(서울=뉴스1) 윤주영 기자 = 웹 개발 프레임워크로 널리 쓰이는 '리액트(React)' 취약점이 최근 발굴되면서, 이를 중국 해커조직이 무차별적으로 공격에 활용하기 시작했다. 해커는 로그인 절차를 우회한 뒤 서버를 원격 조작할 수 있고, 이는 랜섬웨어 등 2차 피해로 이어질 수 있다.
국내외 서버 상당수가 리액트에 기반한 탓에 광범위한 해킹 피해로 이어질 수 있다는 우려가 나온다. 기관은 자사 시스템이 영향을 받는지 점검하고, 서둘러 최신 보안패치를 해야 한다.
10일 아마존 웹서비스(AWS) 및 보안업계에 따르면 이달 3일 리액트가 '리액트2섈(React2Shell·CVE-2025-55182)'이라는 취약점을 가졌단 사실이 공개됐다.
이 취약점은 리액트 19.x 버전 및 리액트 기반 프레임워크 '넥스트js'의 15~16.x 버전에 영향을 미친다. 구체적으로 리액트 서버의 구성요소(컴포넌트)에 존재한다.
문제는 중국 지능형 사이버 지속공격(APT) 집단의 신속한 움직임이다. AWS에 따르면 중국 정부를 배후로 둔 어스 라미나, 잭팟 판다 등 조직은 취약점이 공개된 지 수 시간 만에 이를 무기화하고 실전 배치했다.
특히 공격 캠페인은 정교함보다는, 넓은 영역을 빠르게 타격하는 데 초점을 뒀다고 AWS는 분석했다.
이에 따르면 해킹 그룹은 취약점을 무기화한 'PoC 코드'의 동작 검증을 건너뛰고, 바로 공격에 투입하는 상황이다. 보안 패치가 이뤄지기 전 빠르게 초기 침투를 달성하려는 것이다.
리액트나 넥스트js가 널리 쓰이는 탓에 공격이 정밀하지 않더라도 상당 기관이 침투를 허용할 수 있다. 글로벌 보안기업 위즈(Wiz)에 따르면 전체 클라우드 환경의 약 40% 이상이 취약점에 영향을 받는다.
소프트웨어(SW) 원재료인 공급망 단에서 문제가 터진 거라, 예상보다 여파가 클 수 있다고 보안업계는 인식하고 있다. 취약점은 공통 취약점 등급시스템(CVSS)에서 위험도 만점인 10.0 등급을 받았다. 2021년 최악의 SW 공급망 보안위협 사태로 기록된 'Log4j' 취약점과도 비견된다.
국내외 정보보안 기관 및 업계도 촉각을 곤두세우고 있다.
외신에 따르면 미국 보안기업 팔로알토네트웍스는 지난 주말 30개 이상의 조직이 영향을 받았다고 분석했다. 원격 코드 실행(RCE)을 노린 스캐닝, AWS 구성 및 자격 증명 파일 탈취 시도 등이 감지됐다. 공격이 중국 국가안전부(MSS)와 연계된 것일 수 있다고 팔로알토는 덧붙였다.
브렛 리서맨 미 연방수사국(FBI) 사이버 부국장은 IT 팀들에게 "즉각 최신 패치 버전으로 업데이트하고, 침해 징후가 어떤 표적을 겨냥하는지 모니터링하라"고 지시했다.
국내의 경우 보안기업 티오리가 9일 '리액트2섈' 대응 도구인 '리액트가드'를 무료로 공개했다. 파이오링크(170790) 역시 자사 웹방화벽 '웹프런트-K(WEBFRONT-K)'에 전용 탐지·차단 설루션을 긴급 배포했다.
보안 당국인 한국인터넷진흥원(KISA)은 최근 보호나라 공지를 통해 리액트의 최신 패치를 권고했다. 취약점이 방치될 경우 랜섬웨어 등 피해로 이어질 수 있다고 경고했다.
KISA 관계자는 "패치가 이뤄지고 있다곤 하나 역량이 안되는 기업들은 신속대응하기 어렵다. 공격은 소강상태가 아닌 현재진행형"이라며 "국내 위협이 될 만한 IP들을 식별해서 안내하고 있다"고 설명했다.
legomaster@news1.kr
