최근 React 및 Next.js 생태계에서 악용 가능성이 매우 높은 치명적인 보안 취약점이 발견되어 전 세계 웹·클라우드 인프라 운영자들에게 즉각적인 대응이 요구되고 있다.
이번 취약점은 보안 등급 최고 수준인 이른바 “만점(perfect ten)”으로 평가될 만큼 심각하며, 최소한의 공격 노력만으로도 서버를 원격에서 장악할 수 있다는 점에서 큰 충격을 주고 있다.
해당 취약점은 “React2Shell”로 명명되었으며, React 프레임워크 자체의 결함(CVE-2025-55182)과 이를 기반으로 하는 Next.js 환경의 연쇄 취약점(CVE-2025-66478)을 포함한다. React는 전 세계 웹사이트의 약 6%, 클라우드 환경의 약 39%에서 사용되고 있고, Next.js를 포함한 다양한 현대 웹 프레임워크의 핵심 기반 기술로 활용되고 있기 때문에 이번 사안의 파급력은 매우 크다.
문제의 근본 원인은 React Server Components(RSC) 내부에서 사용되는 Flight 프로토콜의 역직렬화 처리 방식에 있다. Wiz 보안 연구진에 따르면, 기본 설정 상태의 React·Next.js 서버에서는 입력에 대한 검증이 충분하지 않아, 공격자가 조작한 페이로드가 서버 측에서 그대로 역직렬화되어 실행될 수 있다. 이는 말 그대로 원격 코드 실행(Remote Code Execution)으로 이어지는 구조다.
악용 방식은 매우 단순하다. 공격자는 인증 없이도 취약한 서버에 특수하게 구성된 HTTP 요청 단 한 번을 보내는 것만으로 공격을 성공시킬 수 있다. Wiz 연구진은 이미 높은 성공률을 보이는 개념증명(PoC) 익스플로잇을 확보했으며, 내부 테스트 결과 거의 실패 없이 서버 침해가 가능했다고 밝혔다. 특히 많은 Next.js 서버들이 클라우드 환경에서 공용 인터넷에 그대로 노출되어 있어 실제 공격 가능성은 매우 높다고 평가된다.
이 취약점은 웹 서비스 자체뿐 아니라 프라이빗 및 퍼블릭 클라우드 인프라 전반에 연쇄적인 피해를 일으킬 수 있다는 점에서 위험성이 크다. 공격이 완전히 원격으로 이루어지고 인증조차 필요 없기 때문에, 패치가 적용되지 않은 서버는 자동화된 대규모 공격의 표적이 될 가능성이 높다.
React 개발팀은 이러한 React2Shell 공격을 완화하기 위해 보다 엄격한 검증과 안전한 역직렬화 절차를 도입한 업데이트를 이미 배포했다. 이에 따라 프레임워크 유지관리자, 호스팅 플랫폼, 클라우드 서비스 제공업체는 즉시 관련 패치를 적용해야 하며, 이를 방치할 경우 사용자와 시스템 전체가 심각한 보안 위험에 노출될 수 있다. 참고로 Google은 자사의 Compute Engine 기본 OS 이미지가 해당 취약점의 영향을 받지 않는다고 공식 발표했다.
이번 사태는 널리 사용되는 현대 웹 기술이라 하더라도, 서버 사이드 실행 구조와 직결되는 영역에서는 단 하나의 설계 결함이 치명적인 결과로 이어질 수 있다는 점을 다시 한번 상기시키는 사례로 평가되고 있다.