네덜란드, 사이버 공격 조력 혐의로 2명 체포 및 서버 800대 압수

네덜란드 당국이 러시아가 유럽 연합(EU) 내부에서 사이버 공격, 영향력 행사 작전 및 허위 정보 캠페인(disinformation campaigns)을 수행하는 데 사용한 IT 인프라를 운영한 혐의로, 서로 연관된 두 인터넷 호스팅 업체의 공동 소유자들을 체포했습니다. 이 두 남성은 이들의 호스팅 업체가 Stark Industries Solutions의 기술 인프라에 대한 통제권을 장악했다는 내용의 2025년 KrebsOnSecurity 기사의 중심 인물이었습니다. Stark Industries Solutions는 러시아 정보 기관의 사이버 악행을 위한 빈번한 거점으로 작용하여 지난해 EU로부터 제재를 받은 인터넷 서비스 제공업체(ISP)입니다.

급습 당시 네덜란드 금융범죄 수사국(FIOD) 조사관의 모습. 이미지 출처: FIOD.

네덜란드 일간지 de Volkskrant의 보도에 따르면, 네덜란드 금융범죄 수사국인 FIOD는 5월 18일 암스테르담 출신의 57세 남성과 헤이그 출신의 39세 남성을 체포했습니다. 이들은 EU 제재 대상 엔티티(entities)에 직접적 또는 간접적으로 경제적 자원을 제공함으로써 제재법을 위반한 혐의를 받고 있습니다.

네덜란드의 이번 수사는 러시아가 우크라이나를 침공하기 불과 2주 전에 등장한 거대 호스팅 제공업체인 Stark Industries에 초점을 맞추고 있습니다. 2024년 5월 심층 분석 기사에서 상세히 다루었듯이, Stark는 유럽 내 목표물을 대상으로 한 대규모 분산 서비스 거부(DDoS) 공격의 근원지가 되었으며, 러시아 지원 해킹 그룹과 연관된 사이버 공격에서 반복적으로 나타난 프록시(proxy) 및 익명성 서비스의 주요 공급업체로 부상했습니다.

해당 보고서는 몰도바 출신의 두 형제인 Ivan과 Yuri Neculiti, 그리고 이들의 회사인 PQHosting을 지목했으며, 이들은 Stark가 더 넓은 인터넷(Internet)으로 연결되는 두 가지 주요 통로 중 하나를 제공하고 있었습니다. 2025년 5월, EU는 러시아의 하이브리드 전쟁 (hybrid warfare) 노력을 도운 혐의로 PQHosting과 Neculiti 형제에게 제재를 가했습니다. 하지만 KrebsOnSecurity가 2025년 9월에 관찰한 바와 같이, 해당 제재는 Stark의 남은 인터넷 연결 통로인 네덜란드 기반의 인터넷 서비스 제공업체 (ISP) MIRhosting을 겨냥하는 데는 실패했습니다.

MIRhosting은 네덜란드에서 사업을 운영하는 39세의 러시아 출신 Andrey Nesterenko에 의해 운영됩니다. 작년 EU가 PQHosting과 Neculiti 형제에게 제재를 가할 것이라는 소식은 제재가 발표되기 약 2주 전부터 언론에 유출되었습니다. 그 기간 동안 Stark 네트워크 자산은 PQHosting에서 네덜란드 법인인 WorkTitans BV의 통제하에 있는 the[.]hosting이라는 새로운 엔티티(entity)로 이전되었습니다.

그리고 우리의 2025년 9월 보고서에서 보여주었듯이, WorkTitans는 Nesterenko와 암스테르담 출신의 57세 Youssef Zinad에 의해 통제되었습니다. 게다가 WorkTitans는 Zinad가 이전에 근무했던 MIRhosting을 통해서만 더 넓은 인터넷에 대한 연결성을 확보하고 있었습니다.

5월 18일, 네덜란드 금융 범죄 수사관들은 Nesterenko와 Zinad를 체포했으며, 엔스헤데(Enschede)와 알메러(Almere)에 있는 3개의 기업과 드론턴(Dronten) 및 스키폴-레이크(Schiphol-Rijk)에 있는 2개의 데이터 센터를 수색했습니다. 네덜란드 당국의 성명에 따르면, 이들은 노트북, 전화기 및 800대 이상의 서버를 압수했습니다.

네덜란드 당국에 의해 800대의 서버가 압수된 직후 the-hosting 고객들에게 전달된 메시지입니다. 해당 메시지는 불행히도 서버에 저장된 데이터가 유실되었으며 복구할 수 없다고 밝히고 있습니다.

De Volkskrant는 2025년 11월 13일부터 19일 사이, 즉 덴마크 지방 선거가 있던 주에 발생한 덴마크 정부 기관 대상 친러시아 공격에서 WorkTitans와 MIRhosting이 가장 많이 사용된 네트워크임을 보여주는 데이터를 검토했다고 밝혔습니다.

해당 간행물은 Nesterenko가 체포되기 전, MIRhosting의 설립자가 자신의 서버가 친러시아 사이버 범죄자들에 의해 오용되었다는 사실을 알고 있었다는 점을 부인했다고 전했습니다. de Volkskrant는 “그는 2025년 5월 EU 제재가 발효되었을 때 Neculiti 형제와의 모든 서비스를 종료했다고 말했다”며, 또한 그가 “‘해롭고 부정확한 출판물’에 대해 조치를 취할 모든 권리를 보유하고 있다”고 덧붙였습니다.

MIRhosting는 덴마크 선거와 관련된 혐의 사실에 대해 내부 조사를 시작했으며, 사안을 추가로 검토하는 동안 예방 조치로서 WorkTitans에 대한 서비스를 일시적으로 중단했다고 성명을 통해 밝혔습니다.

성명에는 “당사의 예비 조사 결과에 따르면, 당사가 통제하는 서비스가 실제로 덴마크 선거에 영향을 미치는 데 사용되었다는 징후는 없다”라고 명시되어 있습니다. “해당 간행물에서 언급된 기간 동안 당사의 네트워크 트래픽에서 어떠한 이상 징후나 급증도 관찰되지 않았습니다. 만약 대규모 DDoS (Distributed Denial of Service, 분산 서비스 거부) 공격이 발생했다면 그러한 활동은 명백히 드러났을 것입니다. 또한, 언론 보도 이전에는 당사 네트워크의 의심스러운 활동이나 오용에 관한 어떠한 불만, 남용 보고 또는 공식 요청도 받은 바 없습니다. 한편, 당사의 정기적인 운영 활동은 계속되고 있으며, 다른 고객들에 대한 서비스는 완전히 정상적으로 유지되고 있습니다.”

러시아 니즈니노브고로드에서 태어난 Nesterenko 씨는 어린 시절부터 대중 앞에서 공연을 했던 피아노 신동으로 성장했습니다. 2004년, Nesterenko는 MIRhosting의 모기업인 **Innovation IT Solutions Corp.**를 설립했습니다. 이 회사는 2008년 러시아군이 구소련 국가였던 조지아를 침공했을 때, 조지아를 대상으로 한 사이버 공격을 조직하기 위해 등장한 해키비스트 (Hacktivist, 해킹 활동가) 웹사이트인 stopgeorgia[.]ru의 호스팅을 담당한 기업이라는 주목할 만한 이력을 가지고 있습니다. 당시의 갈등은 주목할 만한 사이버 공격과 실제 군사 교전이 동시에 발생한 최초의 전쟁으로 간주되었습니다.

이메일을 통해 전달된 질문에 답변하며, Nesterenko는 MIRhosting가 사이버 범죄, 제재 회피 또는 불법 활동을 지원하지 않으며, 네덜란드 당국의 혐의 제기와 체포가 자신과 회사에 매우 큰 해를 끼쳤다고 말했습니다.

“.hosting으로의 전환은 제재를 회피하기 위한 의도가 아니었습니다.”라고 Nesterenko는 작성했습니다. “하드웨어와 고객 포트폴리오는 제재가 나타나기 전에 이미 WorkTitans로 이전되었습니다. 합법적인 네덜란드 인프라 기업을 폐쇄하거나 손상시키는 것은 사이버 범죄를 막지 못할 것이며, 오히려 아무런 잘못도 하지 않은 많은 사람들에게 피해를 줄 것입니다.”

57세의 Zinad에 대해서는 공개된 정보가 훨씬 적으며, 그는 작년 저희의 보도 이후 낮은 자세를 유지해 온 것으로 알려졌습니다. De Volkskrant는 Zinad가 자신의 LinkedIn 계정 접속을 차단했고, 수개월 동안 이메일, WhatsApp 메시지 및 전화에 응답하지 않았으며, 동료에게 질병으로 인해 다소 은둔적인 생활을 할 수밖에 없다고 말했다고 보도했습니다.

현재는 사라진 Zinad 씨의 LinkedIn 프로필입니다. 여기에는 MIRhosting의 서비스에 관한 게시물들이 가득했습니다.

Nesterenko 씨는 Zinad가 MIRhosting의 직원이었던 적이 없다고 주장합니다.

“그는 기업 간의 정상적인 B2B (Business-to-Business) 계약 하에 특정 비즈니스 업무와 관련하여 저와 MIRhosting를 도왔을 뿐입니다.”라고 Nesterenko는 설명했습니다.

하지만, 이전에 KrebsOnSecurity에 보낸 이메일에서 Nesterenko는 Zinad 씨(@mirhosting.com 이메일 사용)를 참조(CC)에 넣으며 그가 회사의 법무팀(Legal team)의 일원이라고 설명했습니다. 또한, 네덜란드 웹사이트 stagemarkt[.]nl에는 Youssef Zinad가 Almere에 위치한 MIRhosting 사무실의 공식 연락처로 기재되어 있습니다.

Zinad 씨는 논평 요청에 한 번도 응답하지 않았습니다. De Volkskrant 역시 그를 추적하는 데 성공하지 못했습니다. 해당 매체는 Zinad 씨(본문에서는 단순히 “Z”로 지칭)에게 반복적으로 요청했으나, 그는 모든 형태의 연락을 피한 것으로 알려졌다고 밝혔습니다.

“'현재 연락이 어렵지만, 가능한 한 빨리 메시지에 답변하겠습니다'라는 자동 응답이 2025년 10월 2일 WhatsApp(왓츠앱)에 표시되었다”라고 de Volkskrant가 보도했습니다. “이는 de Volkskrant가 수개월 동안 받은 유일한 응답이었습니다. 그는 전화를 받지 않았고 다시 전화하지도 않았습니다. 한 지인이 LinkedIn(링크드인)을 통해 기자에게 연락해 달라고 요청하자, 그는 자신의 LinkedIn 페이지에 대한 접근을 차단했습니다. Z.의 개인 유한회사(personal limited company)가 등록된 알메러(Almere)의 한 주소지에는 4월 당시 아무도 없었습니다. 코너 하우스의 블라인드는 내려져 있었고, 컨테이너 옆에는 마치 누군가 최근에 떠난 것처럼 쓰레기 봉투 더미가 쌓여 있었습니다. 한 이웃은 그 남자를 알지만 그가 어디에 머물고 있는지는 모른다고 말했습니다. Z.는 이후 암스테르담(Amsterdam)의 한 거주지에서 체포되었습니다.”