수지비내 포함된 점검 테스트 결과 예시. 사진=인더포레스트

<이미지를 클릭하시면 크게 보실 수 있습니다>

최근 글로벌 개발 생태계를 뒤흔든 React Server Components(RSC) 원격 코드 실행 취약점이 공개되면서 보안 경계가 높아지고 있다.

이번 취약점은 로그인이나 인증 없이도 악성 요청만으로 서버에서 임의 코드 실행이 가능한 구조적 보안 결함으로, 보안 업계에서는 '즉시 대응이 필요한 심각 단계 위협'으로 분류하고 있다.

CVE-2025-55182(일명 'React2Shell')는 지난 3일 메타가 공개한 심각한 보안 취약점이다. React 및 Next.js 환경에서 원격 코드 실행(RCE)을 허용하는 이 취약점은 공격자가 원격에서 임의의 코드를 실행할 수 있게 하여, 시스템 전체를 위험에 노출시킨다. 영향받는 애플리케이션은 즉시 패치를 적용해야 한다.

Next.js 역시 동일 구조에서 취약점이 확인되며 CVSS 10점이 부여됐고, Wiz 조사 결과 전체 클라우드 환경의 약 39%가 영향을 받는 것으로 나타났다. React는 19.x 버전 전체, Next.js는 15.x·16.x 구간이 포함돼 적용 범위가 넓어 즉각적인 패치가 필요한 상황이다.

이와 관련해 Offensive Security 기반 보안 전문기업 인더포레스트는 자사의 AI 기반 공격표면관리(EASM) 솔루션 수지비(SooJi.Bee)에 해당 취약점 탐지와 패치 여부 검증 기능을 긴급 적용했다고 8일 밝혔다. 이번 업데이트는 패치 누락 환경 자동 탐지, 취약 구성요소 식별, 공격 가능성 테스트, 대응 가이드 제공까지 포함돼 있어 실제 대응 단계까지 연계되는 방식으로 설계됐다.

수지비는 외부 노출 자산 수집뿐 아니라 숨겨진 Hidden IT 탐지, 자동 취약점 검증, 유출 계정·OSINT·딥웹 데이터 기반 공격 지표 분석 기능을 포함하고 있어 기존 스캔형 보안 도구와 차별화된다는 평가를 받고 있다. 또한 공격자 관점에서의 사전 진단 및 지속적인 진단이 가능하여 컴플라이언스 관점의 보안관련 인증에서 놓칠 수 있는 침해 위협들을 사전에 확인할 수 있다는 점에서 차이가 있다.

인더포레스트는 이번 취약점 적용 범위가 광범위하다는 점을 고려해 패치 적용 여부가 반영되지 않은 외부 노출 IT자산들은 모두 자동 점검할 수 있도록 기능을 강화했다.

김사웅 인더포레스트 대표는 “이번 취약점은 단순 버그를 넘어 현대 웹 구조의 보안 취약성을 보여준 사례”라며 “앞으로도 최신 위협을 즉시 반영해 고객 대응 시간을 최소화하기 위한 플랫폼이며, 이번 취약점의 경우 수지비를 통해 무료로 1회성 진단 프로모션을 진단을 제공한다고” 말했다.

React는 19.0.1·19.1.2·19.2.1, Next.js는 15.0.5 또는 16.0.7 이상으로 업데이트해야 하며, 인더포레스트는 RSC 기반 프레임워크 사용 기업에도 즉각적 취약점 점검을 권고했다.

이원지 기자 news21g@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]