[지디넷코리아]
소프트웨어(SW) 개발 과정에서 생산성과 효율성을 높이기 위한 방법으로 오픈소스 소프트웨어 활용이 지속적으로 확대되고 있다. 이러한 변화는 개발 주기를 단축시켜 빠른 서비스 출시를 가능하게 했지만, 동시에 널리 사용되는 오픈소스에서 취약점이 발견될 경우 그 영향이 광범위하게 확산될 수 있는 환경을 만들었다.
최근 공개된 ‘리액트 서버 컴포넌트(React Server Components)’ 취약점은 이러한 오픈소스 공급망 리스크를 단적으로 보여준다. ‘리액트’는 전 세계 수많은 웹서비스와 기업 제품에 활용되고 있는 대표적인 오픈소스로, 컴포넌트에서 고위험 취약점이 발견됐다는 사실만으로도 파급력이 크다. 피해를 최소화하기 위해서는 해당 컴포넌트 사용 여부를 즉시 파악하고, 신속히 조치할 수 있는 체계를 갖추는 것이 무엇보다 중요하다.
리액트 서버 컴포넌트(RSC)에서 발견된 이번 취약점은 CVE-2025-55182로 등록됐다. 리액트는 메타(Meta)가 개발해 오픈소스로 공개한 자바스크립트 라이브러리로, 전 세계 수많은 웹 서비스와 기업 제품에서 활용되고 있다. 일명 ‘리액트투쉘(React2shell)’로 불리는 이번 취약점은 특수 제작된 HTTP 요청을 통해 인증 절차 없이 원격 코드 실행(RCE)을 허용한다.
별도의 설정 변경 없이 공격이 가능하며, 단 한 번의 악성 요청으로 전체 서비스가 탈취될 수 있어 위험도가 높다. 실제로 소프트웨어 보안 취약점의 심각도를 평가하는 CVSS 점수 만점인 10.0점을 받았으며, 이는 2021년 전 세계에 영향을 미쳤던 Log4shell 취약점과 동일한 수준의 위험도를 의미한다.
리액트 서버 컴포넌트는 다수의 주요 기업 서비스에서 활발히 사용되고 있다. 또한 리액트 서버 컴포넌트를 직접 사용하지 않더라도, 컴포넌트의 의존성 체인을 통해 간접적으로 포함돼 있을 가능성이 높다. 실제로 이번 취약점은 리액트뿐만 아니라 Next.js, Waku, React Router, Redwood SDK 등 리액트에 의존하는 다양한 프레임워크에도 영향을 미치는 것으로 확인됐다.
이처럼 현대 소프트웨어 개발에서 컴포넌트 의존성이 복잡하게 얽힌 환경에서는 하나의 취약점이 여러 서비스와 제품으로 연쇄적으로 확산될 수 있어 공급망 전반의 보안 리스크로 확대될 가능성이 크다.
소프트웨어 공급망 보안은 이미 개별 기업 차원을 넘어 국가적 과제로 인식되고 있다. Log4j 사태 이후, 국내에서도 소프트웨어 공급망 보안의 중요성이 본격적으로 논의, 정부는 2024년 ‘SW 공급망 보안 가이드라인’을 발표했다. 정부에서 강조하는 핵심은 명확하다. 취약점이 알려지는 순간, 개발 혹은 운영 중인 소프트웨어에 취약한 컴포넌트가 포함돼 있는지를 신속하게 확인할 수 있어야 한다는 점이다.
이를 가능하게 하는 수단이 바로 SBOM(Software Bill of Materials)이다. SBOM은 소프트웨어에 사용된 모든 구성 요소와 의존성을 기록한 명세서로 신규 취약점이 발견될 경우 영향받는 대상을 즉시 식별할 수 있도록 돕는다. SBOM을 활용하면 이번 리액트 서버 컴포넌트 취약점과 같은 상황이 발생했을 때 영향을 받는 대상을 빠르게 식별하고 조치할 수 있다.
오픈소스 중심의 개발 환경에서 이번과 같은 광범위한 취약점 사태는 앞으로도 반복될 수 있다. 따라서 기업과 기관은 사전에 대비 체계를 구축해야 한다. 그 핵심에 SBOM이 있다. SBOM을 효과적으로 활용하기 위해서는 자동화 도구를 통해 개발 파이프라인에서 SBOM을 자동으로 생성하고, 이를 중앙에서 체계적으로 관리할 수 있는 환경을 구축해야 한다. 더 나아가 신규 취약점 공개 시 영향받는 시스템을 즉각 식별하고 알림을 받을 수 있는 모니터링 체계를 갖추는 것이 필수적이다.
또한, 소프트웨어 공급망 보안은 개발사만의 책임이 아니다. 소프트웨어를 도입해 운영하는 기관 역시 공급받은 소프트웨어의 구성 요소를 파악하고 지속적으로 모니터링해야 할 책임이 있다. 이를 위해 개발사와 운영사 간 SBOM을 정기적으로 공유하고, 변경 사항을 투명하게 관리하는 협력 체계를 구축하는 것이 무엇보다 중요하다.