최근 React의 보안 취약점이 악용되면서 암호화폐 생태계에 심각한 위기가 발생하고 있다. 보안 전문가들은 CVE-2025-55182이라는 취약점이 공격자들에 의해 활용되어, 사용자의 암호화폐 지갑이 탈취되고 악성코드가 퍼지는 사례가 잇따르고 있다고 경고했다. 이 취약점은 React 기반 웹사이트에 심각한 영향을 미치며, 특히 지갑 연동 기능을 제공하는 Web3 플랫폼이 주요 표적이 되고 있다.
이 취약점의 작동 방식은 사용자가 트랜잭션 서명을 시도할 때, 악성 코드가 지갑과의 통신을 가로채서 자산을 공격자 계좌로 이동시키는 것이다. 이 문제는 React의 Server Components에서 발생한 핵심적인 결함으로, 11월 29일 보안 연구원 권된 라클란 데이비슨에 의해 처음 보고되었고, React 팀은 12월 3일 공식적으로 이 사안을 공개했다. 해당 취약점은 CVSS 기준에서 최악의 등급인 10.0으로 분류되며, 인증 없는 악성 HTTP 요청으로 서버에서 임의의 명령어를 실행할 수 있는 허점을 제공한다.
피해를 입은 React 버전에는 19.0, 19.1.0, 19.1.1, 19.2.0과 react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack 패키지가 포함된다. 이로 인해 넥스트.js와 같은 주요 프레임워크와 직접적인 연관이 있으며, React 팀은 긴급하게 패치 버전을 배포하였다. 하지만 최신 패치 이후에도 보안 연구진은 두 건의 추가적인 중대 결함을 발견해 공격자들의 수준이 점점 더 정교해지고 있음을 알렸다.
메인클라우드 보안 업체인 Vercel은 실시간으로 모든 프로젝트를 보호하기 위한 웹 애플리케이션 방화벽 규칙을 시행하고 있으나, 전문가들은 이런 단순한 방화벽으로는 충분하지 않다고 덧붙였다. 12월 3일 이후 공격이 증가하고 있으며, 구글의 위협 인텔리전스 그룹은 중국계 해킹 집단 등 국가 차원의 해커들이 대규모 공격에 가담하고 있다고 분석했다. 주 공격 대상은 아마존웹서비스(AWS) 및 알리바바 클라우드와 같은 클라우드 서버로, 공격자들은 백도어 설치와 지속적인 감염 유지를 위한 복합적인 기술을 사용해 문제가 되고 있다.
이와 더불어 5일부터는 암호화폐 채굴을 목적으로 한 공격도 발생하고 있다. 모네로(XMR)를 채굴하기 위한 악성 프로그램이 피해자의 시스템에 감지되지 않게 설치되면서 공격자들에게 장기적인 이익을 제공하고 있다. 사이버 공격자들은 지하 포럼에서 공격 코드를 공유하고 경험을 교환하며 새로운 공격 기법을 신속하게 전파하고 있다. 이는 지난 9월 npm 패키지 관리자 계정 해킹 사건과 유사한 양상으로, 당시 인기 패키지 18개에 악성 코드가 침투하여 피해를 발생시켰다.
레이저 CTO 샤를 기예메는 이번 취약점을 ‘공급망 전체를 위협하는 대규모 공격’이라고 평가하며, 비관리형 하드웨어 지갑을 사용하지 않는 이용자들은 온체인 거래를 피해야 한다고 강조했다. 글로벌 레저의 보고에 따르면, 2025년 상반기까지 무려 30억 달러가 탈취된 총 119건의 해킹 사건이 발생했으며, 사건이 공개되기 전 70%의 자금이 이미 이동한 상태였고, 회수율은 단지 4.2%에 불과했다.
현재 React 또는 Next.js를 사용하는 모든 개발자는 보안 패치를 신속히 적용하고, 웹 애플리케이션 방화벽(WAF)을 설정하며, 코드 의존성에 대한 재점검을 수행해야 한다. 또한 서버의 wget이나 cURL 다운로드 명령 실행 여부를 모니터링하고 불법적인 디렉토리나 설정 변조에 대한 탐지가 필수적이다.
