18만 대 한국 서버 비상 — 중국 해커 ‘React2Shell’ 공격 긴급 방어책은?
2025년 한국 IT 업계는 지금 전례 없는 보안 위기를 마주하고 있다.
전 세계를 뒤흔들고 있는 신규 취약점 CVE-2025-55182, 일명 React2Shell(리액트투쉘) 때문이다.
데일리시큐 취재에 따르면 중국 해커 커뮤니티는 이미 실전 수준의 공격 테스트를 시작한 상태이며, FOFA 검색 결과 한국만 18만 9,082대 서버가 그대로 노출되어 있는 것으로 확인됐다.
즉, 지금 이 순간에도 한국 서버들은 공격 리스트에 포함된 상태다.
React2Shell은 단순한 소프트웨어 오류가 아니라, 기본 설정만으로 원격 코드 실행(RCE)이 가능해지는 구조적 결함이다. 인증조차 필요 없으며, React·Next.js 기반 서비스라면 상당수가 위험군에 포함된다.
이 글에서는 한국 서버가 직면한 위험, 공격자들이 이미 진행한 단계 그리고 지금 즉시 실행해야 할 긴급 방어 전략을 정리해본다.
1. 왜 한국은 18만 대나 노출됐나 — React2Shell의 구조적 위험성
React2Shell 취약점이 위험한 핵심 이유는 개발자가 실수하지 않아도 털릴 수 있는 구조적 문제 때문이다.
- RSC(Server Components) 직렬화 프로토콜의 근본적 결함
- 기본 설정(Default Config) 그대로도 공격 성공
- 로그인 필요 없음(비인증 RCE)
- Zero-Click 가능성
- PoC 즉시 악용 가능
- React 19 / Next.js 생태계의 광범위한 사용
특히 한국은 스타트업, 기관, 기업 등 많은 서비스가 Next.js를 SSR 기반으로 운영하고 있어 기본적으로 공격에 노출된 구조다.
여기에 API 경로, 서버 액션(Server Actions), RSC 기능이 기본 활성화되어 있기 때문에 방어가 늦어질 경우 피해는 눈덩이처럼 커질 수 있다.
2. 중국 해커가 이미 진행한 4단계 공격 절차
데일리시큐 보도에 따르면 중국 해커 그룹은 이미 다음 절차까지 완료했다.
- 페이로드 업로드 → 취약점 유발
- DNSLog를 통한 원격 명령 실행 여부 확인
- child_process 실행 가능성 테스트
- PoC로 실제 RCE 성공
실제로 일부 연구자들과 해커들은 React2Shell PoC로 원격에서 윈도우 계산기(calc.exe) 를 실행해 성공 화면을 공유했다.
이는 곧 서버 장악이 가능한 상태라는 의미다.
다시 말해, React2Shell은 이론이 아니라 이미 검증된 공격 벡터다.
3. FOFA 검색에서 드러난 한국의 위험 — 18만 9,082대 서버 노출
중국 FOFA 플랫폼에서 국가별 React/Next.js 서버를 조회했을 때,
한국은 무려 18만 대 이상이 인터넷에 그대로 노출된 상태로 확인됐다.
- 대다수 서비스가 SSR 기반
- RSC 기능 ON
- API 경로 다수 노출
- 외부 스캔에 매우 취약
특히 중국 해커 그룹은 평소 공격 대상을 FOFA에서 수집하기 때문에 한국 조직 상당수가 이미 공격 목록에 등록되었을 가능성이 매우 높다.
4. 지금 당장 실행해야 하는 ‘긴급 방어 전략’ 7가지
한국 서버들이 대규모 공격을 피하려면 아래 조치를 즉시 실행해야 한다.
1) React & Next.js 최신 패치 적용
React 팀은 12월 3일 긴급 패치를 배포했지만 자동 업데이트가 아니다.
반드시 직접 패치 → 빌드 → 재배포 절차가 필요하다.
2) 외부 공격 표면 스캔
아래 도구로 자사 도메인·서브도메인·서버를 즉시 점검해야 한다.
- Nuclei
- React2shell-checker
- PoC 기반 외부 스캐너
3) 내부 로그 정밀 분석
다음 흔적이 있다면 이미 공격 시도가 있었을 가능성이 높다.
- DNSLog 호출 기록
- 비정상 multipart POST 증가
- RSC 엔드포인트에 대형 payload 전달
- child_process 실행 흔적
4) WAF 규칙 즉시 추가·업데이트
특히 multipart, 직렬화된 payload, RSC 경로 관련 탐지 정책 강화가 필수다.
5) RSC 및 Server Actions 사용 여부 전면 점검
많은 조직이 RSC 사용 사실조차 모르고 있다.
서비스 전반을 점검해 사용 여부를 파악하고 필요하면 비활성화해야 한다.
6) CI/CD 배포 체계 점검
패치는 해도 배포가 지연되면 여전히 위험하다.
자동화된 보안 배포 파이프라인이 필요하다.
7) 공격 시나리오 모의훈련
- RCE 성공 가능성
- API 경로 침투
- PoC 기반 공격 체인
실제 시나리오로 대비해야 한다.
5. 결론 — “지금 이미 공격이 시작됐다”는 전제로 대응해야 한다
한국의 React·Next.js 기반 서버는 이미 대규모 스캔 대상이 되었고,
중국 해커들은 RCE 성공을 확인하며 공격 체인을 완성한 상태다.
지금 필요한 것은 “언젠가 공격받을 수 있다”는 막연한 위기감이 아니라
“이미 공격이 진행되고 있다”는 전제로의 즉각적 대응이다.
React2Shell은 2025년, 한국 웹 생태계 전체가 반드시 넘어서야 할 가장 큰 보안 위기다.
패치 적용과 점검 속도가 피해 규모를 결정한다.
참고 사이트
- 데일리시큐: https://www.dailysecu.com
- React 공식 공지: https://react.dev
'ITstudy' 카테고리의 다른 글
| 챗GPT 구독료 6% 할인 받는 법 - 돌오퍼 (DOLOFFER) 최신 쿠폰 코드와 결제 방법 (3) | 2025.12.02 |
|---|---|
| 챗GPT 제미나이에 빠진 한탕주의 경고 AI 맹신이 위험한 진짜 이유 (4) | 2025.11.27 |
| [미래 분석] 스마트폰 시장 성장 동력은? AI 대신 폼팩터 혁신이 뜰 이유 (5) | 2025.11.26 |
| 개발자 맥북 쓰는 진짜 이유 윈도우와 비교한 완벽 분석 (0) | 2025.11.14 |
| 일잘러 필수 능력! 생성형 AI 프롬프트 잘 쓰는 방법 완벽 정리 (0) | 2025.11.03 |