React 최악의 취약점 발견해도 한국은 조용합니다.

조용한 아침의 나라라서 그렇죠.

는 아니고, 근데 한국이나 다른나라나 React 가지고 짬 찬 개발자들은 Next.js 쓰고싶어하겠어요? 그냥 SPA 쓰지.

저도 회사에서 풀스택 템플릿 만들어 배포하고 있는데 React SPA + 백엔드 서버 Vite 통합 체제로 제작했고 Next.js는 한번 쓰다 말았습니다.

근데 한국에 의외로 Next.js 사용률도 늘었습니다. LG나 삼성 등 대기업도 간혹 보이더라고요. 제 눈은 못속입니다. App Router 쓰는지까지는 알 바 아니지만…

그럼 조용할 일이 아닌데…?

https://www.dailysecu.com/news/articleView.html?idxno=203063

리액트 팀은 “앱이 명시적으로 서버 펑션을 구현하지 않았더라도, RSC 기능을 지원하는 순간 이미 공격에 노출될 수 있다”고 설명했다. 즉, 단순히 Next.js App Router 기반으로 제작된 서비스만으로도 충분히 위험하다는 뜻이다.
클라우드 보안업체 Wiz는 이번 취약점이 “RSC 페이로드를 처리하는 과정에서 발생한 안전하지 않은 디직렬화(Logical Deserialization) 문제”라고 분석했다.

공격자는 서버 함수 엔드포인트를 대상으로 악성 HTTP 요청을 조작해 보내고, 이 요청이 React에 의해 디직렬화되는 순간 서버 측에서 임의의 JavaScript 코드 실행이 가능해진다.

해당 취약점은 React 19.0.1, 19.1.2, 19.2.1에서 패치됐다. 뉴질랜드 보안 연구원 라클란 데이비슨(Lachlan Davidson)이 2025년 11월 29일 문제를 발견해 보고했다.

이 문제는 React 기반 풀스택 프레임워크인 Next.js의 App Router 환경에도 영향을 미친다.

그 이유는 명확하다. 공격 조건이 거의 없다.  로그인할 필요도 없다. 악성 요청 하나면 공격이 성립한다.