링크복사
공유
댓글
추천
스크랩
인쇄
글자크기

링크가 복사되었습니다.

글자크기

가

작게

가

보통

가

크게

가

매우크게

테크 암호화폐

React 치명적 취약점에 암호화폐 지갑 털렸다…Web3 보안 비상

서도윤 기자

2025.12.15 (월) 18:29

React의 심각한 원격코드 실행 취약점이 악용되며, Web3 기반 지갑 연결 기능을 노린 암호화폐 탈취가 확산됐다. 주요 개발 프레임워크와 클라우드 서버가 직격탄을 맞았다.

React 치명적 취약점에 암호화폐 지갑 털렸다…Web3 보안 비상 / TokenPost.ai

React의 치명적 취약점이 등장하면서 암호화폐 업계에 비상이 걸렸다. 공격자들이 이 보안 결함을 악용해 암호화폐 지갑을 탈취하고 악성코드를 배포하는 사례가 속출하고 있다.

Security Alliance는 최근 발표를 통해 공격자들이 CVE-2025-55182 취약점을 무기화하는 데 성공했다고 경고했다. 이 취약점은 React 기반 웹사이트 전반에 영향을 미치며, 특히 지갑 연동 기능을 가진 Web3 사이트들이 직격탄을 맞고 있다. 사용자가 트랜잭션 서명을 시도할 때, 악성 코드가 지갑과 통신을 가로채고 자산을 공격자 계좌로 빼돌리는 구조다.

이번 사건의 근원은 React Server Components의 핵심 기능에서 비롯됐다. 해당 취약점은 11월 29일 백신 연구원 라클란 데이비슨에 의해 보고됐으며, React 팀은 12월 3일 공식적으로 문제를 공개했다. CVSS 기준 최악 등급인 10.0으로 분류된 이번 취약점은, 인증 없이 악성 HTTP 요청만으로 서버에서 임의 명령어를 실행할 수 있도록 허용한다. 공격자는 이 허점을 활용해 서버를 완전히 장악할 수 있다.

취약점은 React 19.0, 19.1.0, 19.1.1, 19.2.0 버전 및 react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack 패키지를 사용하는 프로젝트에 해당된다. 이 수치는 넥스트.js(Next.js), React Router, Waku, Expo 등 대중적인 프레임워크와도 직결된다. React 팀은 패치 버전인 19.0.1, 19.1.2, 19.2.1을 긴급 배포했으며, 넥스트.js 역시 14.2.35부터 16.0.10까지 다수 버전을 지원 중이다.

그러나 이는 시작에 불과했다. 보안 연구진은 최신 패치 이후에도 대형 결함 두 건을 추가로 발견했으며, 공격은 더 정교해지고 있다. Vercel은 자사 플랫폼에 탑재된 모든 프로젝트를 보호하기 위해 웹 애플리케이션 방화벽 규칙을 적극 배포했지만, 단순한 방화벽만으로는 충분하지 않다는 점을 밝혔다.

구글 위협 인텔리전스 그룹은 12월 3일부터 대규모 사이버 공격이 진행 중이며, 중국계 해킹 그룹을 포함한 국가 차원의 해커 집단까지 가세한 것으로 분석했다. 주요 공격 대상은 아마존웹서비스(AWS), 알리바바 클라우드 같은 클라우드 서버이며, 백도어 설치, 파일 위장, 지속적인 감염 유지 기법 등이 복합적으로 동원되고 있다. 일부 공격자는 클라우드플레어 Pages, GitLab 등 합법적인 플랫폼을 악용해 통신 경로를 은폐하고 있다.

5일부터는 범죄 수익을 노린 암호화폐 채굴 공격도 합류했다. 모네로(XMR)를 채굴하는 악성 프로그램이 피해자의 시스템에 몰래 설치돼 전력 비용을 유발하며, 공격자들에게는 장기적인 이익을 가져다주고 있다.

사이버 공격자들은 지하 포럼에서 공격 코드와 경험을 공유하면서 새로운 공격 기법을 빠르게 확산시키고 있다. 이는 지난 9월 npm 패키지 관리자 계정이 해킹돼, 인기 패키지 18개에 악성 코드가 심어진 사건과 유사한 양상이다. 해당 사건 당시 이들 패키지는 매주 26억 회 이상 다운로드되는 인기 유틸리티였고, 브라우저 내 주소 복사 기능을 훔치는 ’크립토 클리퍼’ 악성코드까지 발견된 바 있다.

레이저 CTO 샤를 기예메는 이번 취약점을 ‘공급망 전체를 위협하는 대형 공격’이라고 규정하며, 하드웨어 지갑을 사용하지 않는 이용자는 가급적 온체인 거래를 지양해야 한다고 강조했다. 당시 해커들은 npm 고객센터를 사칭한 피싱 이메일을 통해 계정을 탈취했고, 이 과정에서 다중 인증 정보를 노린 치밀한 사전 정찰이 이뤄졌다.

한편 글로벌 레저의 집계에 따르면, 2025년 상반기에만 총 119건의 해킹 사건에서 30억 달러(약 4조 4,025억 원) 이상이 탈취됐다. 이 중 70%는 사건이 공개되기 전 이미 자금이 이동을 마친 상태였으며, 회수율은 고작 4.2%에 불과했다. 블록체인상에서 자금 세탁 속도는 이제 몇 초 안에도 가능해진 셈이다.

현재 React 또는 Next.js를 사용하는 모든 조직은 즉시 보안 패치를 적용하고, 웹 애플리케이션 방화벽(WAF)을 설정하며, 의존성 소스 코드를 재점검해야 한다. 또한 서버에서 wget·cURL 다운로드 명령이 실행되는지 모니터링하고, 불법 디렉토리나 셸 설정 변조 여부를 탐지하는 것이 중요하다.

기사요약 by TokenPost.ai

🔎 시장 해석

이번 React 보안 취약점은 단지 프론트엔드 문제를 넘어, 블록체인 기반 인터넷 환경에 직접적인 위협이 되고 있다. 트랜잭션 서명을 통한 자산 탈취 기법은 거래 당사자 입장에서는 감지하기 어려우며, Web3 보안의 허점을 집요하게 노린 공격이다.

💡 전략 포인트

- React 19.0.1 이상 및 Next.js 최신 버전으로 반드시 업데이트

- 웹 애플리케이션 방화벽(WAF) 적용 및 서버 명령 로그 수시 점검

- 지갑 연결을 요구하는 사이트에선 거래 전 링크와 코드 출처 반드시 점검

- 가능한 경우 하드웨어 지갑 사용을 기본으로 전환

📘 용어정리

- CVE-2025-55182: React Server Components에서 발생한 인증 없는 원격코드 실행(Remote Code Execution, RCE) 취약점

- 크립토 클리퍼: 사용자의 지갑 주소 복사·붙여넣기 동작을 가로채 자산을 탈취하는 공격 방식

- 모네로(XMR): 익명성과 추적 불가능성에 초점을 둔 프라이버시 코인