네덜란드, 사이버공격 지원 혐의로 서버 800대 압수하고 2명 체포
사이버 범죄의 뒷단을 운영하는 것은 그 자체로 한류 범죄다. 하지만 그것이 단순한 범죄로 끝나지 않는 경우가 있다. 바로 국가 차원의 사이버 공격에 인프라를 제공하는 경우다. 네덜란드 금융범죄수사기관 FIOD는 2026년 5월 18일, 러시아의 EU 내 사이버 공격과 영향력 작전, 허위정보 캠페인에 쓰인 IT 인프라를 운영한 혐의로 호스팅 회사 소유주 2명을 체포하고 서버 800대이을 압수했다.
이 사건의 핵심에는 Stark Industries라는 이름이 있다. 러시아 우크라이나 침공 직전 등장한 이 대형 호스팅 제공업체는 유럽 표적을 겨냥한 대규모 DDoS 공격의 출처로 지목됐다. 또한 러시아 지원 해킹 그룹과 연결된 공격에서 반복적으로 나타난 프록시와 익명화 서비스의 주요 공급자이기도 했다.
Stark Industries — 그 이름 뒤에 숨은 구조
Stark Industries는 2022년 2월, 러시아의 우크라이나 침공 2주 전에 처음 모습을 드러냈다. Moldovan 형제 Ivan과 Yuri Neculiti가 운영하는 PQHosting이 Stark의 두 주요 인터넷 연결 통로 중 하나를 제공한 것으로 분석됐다. EU는 2025년 5월, 러시아의 하이브리드전 수행을 도운 혐의로 PQHosting과 Neculiti 형제를 제재했다.
그러나 중요한 점은 이 제재가 Stark의 남은 인터넷 연결 통로를 겨냥하지 못했다는 것이다. 그 바로 다음 단계인 네덜란드 기반 ISP인 MIRhosting이 제재 대상에서 누락된 채로 남아있었다. 이봉 틈을 타고 Stark의 자산은 PQHosting에서 새 법인 the[.]hosting으로 이전됐다.
the[.]hosting은 네덜란드 법인 WorkTitans BV의 통제 아래 있었고, WorkTitans는 Andrey Nesterenko와 Youssef Zinad가 통제하는 것으로 나타났다. WorkTitans의 유일한 인터넷 연결 제공자는 MIRhosting이었고, Zinad는 이전에 MIRhosting에서 일한 이력이 있었다. 체포 당시 두 사람은 암스테르담과 헤이그에서 각각 57세, 39세로 진해됐다.
800대 서버 압수 — 어떤 일이 있었나
FIOD는 Enschede와 Almere의 사업장 3곳, Dronten과 Schiphol-Rijk의 데이터센터 2곳을 동시에 수색했다. 압수된 장비는 노트북, 전화기, 서버 800대 이상에 달했다. the[.]hosting 고객에게 전달된 메시지는 이렇다.
> ⚠️ 압수 직후 서버에 저장된 데이터가 손실됐습니다. 복구할 수 없습니다.
데이터센터 사용자 입장에서는 가장 끔찍한 순간이다. 합법적인 고객까지말키더하다에를 당한 셈이다.
덴마크 선거 공격과 MIRhosting의 반박
2025년 11월 13일부터 19일까지 덴마크 지방선거 주간에, 덴마크 정부 기관을 겨냥한 친러시아 공격이 있었다. de Volkskrant지가 확인한 데이터에 따르면, 이 공격에서 WorkTitans와 MIRhosting이 가장 많이 사용된 네트워크였다.
MIRhosting의 창립자 Andrey Nesterenko는 체포 전, 자신의 서버가 친러시아 사이버범죄들에게 오용됐다는 사실을 몰랐다고 부인했다. 2025년 5월 EU 제재가 발효됐을 때 Neculiti 형제와의 모든 서비스를 종료했다고 진했다. MIRhosting은 덴마크 선거와 관련된 내부 조사를 시작하고, 추가 검토loqu 예방 조치로 WorkTitans에 대한 서비스를 일시 중단했다고 공식 성명을 냈다.
MIRhosting의 주장 :
• 예비 조사에서 자사가 통제하는 서비스가 덴마크 선거에 영향을 주는 데 실제로 사용됐다는 징후는 없었다
• 해당 기간 네트워크 트래픽에서 이상이나 급증이 관찰되지 않았다
• 대규모 DDoS 공격이 있었다면 그런 활동이 드러났을 것이다
• 언론 보도 전까지 의심 활동이나 네트워크 오용과 관련한 민원, abuse report, 공식 요청을 받은 적이 없었다
Andrey Nesterenko의 이력 — 2008년회
Nesterenko는 2004년 MIRhosting의 모회사 Innovation IT Solutions Corp.를 설립했다. 이 회사는 2008년 러시아군이 조지아를 침공한 시점에 해커 행동주의 웹사이트 stopgeorgia[.]ru를 호스팅한 것으로 언급된다. stopgeorgia[.]ru는 조지아 대상 사이버공격을 조직하는 웹사이트였고, 해당 충돌은 눈에 띄는 사이버공격과 실제 군사 교전이 동시에 벌어진 최초의 전쟁으로 기록됐다.
Nesterenko는 2026년 5월, 자신의Servers가 친러시아 사이버범죄자들에게 오용됐다고인식할 가능성이 있다고 보인다는Eddress에서 다음과 같이 밝혔다.
> MIRhosting이 사이버범죄, 제재 회피, 불법 활동을 지원하지 않으며, 네덜란드 당국의 혐의와 체포가 자신과 회사에 극도로 해롭습니다.
그는 the[.]hosting으로의 전환이 제재 회피 목적이 아니었고, 하드웨어와 고객 포트폴리오는 제재가 등장하기 전에 이미 WorkTitans로 이전됐다고 덧붙였다.
사이버 범죄 인프라를 만드는 사람들
Hacker News 토론에서는 이 문제를 더 깊이 들여다보는코메은토들이 달렸다. 한 익명의 보안 종사자는 이렇게 지적했다.
> IT 서비스 제공자에게 사이버 범죄자가 인프라 IT 서비스를 제공받는다는 표현은 적절하지 않다. 이들이 본질적으로 IT 인력이고 인프라를 운영하는데 고객층만 그쪽인 것처럼 보인다. 오히려 여러 사이버 범죄 조직이 자신들을 받아줄 호스팅을 찾지 못해 직접 백엔드 IT 인프라를 마련하는 고된 일을 했다.
그 이야기의 요지는 이렇다. 사이버 범죄자들도 Initially는 합법적인 VPS를 찾다가부딪벽하고, 결국 직접 인프라를 구축하게 된다는 것이다. 결국 그들이 구축한 인프라를 바탕으로 사이버 범죄 장터에서 턴키 IaaS 장비를 사들이고, 점점 조직화되는 흐름을 밟는다는 것이다.
개발자가 알아야 할 점
이 사건에서 개발자와 인프라 담당자가 관심을 가져야 할 점이 있다.
1. 제재 목록에 오른 호스팅피하다는 불가능하다
PQHosting이 EU 제재 대상에 오른 직후 the[.]hosting으로 이전하는 전략이 드러났다. 그러나 국제적 제재는 단순한 사업 이전으로 회피할 수 없다. 제재를 받은 개인이나 법인의 자산과 연결된 모든 서비스는 추적 가능하다.
2. 데이터센터 선택에서 묻지 말고 확인하라
특히 해외 데이터센터를리용률때, 해당 사업자가 실질적으로 누가 운영하는지 확인해야 한다. MIRhosting의 창립자는 2008년 stopgeorgia.ru를 호스팅했다. 이것은publiquement가이리용 가능한 정보다. 호스팅 선택 시 해당 사업자의 이력을 확인하는 것은 기본이다.
3. 제재 회피에 리용되는 인프라의 희생자가 될 수 있다
the[.]hosting에서 서버를 리용하던 합법적인 고객들은 아무 잘못 없이 데이터를 잃었다. 서버를 운영할 때 데이터 백업은 선택이 아니라 필수다. 특히 클라우드,PaaS,SaaS에 의존하는 구조라면나오사이다.
# 서버 데이터 백업 확인 스크립트 예시rsync -avz --dry-run /data /backup/# 또는공tar -czf backup_$(date +%Y%m%d).tar.gz /data결론
이번 사건은 사이버 범죄의등 인프라가 단순한 기술적 문제가 아니라 국제 정치와 직결된다는 점을 보여준다. 제재를 회피하기 위한 조직적피하다, 그것을 가능하게 하는 세계적 ISP의 구조, 그리고 그 안에서 합법적인 고객까지말말키더하다에를 당하는 결과까지 — 모두 연결되어 있다.
개발자와 인프라 담당자로서 이 사건에서 배워야 할 가장 중요한 교훈은 이것이다.
> 내 서버가 누구에게 서비스되고 있는지를 알게 하기보다는, 내 서버가 누구에게 서비스되고 있는지를 확인하는 것이 낫다.
📚 출처
• KrebsOnSecurity — 네덜란드 복무기 압수 및 체포적
• AI Agent News — 네덜란드 800대 서버 압수
📚 출처
'자동화&툴 리뷰' 카테고리의 다른 글
| Apple과 Google은 푸시 알림에 무엇을 하고 있나 — 개발자가 알아야 할 핵심 정리 (0) | 2026.05.30 |
|---|---|
| DynIP – RFC 2136, IPv6, DNSSEC, BYOD를 지원하는 동적 DNS 완벽 가이드 (0) | 2026.05.29 |
| Ghost CMS CVE-2026-26980 취약점: 700개 사이트가 탈취된 ClickFix 공격의 전말 (1) | 2026.05.28 |
| 커밋에서 광고하지 마세요 — 무료 홍보가 아닌 기술적 정보를 우선해야 하는 이유 (0) | 2026.05.28 |
| Microsoft 보고서, AI가 인간 직원 고용보다 더 비싸다고 밝혀 (0) | 2026.05.26 |