은 라이브러리 전수 조사를 통해 최신 패치를 적용하고 비정상적인 호출을 차단하는 등 적극적인 조치를 취해야 한다"고 조언했다.2025-12-10 08:23:45
-
티오리, "URL만 넣으면 1초 진단"…'제2의 로그4j' 사태 막는다. [이코노믹데일리] 사이버 보안 전문 기업 티오리(대표 박세준)가 최근 전 세계 웹 개발 생태계를 강타한 ‘리액트투쉘(React2Shell)’ 취약점에 대응하기 위해 누구나 쉽게 서버 안전성을 점검할 수 있는 무료 도구 ‘리액트가드(ReactGuard)’를 9일 공개했다. ‘리액트투쉘’은 리액트(React)의 서버 컴포넌트(RSC) 통신 프로토콜 설계 결함에서 비롯된 치명적인 보안 취약점이다. 해커가 인증 절차 없이 조작된 패킷 한 줄만 보내도 원격으로 서버의 제어권을 탈취할 수 있어, 2021년 전 세계를 공포에 떨게 했던 ‘로그4j(Log4j)’ 사태에 비견될 만큼 위험도가 높다. 미국 보안 기업 위즈(Wiz)에 따르면 전체 클라우드 환경의 약 40%가 이 취약점의 영향권에 있는 것으로 추정된다. 티오리가 공개한 ‘리액트가드’는 별도의 프로그램 설치 없이 웹사이트에 접속해 운영 중인 서비스의 URL만 입력하면 즉시 취약 여부를 판별해 준다. 티오리의 AI 기반 보안 자동화 솔루션 ‘진트(Xint)’의 핵심 엔진을 적용해 복잡한 분석 과정을 자동화했다. 특히 서버에 실제 코드를 실행하거나 데이터를 변조하지 않는 ‘비파괴적 진단’ 방식을 채택해, 서비스 운영 중단이나 장애 걱정 없이 안전하게 점검할 수 있다는 것이 강점이다. 박세준 티오리 대표는 “React2Shell은 단순한 버그가 아니라 전 세계 웹 서비스 운영자들에게 즉각적인 대응을 요구하는 구조적 위협”이라며 “복잡한 보안 지식이 없어도 누구나 신속하게 위험 여부를 파악할 수 있도록 리액트가드를 긴급 개발해 무료로 공개했다”고 밝혔다. 티오리는 보안이 중요한 기업 내부망 환경을 위한 전용 진단 솔루션도 별도로 제공할 계획이다. 한편 한국인터넷진흥원(KISA) 등 국내외 주요 보안 기관들도 해당 취약점에 대한 긴급 보안 업데이트를 권고하며 기업들의 각별한 주의를 당부하고 있다.2025-12-09 16:40:48
-
![[2025 국감] 김동섭 사장 5공 시추 계획...최소 5번은 해야 한다는 말](https://image.ajunews.com//content/image/2025/10/20/20251020151700609100.png)
김동섭 사장 "5공 시추 계획...최소 5번은 해야 한다는 말" [이코노믹데일리] 김동섭 한국석유공사 사장은 '5공 시추' 계획의 과학적 근거가 부족하다는 지적에 "꼭 5번을 해야 한다는 말이 아니라 장기적인 관점에서 성공률이 20%니까 최소한 다섯 번 정도는 해야 한다는 말이었다"고 해명했다. 20일 강원랜드에서 열린 산업통상자원중소벤처기업위원회(이하 산자위) 국정감사에서 박지혜 더불어민주당 의원은 "대왕고래 프로젝트의 핵심 근거였던 '5공 시추' 계획이 과학적으로 근거가 부족하다"고 주장했다. 박지혜 의원은 일명 '대왕고래'로 명명된 동해 심해 가스전 개발 프로젝트와 관련해 "당시 정부는 탐사 성공률이 20%라면서 5번의 시추가 필요하다고 주장했다"며 "발언 당시 어떠한 근거가 있었냐"고 김동섭 사장에게 물었다. 박 의원의 자료에 따르면 '5공이 필요하다'고 최초로 언급한 사람은 김동섭 사장으로 그는 2024년 석유공사 이사회에서 해당 발언을 했다. 이에 김 사장은 "꼭 5번을 해야 한다는 말이 아니라 장기적인 관점에서 성공률이 20%니까 최소한 다섯 번 정도는 해야 한다는 말"이라고 답했다. 이어진 질의에서 박 의원은 "성공률 20%가 5번 뚫으면 1번 성공한다는 뜻이 아니지 않냐"고 반박했다. 그는 "액트지오(ACT-GEO)는 단일 성공률 20%를 보고한 적이 없으며 이사회 자료상 대왕고래 탐사 성공률은 19.1%, 7개 유망구조 평균은 15% 정도"라며 꼬집었다. 성공률 20%에 대한 근거로 김 사장은 "당시 오영주 중소벤처기업부 장관께서 19.1%를 반올림해서 20%라고 말씀하셨고, 지난 국감 때 상위 3개 구조를 평균 내면 20%라고 말씀드린 바 있다"고 답했다. 박 의원은 이 같은 무리한 사업 추진의 배경으로 당시 대통령 지지율 하락을 꼽았다. 그는 "당시 윤 대통령의 지지율이 급락하자 이를 반등시키기 위한 '보여주기식 성과'에 집착한 것"이라며 "산업부와 석유공사가 이에 공조했다"고 말했다. 이어 "5번 시추 계획의 발표 경위에 대해 감사원 공익 감사를 청구해야 한다"고 주장했다. 김 사장은 "대왕고래 탐사는 투자의 일부분"이라며 "첫 번째 실패했다고 중단한 것은 아니다. 프런티어(개척) 영역에서 개발하기 위해서는 한 번으로는 안 될 것"이라고 설명했다. 이날 국감에서는 대왕고래 프로젝트의 지질 안정성은 물론 사업성 검증과 액트지오 선정 과정에 대한 갑론을박이 이어졌다. 김한규 더불어민주당 의원은 '대왕고래 프로젝트'의 용역사 선정이 부실하게 이뤄졌다고 지적했다. 이에 대한 답으로 김 사장은 "여태까지는 자체적으로 결정을 해왔다"며 "규정을 세심하게 살피지 못한 부분이 있다. 앞으로는 세심하게 살피도록 하겠다"고 답했다. 앞서 김원이 더불어민주당 의원은 "윤석열 대통령이 시작한 대환거래 프로젝트가 결국 대국민 대국민사기국으로 막을 내리고 있다"며 "동해 심해가스전 국제입찰에 브리티시 페트롤리엄(BP)를 포함해 두세 곳의 글로벌 기업들이 제안서를 제출했다는데 정확하게 몇 군데 기업이 입찰에 참여했으며 입찰 지원 날짜를 각각 알려달라"고 자료를 요구했다.2025-10-20 16:12:54
-
대왕고래 실패에도...동해탐사팀 내부 성과 최고 등급 평가 논란 [이코노믹데일리] 동해 심해 유전 개발사업인 '대왕고래 프로젝트'가 최종 실패로 결론이 났지만 한국석유공사의 해당 프로젝트 담당 팀은 내부 성과 평가에서 최고 등급을 받은 것으로 나타났다. 24일 국회 산업통상자원중소벤처기업위원회 소속 김한규 의원(더불어민주당)이 입수한 석유공사 '2024년도 조직 성과 평가 결과 보고'에 따르면 동해탐사팀은 S등급을 받았다. 동해탐사팀은 대왕고래 프로젝트를 담당하는 팀이다. 평가 대상인 104개팀 중 최고 등급을 받은 팀은 동해탐사팀을 포함해 8개팀이었다. 동해탐사팀은 석유공사 내부 계량 평가 지표에서 만점을, 비계량 평가 중 경영 개선 기여도(15점 만점) 역시 만점에 가까운 14.4점을 획득했다. 대왕고래 프로젝트는 윤석열 정부가 동해 심해 가스전에 관심을 가지면서 시작된 사업이다. 미국 자문사 액트지오에 의뢰한 결과, 당시 정부는 대왕고래 일대 해저에 석유 환산 기준으로 최소 35억 배럴, 최대 140억 배럴이 매장된 것으로 추정된다는 결과를 받았다. 그로부터 2년이 지난 지난 21일 한국석유공사는 '대왕고래'라 불리는 유망구조에 대해 최종적으로 경제성이 없다고 밝혔다. 동해탐사팀이 속한 E&P·에너지사업본부 국내사업개발처도 부서 평가에서 두 번째 높은 등급인 A등급을 받았다. 석유공사는 해당 평가 결과를 바탕으로 개인별 등급을 산정해 성과 연봉을 연말까지 지급할 예정이다.2025-09-24 09:42:34
-
동성제약 임시주총 D-1...소액주주 표심이 승부의 '게임체인저' [이코노믹데일리] 동성제약이 오는 12일 열리는 임시주주총회를 앞두고 운명의 갈림길에 서 있다. 11일 업계에 따르면 이번 주총 안건에는 정관 변경, 이사 및 감사의 선임·해임이 포함돼 있어 향후 경영권 향방을 좌우할 분수령이 될 전망이다. 핵심 변수는 소액주주들의 표심이다. 브랜드리팩터링(약 11.2%)과 이양구 전 회장 측(약 13%), 나원균 대표 측(약 3%)의 지분만으로는 과반을 확보하기 어려운 만큼 다수의 소액주주가 어느 쪽을 지지하느냐가 승부를 가를 것이다. 분쟁의 출발은 올 4월 이 전 회장이 조카인 나 대표와 사전 협의 없이 자신의 보유 지분 14.12%를 브랜드리팩터링에 매각하며 조짐을 보였다. 매도가는 당시 주가 3820원보다 약 14.8% 낮은 3256원이었으며 거래 조건에는 경영 복귀 보장 정황도 포함돼 논란이 불거졌다. 이 전 회장의 매각으로 회사가 흔들리자 동성제약은 지난 5월 서울회생법원에 기업회생절차 개시를 신청했고 법원은 포괄적 금지명령 및 재산보전처분을 내렸다. 이어 6월에는 기업회생절차가 개시되며 공동관리인 체제로 전환됐다. 이로 인해 동성제약의 주가는 회생절차 직후 2780원에서 973원까지 급락하며 소액주주 피해 우려가 현실화됐다. 이 전 회장과 브랜드리팩터링은 서울고등법원에 대표이사·이사 직무집행정지 가처분을 신청했으나 기각됐다. 재판부는 이미 기업회생 절차의 공동관리인 체제가 도입돼 추가 조치가 불필요하다고 판단했으며 자금 유용·주가조작 등의 혐의는 증거 불충분이라 인정되지 않았다. 이후 양측은 서로를 횡령·배임 혐의로 고발하며 형사 사건으로 확산됐다. 내일 열릴 주총 안건에는 △정관 변경 △이사 선임(이 전 회장 포함 8명) △이사 해임(나 대표 등 현 경영진 3인) △감사 선임 및 해임 등이 포함돼 있으며 특히 정관 변경과 이사 해임 등의 출석 주주의 3분의 2 이상, 발행주식 총수의 3분의 1 이상 찬성이 필요한 특별결의 사항이다. 브랜드리팩터링(약 11.2%), 이 전 회장 측(약 13%), 나 대표 측(약 3%) 지분만으로는 과반 확보가 어려운 만큼 사실상 소액주주들의 표심이 최대 변수로 떠올랐다. 양측 모두 소액주주 확보에 총력을 기울이고 있으며 현재 소액주주 대표 플랫폼 ‘액트’는 브랜드리팩터링 지지를 선언한 상태다. 업계 관계자는 “소액주주 비중이 80% 이상이어서 결과는 예측하기 어렵다”면서도 “만약 브랜드리팩터링 측이 승리할 경우 이 전 회장의 복귀와 현 경영진의 해임이 현실화될 가능성이 있을 것”이라고 내다봤다.2025-09-11 17:14:17
많이 본 뉴스
영상
Youtube 바로가기
![[데스크 칼럼] 바닥 찍은 건설 현장에 규제부터 덮쳤다](https://image.ajunews.com/content/image/2026/01/12/20260112101626314489_518_323.jpg)