"제2 Log4j 사태 막자"…티오리, React2Shell 점검 도구 '리액트가드' 공개 작성일 12-09 9 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">CVE-2025-55182 대응 웹 기반 도구</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="xTjNDQV7Z6"> <figure class="figure_frm origin_fig" contents-hash="85f32274225262fa3820c14ea0d891505ee9d40981ec2be3ac3321b71ab69f9f" dmcf-pid="yQp0qTIkZ8" dmcf-ptype="figure"> <p class="link_figure"><img alt="[서울=뉴시스] 티오리가 최근 웹 개발 생태계를 뒤흔들고 있는 'CVE-2025-55182', 이른바 '리액트투쉘(React2Shell)' 취약점 대응을 위해 안전하고 신속하게 서버 취약 여부를 점검할 수 있는 웹 기반 도구 '리액트가드'를 공개했다고 9일 밝혔다. (사진=티오리 제공) *재판매 및 DB 금지" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/09/newsis/20251209084215772yeyg.jpg" data-org-width="720" dmcf-mid="K8HGtmcn1n" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/09/newsis/20251209084215772yeyg.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [서울=뉴시스] 티오리가 최근 웹 개발 생태계를 뒤흔들고 있는 'CVE-2025-55182', 이른바 '리액트투쉘(React2Shell)' 취약점 대응을 위해 안전하고 신속하게 서버 취약 여부를 점검할 수 있는 웹 기반 도구 '리액트가드'를 공개했다고 9일 밝혔다. (사진=티오리 제공) *재판매 및 DB 금지 </figcaption> </figure> <p contents-hash="c50bc7b0f8dd74406a3292f62fbb999df94188e7348e6688327cd1a22ef3f125" dmcf-pid="WxUpByCEY4" dmcf-ptype="general"><br> [서울=뉴시스]윤정민 기자 = 티오리가 최근 웹 개발 생태계를 뒤흔들고 있는 'CVE-2025-55182', 이른바 '리액트투쉘(React2Shell)' 취약점 대응을 위해 안전하고 신속하게 서버 취약 여부를 점검할 수 있는 웹 기반 도구 '리액트가드'를 공개했다고 9일 밝혔다.</p> <p contents-hash="b3e2bfe5912e208188b5549b3a19ffec9c0f78a33791c8696af809d0ef7be586" dmcf-pid="YMuUbWhDGf" dmcf-ptype="general">이번 도구는 티오리가 개발한 인공지능(AI) 기반 애플리케이션 보안 점검 솔루션 '진트(Xint)' 기술력을 바탕으로 설계돼 복잡한 분석 과정을 자동화하고 실서비스 환경에서의 노출 여부를 빠르게 식별할 수 있도록 구현됐다.</p> <p contents-hash="ab35e9a62a0ef335138b6046ee24e0832d57fa2b050e36272e17cfd3db78b76d" dmcf-pid="GR7uKYlwZV" dmcf-ptype="general">React2Shell 취약점은 리액트 서버 컴포넌트(RSC)의 통신 방식인 플라이트 프로토콜 설계 문제로 인해 인증 없이 원격에서 임의 코드를 실행할 수 있다는 점이다. 기본 설정 환경에서도 악용될 수 있으며 단 한 줄의 공격 패킷으로 서비스 전체가 장악될 수 있어 보안 업계에서는 로그4j(Log4j) 사태에 버금가는 심각한 위협으로 평가하고 있다. 이미 여러 보안 기관은 즉각적인 패치, 노출 여부 확인 없이는 전 세계 수백만개 React/Next.js 기반 서비스가 위험에 놓여 있다고 경고한 바 있다.</p> <p contents-hash="922d07c2b1c78e0177c1d3a0838925d93872fac8224dd3bf8eccf4de950583a5" dmcf-pid="Hez79GSrY2" dmcf-ptype="general">리액트가드는 운영 중인 서비스의 URL을 입력하면 해당 서버가 취약한 플라이트 엔드포인트를 외부에 노출하고 있는지 자동으로 탐지해준다. 설치나 환경 구성 없이 웹에서 즉시 사용할 수 있는 방식이다.</p> <p contents-hash="a36918a9be6a24f98893964cc1e8f0019ec6bc4647d9a56db0a0e34cfa93e6b8" dmcf-pid="Xdqz2Hvm59" dmcf-ptype="general">티오리는 리액트가드가 서버에 코드를 실행하거나 데이터를 변경하지 않는 비파괴적 진단 방식을 채택해 안전성을 확보했다고 전했다. 또한 외부에 노출되지 않은 사내망 환경에서의 진단이 필요한 기업을 위해 전용 솔루션도 제공된다.</p> <p contents-hash="9dd8ec33dba93ca641c48302cb00b7519ab248ba8b4051605af4418cba1bd12d" dmcf-pid="ZJBqVXTsYK" dmcf-ptype="general">박세준 티오리 대표는 "React2Shell은 단순한 취약점이 아니라 전 세계 서비스 운영자들에게 구조적 점검을 요구하는 사건이다. '리액트가드'는 복잡한 기술 지식이 없어도 위험 여부를 신속하게 판단하도록 설계됐으며 이번 위협에 대응하는 첫 단계가 될 것"이라고 말했다.</p> <p contents-hash="a6ffcda1b4e5802282eb8fff9ef35946c41bb46eb459a7ff28521d076e87bb83" dmcf-pid="5ibBfZyOXb" dmcf-ptype="general">이어 "티오리 연구진은 기업과 사용자 보호를 최우선 과제로 두고 즉시 분석과 대응 체계를 가동했다"며 "여러 단계의 내부 검증과 테스트를 거쳐 리액트가드를 조기에 공개할 수 있었으며 이 도구가 많은 조직이 위험 여부를 신속히 파악하고 선제적으로 대응하는 데 실질적인 도움이 되기를 바란다"고 전했다.</p> <p contents-hash="61e9fbc186da36a2f06167e0a4cab35428d765060bdd01f6e55b5a27d5da02fc" dmcf-pid="1IniNVqFYB" dmcf-ptype="general"><span>☞공감언론 뉴시스</span> alpaca@newsis.com </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴시스. 무단전재 및 재배포 금지.</p> 관련자료 이전 조세호 하차했지만…여론은 “진짜 무서운 건 이제부터다” 12-09 다음 ‘자백의대가’ 김고은, 모은! 12-09 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
