CVE-2025-55182 (React2Shell) — Next.js 15.x 비인증 RCE, 우리가 뚫린 이유
배포된 커밋의 Next.js 버전은 15.1.3이었습니다. pnpm-lock.yaml에는 이미 deprecated 경고가 적혀 있었고, 보안 패치 커밋은 존재했지만 배포되지 않은 채 방치되어 있었습니다. CVE-2025-55182의 공격 체인을 추적하며, 패치와 배포 사이의 간극이 얼마나 치명적인지 되짚어봅니다.
배포된 커밋의 Next.js 버전은 15.1.3이었습니다. pnpm-lock.yaml에는 이미 deprecated 경고가 적혀 있었고, 보안 패치 커밋은 존재했지만 배포되지 않은 채 방치되어 있었습니다. CVE-2025-55182의 공격 체인을 추적하며, 패치와 배포 사이의 간극이 얼마나 치명적인지 되짚어봅니다.
Coolify에서 NestJS 배포가 타임아웃으로 실패했습니다. 서버 리소스를 확인하려고 docker stats를 열었는데, Next.js 프론트엔드 컨테이너가 CPU 123%, 메모리 2.41GB를 점유하고 있었습니다. 컨테이너 안에서 발견한 정체불명의 바이너리와 마이닝 풀 연결까지, 배포 실패에서 크립토마이너를 발견하기까지의 추적 기록입니다.
Karpathy의 LLM Knowledge Base 방법론을 모노레포 환경에 1:1 대입해봤습니다. 7개 구성요소 중 6개는 이미 동작하고 있었고, 전면 도입보다 빠진 조각만 채우는 게 핵심이라는 결론에 도달했습니다.
AI가 코드를 만들어주는 시대, 워크트리로 병렬 개발까지 시도했지만 결국 가장 큰 병목은 검수하는 사람이 한 명이라는 사실이었습니다. 1인 모노레포 운영에서 느낀 현실적인 한계와 방향 전환을 정리했습니다.
NestJS Worker 배포 중 Coolify의 HEALTHCHECK 감지 버그를 발견했습니다. Dockerfile 전체에서 문자열을 검색하는 로직이 multi-stage target을 고려하지 않는 문제였고, 소스 분석부터 PR 제출까지의 과정을 정리했습니다.
NestJS에서 API 서버와 크론 작업을 별도 프로세스로 분리한 실전 기록입니다. Redis나 BullMQ 없이, SharedInfraModule과 createApplicationContext만으로 Worker를 분리하고 Dockerfile CMD 하나로 배포까지 완료했습니다.
Claude Code는 단독 CLI가 아닙니다. 31개 모듈의 Bridge가 IDE와 연결하고, 5종 트랜스포트의 MCP가 외부 도구를 통합하고, 6개 빌트인 에이전트가 팀으로 협업합니다. 마지막 편에서는 이 '연결의 아키텍처'를 살펴봅니다.
AI 에이전트가 장시간 작업할 때 가장 큰 적은 컨텍스트 한계입니다. Claude Code는 4계층 메모리, 200K 토큰 자동 압축, 자기 치유 메모리, 지연 로딩이라는 네 가지 전략으로 이 문제를 해결합니다.
Claude Code의 심장은 ConversationRuntime의 무한 에이전틱 루프입니다. 184개 도구를 손과 발로, 5단계 권한 모델을 안전장치로, Hook 시스템을 감시자로 — 이 세 가지가 어떻게 맞물려 자율 에이전트를 구현하는지 살펴봅니다.