해커들, 웹 공격 급증에 따라 React 취약점 악용해 암호화폐 탈취 악성코드 심어

세계에서 가장 널리 사용되는 JavaScript 라이브러리 중 하나인 React의 심각한 취약점을 해커들이 합법적인 웹사이트에 암호화폐 탈취 악성코드를 삽입하기 위해 적극적으로 악용하고 있어 사이버 보안 전문가와 웹3팀 모두가 경각심을 갖고 대응에 나서고 있습니다.

사이버 보안 비영리 단체인 SEAL(Security Alliance)에 따르면 공격자들은 이 취약점을 악용하여 의심하지 않는 사용자로부터 디지털 자산을 조용히 빼내어 신뢰할 수 있는 플랫폼을 숨겨진 공격 경로로 삼고 있다고 합니다. CVE-2025-55182로 추적되는 이 취약점은 인증되지 않은 원격 코드 실행을 가능하게 하여 악의적인 공격자가 허가 없이 임의의 코드를 업로드하고 실행할 수 있게 합니다.

이 문제는 이달 초 화이트 햇 해커 Lachlan Davidson이 처음 발견하여 책임감 있게 React 개발팀에 결함을 공개했습니다.

SEAL은 암호화폐 웹사이트와 비암호화 웹사이트 모두에 악성 스크립트가 삽입되어 React 결함을 악용한 지갑 탈취 공격이 급격히 증가하는 것을 목격했다고 밝혔습니다. 이 비영리 단체는 공개 경고문을 통해 공격자들이 트랜잭션 서명 단계에서 사용자를 감염시키기 위해 프론트엔드 인프라를 적극적으로 노리고 있다고 지적하며 즉각적인 조치를 촉구했습니다.

이 위협은 웹3 프로토콜을 훨씬 넘어선다는 점을 강조했습니다. 취약한 리액트 구성을 실행하는 모든 웹사이트가 영향을 받을 수 있으며, 이 익스플로잇은 틈새 암호화폐 문제가 아닌 광범위한 웹 보안 문제가 될 수 있습니다.

공격자들은 종종 사기성 팝업이나 가짜 보상 메시지를 통해 피해자를 속여 악성 거래를 승인하도록 유도하므로 사용자는 지갑 허용 요청에 서명할 때 더욱 주의해야 합니다.

경고 신호 및 즉각적인 보안 점검

SEAL에 따르면 침해의 가장 초기 징후 중 하나는 웹사이트가 브라우저나 보안 도구에서 갑자기 피싱 위험으로 플래그가 지정된 경우입니다. 대부분의 경우 이러한 경고는 사이트 콘텐츠에 대한 명백한 변경 없이 나타나므로 임베디드 드레너의 존재를 숨길 수 있습니다.

SEAL은 위험을 완화하기 위해 사이트 운영자에게 즉시 시스템에서 CVE-2025-55182 악용 징후를 스캔하고 익숙하지 않거나 난독화된 JavaScript 자산이 있는지 프론트엔드 코드를 자세히 검토하며 지갑 서명 메시지가 올바른 수신자 주소를 표시하는지 확인하라고 조언합니다.

또한 모든 악성 코드가 완전히 제거되었는지 확인하기 전에 피싱 경고를 제거하려고 시도하면 사용자가 지속적인 위험에 노출될 수 있으므로 주의해야 합니다.

리액트 개발팀은 12월 3일에 공식 패치를 발표하여 영향을 받는 구성 요소 전반의 취약점을 해결했습니다. 재액트 서버 돔 웹팩, 재액트 서버 돔 파셀, 재액트 서버 돔 터보팩을 사용하는 개발자는 공격 벡터를 차단하기 위해 즉시 업그레이드할 것을 강력히 촉구했습니다.

React는 서버 측 React 컴포넌트나 호환되는 번들러 플러그인을 사용하지 않는 애플리케이션은 영향을 받지 않는다고 밝혔습니다. 그러나 React 서버 컴포넌트에 의존하는 프로젝트는 업데이트가 적용될 때까지 취약한 상태로 남아 있어 생태계 전반에 걸쳐 긴급한 수정이 필요합니다.

공급망 보안에 대한 광범위한 알림

이 익스플로잇은 공격자들이 소프트웨어 공급망 취약점을 활용하여 공격을 빠르고 조용하게 확장하는 추세가 증가하고 있음을 강조합니다.

암호 유출자가 더욱 정교해지고 탐지하기 어려워지면서 보안 전문가들은 암호화 플랫폼뿐 아니라 모든 웹 기반 서비스에 대해 사전 감사, 정기적인 종속성 업데이트, 엄격한 프론트엔드 모니터링의 중요성을 강조합니다.

SEAL이 경고했듯이 기존 웹 보안과 암호화 보안 사이의 경계가 계속 흐려지면서 스택의 모든 계층에서 경계가 그 어느 때보다 중요해졌습니다.