"인증없이 서버 장악"…심각한 '리액트투쉘' 취약점 발견

https://zdnet.co.kr/view/?no=20251209155340

자세한 내용은

여기에서 자세하게 들을 수 있음.

요약해보면

페이스북의 한 개발자가 만든 React 라는 라이브러리(개발에 사용하는 도구라고 생각하면 편하다고 함) 가 있다. (본인은 개발자가 아니므로 전문지식은 모르는 상태) 

해당 라이브러리는 웹사이트 개발에 너무나도 편리했기 때문에 해당 라이브러리를 회사 내 개발자들이 하나둘 쓰기 시작했고, 나중에 가면 회사 전체가 리액트를 쓸 정도가 되었다. 그만큼 아주 좋은 도구였던 것

2013년, 페이스북은 저 리액트라는 도구를 오픈 소스로 공개하기로 한다. 누구나 쓸 수 있게 함으로 더 많은 개발자들을 리액트 생태계 안으로 넣고, 유지 보수 발전을 할 수 있게 하기 위함이었던 것으로 생각함.

그 이후 수많은 사람들이 저 리액트를 가져다 쓰다보니 

무려 40%나 사용된 라이브러리 이고, 넷플릭스 에어비앤비 디스코드 쿠팡 등 수많은 회사에서 웹 개발에 리액트를 사용할 정도로 퍼지게 된다. 

2025년 11월 29일, 라클란 데이비슨이라는 사람이 메타 (구 페이스북) 의 버그 신고센터에 리액트의 취약점 하나를 올렸다.

이걸 본 메타는 

신속하게 취약점을 인지하고 패치를 올리게 된다. 

저 취약점으로 뭘 할 수 있느냐면

말 그대로 뭐든지 다 할 수 있는 정도라고 함.

취약점의 심각성을 점수로 나타낸 점수는 10.0 십점 만점에 십점 되겠다. 이정도 점수의 심각한 취약점은 2022년 Log4J 사태가 있다. 

그리고 12월 3일, 버그를 제보했던 라클란 데이비슨은 해당 취약점에 React2Shall 이라는 이름을 붙인 뒤 사이트를 개설하여 며칠 후 해당 취약점을 검증할 수 있는 코드를 올리게 된다. 

해당 코드가 공개되자마자 해킹 공격이 급증했고, 레드팀 특히 중국 연계 해킹 조직들이 이걸 이용해서 해킹 시도를 한 정황이 드러나고 있다고 한다.

취약점을 증명하는 코드이므로 살짝만 바꿔주면 바로 해킹 코드가 되기 때문. 

대책은 "업데이트" 하나 뿐이라고 하는데 해당 업데이트를 하게 되면 개발자들은 알겠지만 각종 생각지도 못한 버그나 오류가 발생할 가능성이 높다. 

지금 리액트를 사용한 , 또는 리액트 유사 라이브러리를 사용한 모든 웹 사이트는 비상이 걸린 상태라고 함. 

터진지 2주밖에 안되는 이제 막 터진 거대한 사건이기 때문에 조만간 대규모 해킹 사건이 발생할 확률이 무척 높다고 한다...