React 서버 컴포넌트의 심각한 취약점이 여러 위협 그룹에 의해 적극적으로 악용되고 있으며, 이로 인해 암호화폐 플랫폼을 포함한 수천 개의 웹사이트가 즉각적인 위험에 처해 있습니다. 피해를 입을 경우 사용자의 모든 자산이 유출될 가능성이 있습니다.
CVE-2025-55182로 추적되고 React2Shell 이라는 별칭으로 불리는 이 취약점은 공격자가 인증 없이 영향을 받는 서버에서 원격으로 코드를 실행할 수 있도록 허용합니다. React 개발팀은 12월 3일에 이 문제를 공개하고 최고 수준의 심각도 점수를 부여했습니다.
취약점 공개 직후, GTIG는 금전적 이득을 노리는 범죄자들과 국가 지원을 받는 것으로 의심되는 해킹 그룹들이 클라우드 환경 전반에 걸쳐 패치가 적용되지 않은 React 및 Next.js 애플리케이션을 광범위하게 공격하는 것을 확인했습니다.
React를 이용한 크립토 드레인 취약점(CVE-2025-55182)
— 보안 동맹 (@_SEAL_Org) 2025년 12월 13일
최근 React CVE 취약점을 악용한 악성코드가 합법적인 (암호화폐) 웹사이트에 업로드되는 사례가 급증하고 있습니다.
모든 웹사이트는 지금 당장 프론트엔드 코드에서 의심스러운 요소가 있는지 검토해야 합니다.
취약점이 하는 일은 무엇인가요?
React 서버 컴포넌트는 웹 애플리케이션의 일부를 사용자의 브라우저가 아닌 서버에서 직접 실행하는 데 사용됩니다. 이 취약점은 React가 이러한 서버 측 함수에 대한 수신 요청을 디코딩하는 방식에서 비롯됩니다.
간단히 말해, 공격자는 특수하게 조작된 웹 요청을 보내 서버를 속여 임의의 명령을 실행하게 하거나, 사실상 시스템 제어권을 공격자에게 넘겨줄 수 있습니다.
이 버그는 React 버전 19.0부터 19.2.0까지 영향을 미치며, Next.js와 같은 인기 프레임워크에서 사용하는 패키지에도 영향을 줍니다. 취약한 패키지가 설치되어 있는 것만으로도 공격이 가능한 경우가 많습니다.
공격자들이 이를 어떻게 악용하고 있는가
구글 위협 인텔리전스 그룹(GTIG)은 해당 취약점을 이용해 멀웨어, 백도어 및 암호화폐 채굴 소프트웨어를 배포하는 여러 활성 공격 캠페인을 기록했습니다.
일부 공격자들은 취약점이 공개된 지 며칠 만에 이를 악용하여 모네로(Monero) 채굴 소프트웨어를 설치하기 시작했습니다. 이러한 공격은 서버 자원과 전력을 조용히 소모하여 공격자에게 수익을 안겨주는 동시에 피해자의 시스템 성능을 저하시킵니다.
암호화폐 플랫폼은 React 및 Next.js와 같은 최신 JavaScript 프레임워크에 크게 의존하며, 지갑 상호 작용, 거래 서명 및 권한 승인 등을 프론트엔드 코드를 통해 처리하는 경우가 많습니다.
웹사이트가 해킹당하면 공격자는 지갑 상호 작용을 가로채거나 거래를 자신의 지갑으로 리디렉션하는 악성 스크립트를 삽입할 수 있습니다. 이때 기본 블록체인 프로토콜은 안전하게 유지될 수 있습니다.
따라서 프론트엔드 취약점은 브라우저 지갑을 통해 거래에 서명하는 사용자에게 특히 위험합니다.
