㈜인더포레스트 제공


최근 글로벌 개발 생태계를 뒤흔든 React Server Components(RSC) 원격 코드 실행 취약점이 공개되면서 전 세계 웹 서비스 운영자들의 보안 경계가 높아지고 있다.
이번 취약점은 로그인이나 인증 없이도 악성 요청만으로 서버에서 임의 코드 실행이 가능한 구조적 보안 결함으로, 보안 업계에서는 “즉시 대응이 필요한 심각 단계 위협”으로 분류하고 있다.
CVE-2025-55182(일명 ‘React2Shell’)는 2025년 12월 3일 Meta가 공개한 심각한 보안 취약점이다. 릴게임예시 React 및 Next.js 환경에서 원격 코드 실행(RCE)을 허용하는 이 취약점은 공격자가 원격에서 임의의 코드를 실행할 수 있게 하여, 시스템 전체를 위험에 노출시킨다. 영향받는 애플리케이션은 즉시 패치를 적용해야 한다. (참고: 동일한 취약점에 CVE-2025-66478 식별번호도 함께 부여됨)
Next.js 역시 동일 구조에서 취 바다이야기모바일 약점이 확인되며 CVSS 10점이 부여됐고, Wiz 조사 결과 전체 클라우드 환경의 약 39%가 영향을 받는 것으로 나타났다. React는 19.x 버전 전체, Next.js는 15.x·16.x 구간이 포함돼 적용 범위가 넓어 즉각적인 패치가 필요한 상황이다.
이와 관련해 Offensive Security 기반 보안 전문기업 ㈜인더포레스트 백경게임랜드 는 자사의 AI 기반 공격표면관리(EASM) 솔루션 SooJi.Bee(수지비)에 해당 취약점 탐지와 패치 여부 검증 기능을 긴급 적용했다고 5일 밝혔다. 이번 업데이트는 패치 누락 환경 자동 탐지, 취약 구성요소 식별, 공격 가능성 테스트, 대응 가이드 제공까지 포함돼 있어 실제 대응 단계까지 연계되는 방식으로 설계됐다.
SooJi.Bee 10원야마토게임 는 외부 노출 자산 수집뿐 아니라 숨겨진 Hidden IT 탐지, 자동 취약점 검증, 유출 계정·OSINT·딥웹 데이터 기반 공격 지표 분석 기능을 포함하고 있어 기존 스캔형 보안 도구와 차별화된다는 평가를 받고 있다. 또한 공격자 관점에서의 사전(Proactive) 진단 및 지속적인 진단이 가능하여 컴플라이언스 관점의 보안관련 인증에서 놓칠 수 있는 침해 바다이야기부활 위협들을 사전에 확인할 수 있다는 점에서 큰 차이가 있다고 평가가 된다.
인더포레스트는 이번 취약점 적용 범위가 광범위하다는 점을 고려해 패치 적용 여부가 반영되지 않은 외부 노출 IT자산들은 모두 자동 점검할 수 있도록 기능을 강화했다.
김사웅 인더포레스트 대표는 “이번 취약점은 단순 버그를 넘어 현대 웹 구조의 보안 취약성을 보여준 사례”라며 “EASM은 당장의 점검이 아니라 상시 운영 체계이며, 앞으로도 최신 위협을 즉시 반영해 고객 대응 시간을 최소화하기 위한 플랫폼이다라고 언급했고, 이번 취약점의 경우 수지비를 통해 무료로 1회성 진단 프로모션을 진단을 제공한다고” 말했다.
React는 19.0.1·19.1.2·19.2.1, Next.js는 15.0.5 또는 16.0.7 이상으로 업데이트해야 하며, 인더포레스트는 RSC 기반 프레임워크 사용 기업에도 즉각적 취약점 점검을 권고했다.
노희근 기자 hkr1224@dt.co.kr 기자 admin@reelnara.inf