합법적인 오픈소스 서버 모니터링 도구였던 ‘네자(Nezha)’가 최근 사이버 범죄자들의 손에 의해 원격 액세스 트로이 목마(RAT)로 악용되고 있다는 경고가 나왔다. 스위스 보안기업 온티뉴(Ontinue)에 따르면, 공격자들은 네자의 정식 기능을 그대로 활용하며 탐지 우회를 실행하고 있다. 특히 주요 백신 엔진들도 이를 탐지하지 못하는 것으로 알려져 기업 보안에 심각한 위협이 되고 있다.

네자는 원래 중국 개발자 커뮤니티를 위해 제작된 오픈소스 도구로, 서버 자원 모니터링, 이상 알림, 원격 점검 등을 지원하는 유용한 툴이다. 깃허브에서 별점 1만 개에 가까운 인기를 끌며 활성 개발이 이어져왔지만, 최근 들어 사이버 공격자들이 이를 침투 후 내부 망의 권한 유지를 위한 수단으로 악용하고 있는 것으로 밝혀졌다.

온티뉴는 보안 사고 대응 과정에서 공격자가 배시 스크립트를 이용해 조용히 에이전트를 설치하고, 공격자 서버와 통신하도록 구성한 정황을 포착했다. 이 스크립트는 명령 및 제어(C2) 서버 주소와 인증 키 정보를 포함하고 있었으며, TLS 암호화를 비활성화하고 깃허브 프록시 서비스를 통해 배포되는 구조를 가지는 등 조직적인 캠페인의 흔적을 띠고 있다.

문제는 네자가 정상적인 소프트웨어라는 점 때문이다. 특별한 취약점을 악용하지 않아도 ‘시스템 레벨(Windows)’ 혹은 ‘루트 권한(Linux)’의 접근을 허용하며, 명령 실행과 인터랙티브 터미널, 파일 조작 등을 지원한다. 따라서 방어자는 의심스러운 행위를 일반 유지관리로 착각해 놓치기 쉬운 상황이며, 실제로 이날 발견된 공격 조직은 일본 소재 알리바바 클라우드 IP를 통해 수백 대의 장비에 대한 접근을 시도한 흔적이 있었다.

이에 대해 퀄리스(Qualys) 위협 연구팀의 마유레쉬 다니(Mayuresh Dani)는 “정상 도구의 악의적 악용은 새로운 전략이 아니다”라며 “팀뷰어(TeamViewer)와 같은 원격관리 툴이나 ‘Living-Off-the-Land’ 공격 기법과 유사하다”고 분석했다. 그는 “문제는 네자 에이전트가 시스템 또는 루트 권한을 아무 제한 없이 제공한다는 점”이라며 “해킹 도구 개발 없이도 강력한 장악력을 행사할 수 있는 위험한 방식”이라고 경고했다.

네자 특유의 통신 구조도 탐지를 어렵게 만드는 요소다. HTTP 및 gRPC 프로토콜을 통해 대시보드 트래픽과 에이전트 통신을 하나의 포트로 통합 전송하기 때문에 일반적인 정보 수집 활동처럼 보이게 된다. 이렇게 위장된 트래픽은 전통적인 시그니처 기반 탐지 체계를 쉽게 우회한다.

다니는 이에 대한 대응으로 “기업은 모든 원격모니터링 및 관리 도구를 사전에 목록화해야 하고, 이상 행동 기반의 실시간 분석 기능을 보안 솔루션에 결합해야 한다”고 조언했다. 이어 “특정 RMM 도구의 수명 주기를 제한해 반복적 또는 장기적인 남용을 차단하는 정책도 고려할 필요가 있다”고 덧붙였다.

이번 네자 사례는 범용 오픈소스 도구조차 악의적인 목적에 따라 언제든 공격자 손에 들어갈 수 있음을 다시 한번 보여주는 경고 신호다. 특히 클라우드 위주의 현대 인프라 환경에서는 합법·비합법의 경계가 흐려지고 있어, 방어 전략의 패러다임 전환이 요구되고 있다.