🚨 삐용 삐용 React2Shell 긴급 긴급

평화로운 금요일(이었습니다)
어제 퇴근 전, 신규 기능을 개발하고 브랜치를 푸시했습니다. Vercel 봇이 돌기 시작했고, 저는 당연히 녹색 체크 표시(✅)를 기대하며 퇴근을 했죠.

19:04:20.335 Error: Vulnerable version of Next.js detected, please update immediately. 
Learn More: https://vercel.link/CVE-2025-66478

Build Completed라고 떠서 안심하려는 찰나, 마지막 줄에 섬뜩한 Error가 찍히며 배포가 강제 중단되었습니다.

보통 빌드 에러는 코드 문법이나 타입스크립트 이슈인 경우가 많은데, 이번엔 메시지가 심상치 않습니다. Vulnerable version of Next.js detected (취약한 Next.js 버전이 감지됨).

단순히 "권장"하는 게 아니라, 아예 배포를 막아버릴 정도면 뭔가 큰일이 났다는 뜻입니다. 급하게 로그에 찍힌 링크를 타고 들어가 보았습니다.

🕵️ 범인은 'React2Shell' (CVE-2025-55182)

확인해 보니 최근 IT 커뮤니티를 뜨겁게 달구고 있는 React2Shell이라는 보안 취약점 때문이었습니다.

React Server Components(RSC)를 사용하는 환경에서 발생하는 치명적인 원격 코드 실행(RCE) 취약점인데, 해커가 특수하게 조작된 요청을 보내면 서버 권한을 탈취할 수 있다고 합니다.

Vercel은 이 취약점을 매우 심각하게 받아들이고, 플랫폼 차원에서 취약한 버전의 Next.js를 사용하는 프로젝트의 배포를 원천 차단하는 강수를 둔 것이었죠.

바야흐로, 대 개인정보 유출의 시대. 개발자 세상이라고 다를거 있겠습니까 ㅋㅋㅋ..

내 프로젝트 상태

• 사용 중인 버전: Next.js 15.5.0
• 상태: 💣 취약점 노출 대상 (15.0.0 ~ 16.0.6 전체)

"설마 내 사이트가 털리겠어?"라는 안일한 생각을 하기도 전에, 플랫폼이 "응, 안 고치면 배포 안 시켜줘"라고 멱살을 잡은 격입니다. (오히려 고마워해야겠죠? 😂)

"아 진짜 고맙다고 ㅋㅋ;"

---

🛠️ 작전: 핫픽스 긴급 투입

해결 방법은 간단합니다. 문제가 해결된 패치 버전으로 업그레이드하는 것입니다. Vercel 보안 권고에 따르면 15.5.x 버전을 사용하는 경우 15.5.7 이상으로 올려야 합니다.

1. 버전 확인 및 업데이트

터미널을 열고 바로 업데이트를 진행합니다.

1-1. 현재 버전 확인

npm list next

1-2. 보안 패치 버전으로 업데이트 (또는 latest)

npm install next@15.5.7

next@15.5.0 deduped라는 표시는 "별도로 설치된 게 아니라, 프로젝트 루트(가장 상위)에 설치된 next 패키지를 같이 쓰고 있다"는 뜻입니다.

list 명령어를 통해서, 확인해보니, 현재 사용하지 않는 next-auth도 있네요. 해당 패키지 내부에 15.5.0 버전이 존재하는 것 같으니, 프로젝트에서 사용하지 않는 가정하에, 삭제를 같이 진행하겠습니다.

npm uninstall next-auth -w apps/*

현재 저희는 Turborepo를 통해서, 모노레포 환경을 구성하여 사용하고 있기 때문에, 하나하나 삭제하는 것보다 상위 폴더에서 위 명령어로 쓰는게 편리합니다.

-w는 workspace의 약자입니다. (모노레포 환경에서 편리함)

성공적으로 업그레이드 됐습니다.

2. 배포 재시도

package.json과 package-lock.json이 변경된 것을 확인하고, 긴급 픽스로 커밋하여 다시 푸시합니다.

드디어 만난 초록불! ✅ Vercel이 더 이상 배포를 막지 않고 정상적으로 빌드를 통과시켰습니다.

---

📚 오늘의 교훈

이번 강제 배포 중단을 겪으며 몇 가지 생각이 들었습니다.

• 플랫폼 종속성의 양면성:
  Vercel 같은 관리형 플랫폼을 쓰면 편하긴 하지만, 이번처럼 플랫폼 정책에 의해 내 서비스 배포가 갑자기 막힐 수도 있습니다. 하지만 보안 이슈에 둔감할 수 있는 개발자에게 강제로라도 패치를 하게 만드는 건 '안전한 서비스'를 위한 강력한 순기능이기도 합니다.

• 보안은 미루는 게 아니다:
  만약 직접 서버를 구축(Self-hosted)해서 쓰고 있었다면, 뉴스를 보지 않는 이상 취약점 패치를 미뤘을지도 모릅니다. 차라리 이렇게 뺨 한 대 때리고 고치라고 해주는 게 낫네요.

다시 기능 개발하러 가볼까요?

참고 자료

• React2Shell Security Bulletin | Vercel Knowledge Base
• Security Advisory: CVE-2025-66478