러시아 사이버공격 인프라 운영 혐의, 네덜란드가 800개 서버 압수·2명 체포
네덜란드 재정범죄 조사청이 러시아의 사이버공격 인프라 운영 혐의로 2명을 체포하고 800대 서버를 압수했다. EU 제재를 우회하기 위해 구축된 정교한 법인 구조(스타크→워크타이탄즈→MIRhosting)를 적발한 사건으로, 덴마크 선거 기간 정부 기관 공격에도 사용된 것으로 파악됐다.
네덜란드 재정범죄 조사청(FIOD)이 러시아의 사이버공격 지원 인프라를 운영한 혐의로 2명을 체포했다. 압수된 서버는 800대에 달한다.
네덜란드 일간지 <데 폭스크란트>에 따르면 FIOD는 지난 18일 암스테르담의 57세 유수프 지나드(Youssef Zinad)와 헤이그의 39세 앙드레이 네스테렌코(Andrey Nesterenko, 러시아 태생)를 EU 제재 대상 기업에 경제적 자원을 제공한 혐의로 체포했다. 양자는 모두 제재법 위반 혐의를 받고 있다.
당국은 암스테르담과 알메레의 사업장 3곳, 드론턴과 스히폴-라이크 데이터센터 2곳을 수색했고, 노트북·휴대폰과 함께 800대 이상의 서버를 압수했다.
숨겨진 제재 회피 구조
이 사건의 배경에는 1년에 걸친 추적이 있다. 보안 전문 언론 크렙스 온 시큐리티(KrebsOnSecurity)는 2024년 5월 '스타크 인더스트리즈 솔루션스'(Stark Industries)라는 호스팅 회사의 적발을 처음 보도했다. 스타크는 러시아의 우크라이나 침략 2주 전인 2022년 2월에 설립된 회사로, 곧바로 대규모 DDoS 공격과 프록시 서비스 제공의 중심지가 됐다.
2024년 보도는 스타크의 주요 인터넷 연결을 담당하던 두 개 회사를 적시했다. 하나는 몰도바의 형제 이반·유리 네쿨리티가 운영하는 'PQHosting'이었다. EU는 2025년 5월 PQHosting과 네쿨리티 형제를 러시아의 하이브리드 전쟁 지원 혐의로 제재했다.
그러나 제재는 스타크의 또 다른 인터넷 게이트웨이를 막지 못했다. 네덜란드에 기반한 'MIRhosting'이 그것이다. MIRhosting은 러시아 태생 네스테렌코가 네덜란드에서 운영하는 회사였다.
제재 소식이 미디어에 유출되자, 스타크의 기술 자산과 고객 포트폴리오는 신속하게 신규 법인 'the[.]hosting'으로 이전됐다. 이를 장악한 것은 네덜란드 법인 '워크타이탄즈(WorkTitans BV)'로, 네스테렌코와 지나드가 지배했다. 워크타이탄즈는 순수하게 MIRhosting을 통해서만 인터넷에 연결됐다.
덴마크 선거 개입까지 추적
데 폭스크란트는 워크타이탄즈와 MIRhosting의 네트워크가 2025년 11월 13~19일(덴마크 지방선거 주간) 덴마크 정부 기관을 표적으로 한 친러시아 공격에서 가장 자주 사용된 경로였다고 보도했다. 이는 단순한 온라인 공격을 넘어 국가 단위의 선거 개입 시도와도 연결된 것이다.
체포 이전 네스테렌코는 자신의 서버가 악용되지 않았다고 주장했다. 크렙스 온 시큐리티에 회신한 이메일에서 그는 "하드웨어와 고객 포트폴리오는 제재가 나타나기 이전에 이미 워크타이탄즈로 이전됐다"며 "정당한 네덜란드 인프라를 폐쇄하는 것은 사이버범죄를 막지 못하고 무고한 다수만 해칠 것"이라고 말했다.
네스테렌코는 1990년대 러시아 니즈니노브고로드에서 피아노 천재로 태어나 공개 공연을 했다. 2004년 그가 설립한 회사(현 MIRhosting의 모회사)는 2008년 러시아군의 그루지야 침략 당시 '스탑조지아' 해킹 사이트 호스팅을 담당했던 악명 높은 기록을 가지고 있다.
MIRhosting은 성명을 통해 "예비 조사 결과 우리가 통제하는 서비스가 덴마크 선거 영향에 실제로 사용됐다는 증거는 없다"며 "해당 기간 비정상적 트래픽 스파이크가 관찰되지 않았다"고 반박했다. 다만 이후 800개 서버 압수로 the[.]hosting 고객들에게는 "서버에 저장된 데이터가 손실되어 복구 불가능하다"는 통보가 전달됐다.
제재의 한계가 드러난 사건
이 사건은 EU의 대러시아 제재 체계의 한 가지 근본적 취약점을 드러낸다. 제재 대상 기업 하나를 국제 금융망에서 차단해도, 악의적 행위자는 신속하게 신규 법인과 우회 경로를 구축할 수 있다는 점이다.
워크타이탄즈라는 별도 법인, MIRhosting이라는 네덜란드 기반 호스팅 회사라는 구조—이 모두가 공식 법적 틀 내에서 작동했다. 제재 회피가 단순한 지하 활동이 아니라, 법적으로 독립된 기업 구조 속에 구축된 셈이다.
네스테렌코와 지나드의 체포는 이러한 구조를 추적·적발하는 국제 수사 역량이 진화하고 있음을 시사한다. 하지만 여전히 남은 질문은 한 가지다. 향후 제재 대상 기업들이 더욱 은폐된 구조로 재편성되지 않을까 하는 것이다.
편집 안내 | 이 기사는 AI 기술을 활용하여 글로벌 뉴스 소스를 분석·종합한 후, AIB프레스 편집팀의 검수를 거쳐 발행되었습니다. 정확한 정보 전달을 위해 노력하고 있으며, 원문 출처를 함께 제공합니다.
