과거 PC 통신 시대부터 현재에 이르기까지 보안 분야에서 빠지지 않고 등장하는 이름이 바로 넷버스입니다. 넷버스는 1990년대 후반에 등장한 원격 제어 도구로, 본래는 관리의 편의를 위해 개발되었으나 악의적인 사용자에 의해 백도어 해킹 프로그램으로 악용되면서 악명을 떨치게 되었습니다. 현재 2025년 관점에서 보면 고전적인 도구에 불과하지만, 원격 제어 프로그램의 기본 원리를 이해하고 네트워크 보안의 취약점을 파악하는 데 있어 매우 중요한 사례로 기록되고 있습니다.
📚 함께 읽으면 좋은 글
넷버스 Netbus 프로그램의 정의와 역사 알아보기
넷버스는 스웨덴의 프로그래머가 개발한 원격 관리 도구로, 윈도우 운영체제에서 작동하도록 설계되었습니다. 이 프로그램은 서버와 클라이언트라는 두 가지 실행 파일로 구성되며, 상대방의 컴퓨터에 서버 파일을 설치하게 되면 원격지에 있는 사용자가 대상 PC의 마우스 제어, 화면 캡처, 키보드 입력 가로채기(키로깅) 등의 행위를 할 수 있게 됩니다. 당시에는 백신 프로그램의 탐지 기술이 성숙하지 않아 많은 사용자가 자신도 모르게 해킹의 피해자가 되기도 했습니다.
넷버스가 처음 등장했을 때 대중들은 원격으로 친구의 컴퓨터를 조작하는 장난 수준으로 생각했으나, 개인 정보 유출과 시스템 파괴라는 심각한 보안 위협으로 번지면서 보안 업계의 경각심을 일깨웠습니다. 오늘날의 지능형 지속 위협(APT) 공격의 시초 격인 트로이 목마 형태의 공격 방식을 대중화한 장본인이기도 합니다. 초기 버전 이후 다양한 변종이 출시되었으며, 이는 네트워크 포트를 통한 침입 차단의 중요성을 알리는 계기가 되었습니다.
해킹 탐지를 위한 주요 포트 번호 확인하기
넷버스는 특정 네트워크 포트를 사용하여 통신을 주고받습니다. 가장 대표적으로 알려진 포트 번호는 12345번과 12346번입니다. 만약 사용자의 컴퓨터에서 해당 포트가 열려 있고 외부 대기 상태(Listening)라면, 백도어 프로그램이 설치되어 외부에서 접속을 기다리고 있을 가능성이 매우 높습니다. 포트 스캔 도구를 활용하여 내 PC의 열린 문을 점검하는 것은 보안의 기본 중의 기본입니다.
| 사용 포트 | 주요 기능 | 위험 수준 |
|---|---|---|
| 12345 | 기본 원격 접속 및 명령 하달 | 매우 높음 |
| 12346 | 파일 전송 및 추가 데이터 통신 | 높음 |
| 20034 | Bus Config (넷버스 변종) | 높음 |
명령 프롬프트(CMD)를 실행한 뒤 netstat -an 명령어를 입력하면 현재 내 PC에서 활성화된 모든 포트 정보를 확인할 수 있습니다. 2025년 현재는 윈도우 방화벽이 기본적으로 이러한 비정상적인 포트 접근을 차단하지만, 사용자 부주의로 인해 방화벽 예외 설정이 되어 있다면 여전히 위험할 수 있습니다. 시스템 관리자는 상시 모니터링을 통해 미사용 포트가 열려 있는지 주기적으로 검사해야 합니다.
넷버스 제거 방법과 레지스트리 정리 상세 보기
단순히 실행 파일을 삭제하는 것만으로는 넷버스의 위협에서 완전히 벗어나기 어렵습니다. 이 프로그램은 시스템이 시작될 때마다 자동으로 실행되도록 레지스트리 값을 조작하기 때문입니다. 레지스트리 편집기(regedit)를 실행하여 자동 실행 항목을 수동으로 삭제하는 과정이 반드시 병행되어야 완벽한 제거가 가능합니다.
HKEY_LOCAL_MACHINE 또는 HKEY_CURRENT_USER 경로 아래의 Run 항목들을 면밀히 살펴봐야 합니다. 넷버스의 서버 파일인 patch.exe나 netbus.exe와 같은 이름이 등록되어 있다면 즉시 삭제해야 합니다. 또한 최근에는 프로그램 이름을 시스템 정상 파일과 유사하게 위장하는 경우가 많으므로, 게시자가 불분명한 항목은 신중하게 확인해야 합니다. 수동 삭제가 어렵다면 신뢰할 수 있는 백신 프로그램을 최신 버전으로 업데이트하여 정밀 검사를 수행하는 것이 가장 권장되는 방법입니다.
최신 백도어 공격 예방 및 대응 수칙 신청하기
2025년의 사이버 공격은 과거 넷버스 시절보다 훨씬 교묘해졌습니다. 단순한 원격 제어를 넘어 랜섬웨어 유포나 암호화폐 채굴 악성코드 삽입으로 진화했습니다. 넷버스와 같은 고전적 툴이 시사하는 바는 명확합니다. 신뢰할 수 없는 출처의 파일은 절대로 실행하지 않는 보안 습관이 가장 강력한 방어책이라는 점입니다.
이메일 첨부 파일, 불법 소프트웨어 공유 사이트, 변조된 광고 배너 등을 통해 백도어가 유입될 수 있습니다. 운영체제와 사용 중인 모든 소프트웨어의 보안 패치를 최신 상태로 유지하는 것이 필수적입니다. 또한 다중 요소 인증(MFA)을 활성화하여 계정 정보를 탈취당하더라도 공격자가 시스템에 접근하는 것을 원천 차단해야 합니다. 네트워크 수준에서는 침입 탐지 시스템(IDS)과 침입 차단 시스템(IPS)을 구축하여 비정상 트래픽을 사전에 필터링하는 전략이 필요합니다.
현대적 관점에서의 원격 관리 도구 사용 주의사항 더보기
넷버스의 기술은 현재 팀뷰어나 애니데스크와 같은 합법적인 원격 제어 프로그램의 기반이 되기도 했습니다. 하지만 이러한 유용한 도구들도 사용자의 허락 없이 설치되거나 권한이 남용되면 넷버스와 다를 바 없는 해킹 툴이 됩니다. 원격 지원이 끝난 후에는 반드시 프로그램을 종료하고 세션을 해제하는 것이 안전합니다.
기업 환경에서는 원격 데스크톱 프로토콜(RDP)의 노출을 최소화하고 VPN을 통해서만 접근을 허용하는 엄격한 보안 정책을 시행해야 합니다. 넷버스가 유행하던 과거에 비해 오늘날은 정보의 가치가 비교할 수 없을 만큼 커졌습니다. 작은 틈새 하나가 기업 전체의 자산을 위협할 수 있음을 인지하고, 과거의 보안 사례를 타산지석으로 삼아 더욱 견고한 보안 체계를 구축해야 할 시점입니다.
📌 추가로 참고할 만한 글
넷버스 및 백도어 관련 자주 묻는 질문 FAQ
사용자들이 궁금해하는 넷버스와 보안 위협에 대한 핵심 질문을 정리했습니다.
Q1. 넷버스는 현재 윈도우 11에서도 작동하나요?
네, 호환 모드나 특정 환경에서 실행될 수 있지만, 현대의 윈도우 보안 시스템(Windows Defender)은 넷버스를 매우 위험한 트로이 목마로 분류하여 즉시 차단합니다. 따라서 일반적인 환경에서는 실행 자체가 어렵습니다.
Q2. 내 컴퓨터가 해킹당했는지 어떻게 알 수 있나요?
마우스 커서가 마음대로 움직이거나, CD-ROM 트레이가 저절로 열리는 등의 이상 현상(과거 넷버스 특징) 외에도 PC 성능이 갑자기 저하되거나 알 수 없는 네트워크 트래픽이 과도하게 발생한다면 의심해 봐야 합니다.
Q3. 12345 포트 외에 다른 포트도 위험한가요?
네, 백도어 프로그램은 공격자가 설정하기에 따라 어떤 포트든 사용할 수 있습니다. 특히 3389(RDP), 21(FTP), 23(Telnet) 포트 등은 자주 공격의 대상이 되므로 각별한 주의가 필요합니다.