[이코노믹데일리] 전 세계 웹 개발 생태계의 표준으로 자리 잡은 ‘리액트(React)’ 프레임워크에서 치명적인 보안 취약점이 발견돼 중국계 해커 조직의 무차별 공격이 시작됐다. 아마존웹서비스(AWS)와 보안 업계는 이번 사태가 2021년 전 세계를 강타했던 ‘로그4j(Log4j)’ 사태에 버금가는 파급력을 가질 수 있다고 경고했다.
10일 AWS 및 보안 업계에 따르면 지난 3일 공개된 ‘리액트2섈(React2Shell·CVE·2025·55182)’ 취약점을 노린 중국 지능형 사이버 지속공격(APT) 그룹의 활동이 포착됐다. 이 취약점은 리액트 19.x 버전과 이를 기반으로 한 프레임워크 ‘넥스트js(Next.js)’ 15~16.x 버전의 서버 컴포넌트에 존재한다. 해커는 이를 악용해 별도의 인증 절차 없이 원격으로 서버를 장악하거나 랜섬웨어를 배포하는 등 치명적인 피해를 입힐 수 있다.
문제는 공격 속도와 범위다. AWS 분석 결과 어스 라미나(Earth Lamia)와 잭팟 판다(Jackpot Panda) 등 중국 정부를 배후에 둔 것으로 추정되는 해킹 조직은 취약점이 공개된 지 불과 수 시간 만에 이를 무기화해 실전 공격에 투입했다. 이들은 통상적인 개념 증명(PoC) 코드의 검증 과정조차 건너뛰고 보안 패치가 적용되기 전 광범위한 영역을 빠르게 타격하는 속도전 양상을 보이고 있다.
이번 사태의 심각성은 리액트와 넥스트js의 압도적인 시장 점유율에서 기인한다. 글로벌 클라우드 보안 기업 위즈는 전체 클라우드 환경의 약 40% 이상이 이번 취약점의 영향권에 있다고 분석했다. 소프트웨어 공급망의 원재료 단계에서 문제가 발생했기 때문에 공격이 정밀하지 않더라도 다수의 기업과 기관이 속수무책으로 뚫릴 수 있는 구조다. 실제로 해당 취약점은 공통 취약점 등급 시스템(CVSS)에서 위험도 만점인 10.0 등급을 부여받았다. 이는 시스템의 기밀성 무결성 가용성을 모두 파괴할 수 있는 최고 수준의 위협을 의미한다.
국제 사회도 기민하게 움직이고 있다. 미국 보안 기업 팔로알토네트웍스는 지난 주말 사이에만 30개 이상의 조직이 공격 영향을 받았다고 밝혔다. 원격 코드 실행(RCE)을 노린 스캐닝 활동과 AWS 자격 증명 파일 탈취 시도가 감지됐으며 공격 배후로 중국 국가안전부(MSS)와의 연계 가능성이 제기됐다. 브렛 리서맨 미 연방수사국(FBI) 사이버 부국장은 IT 보안팀에 즉각적인 최신 패치 업데이트와 침해 징후 모니터링을 지시했다.
국내 보안 업계도 비상 대응 태세를 갖추고 있다. 보안 기업 티오리는 지난 9일 리액트2섈 대응 도구인 ‘리액트가드’를 무료로 공개해 기업들의 자가 진단을 돕고 있다. 네트워크 보안 기업 파이오링크 또한 자사 웹방화벽 ‘웹프론트-K’에 전용 탐지 및 차단 솔루션을 긴급 배포했다.
보안 당국인 한국인터넷진흥원은 보호나라 공지를 통해 리액트 최신 패치 적용을 강력히 권고했다. KISA 관계자는 "패치가 나오고 있지만 보안 역량이 부족한 중소기업 등은 신속한 대응이 어려울 수 있다"며 "공격이 소강상태가 아닌 현재 진행형인 만큼 국내 위협이 될 만한 IP를 식별해 안내하고 있다"고 밝혔다.
전문가들은 이번 취약점이 서버단에서 직접 코드를 실행할 수 있는 구조적 문제를 안고 있어 단순한 방화벽 설정만으로는 방어가 어렵다고 지적한다. 이용준 극동대 해킹보안학과 교수는 "국내 웹사이트 18만 대 이상이 해당 라이브러리를 사용하는 것으로 파악된다"며 "기업들은 라이브러리 전수 조사를 통해 최신 패치를 적용하고 비정상적인 호출을 차단하는 등 적극적인 조치를 취해야 한다"고 조언했다.
댓글 더보기