네덜란드, 사이버공격 지원 혐의로 서버 800대 압수하고 2명 체포

• 네덜란드 당국은 러시아의 EU 내 사이버공격·영향력 작전·허위정보 캠페인에 쓰인 IT 인프라 운영 혐의로 호스팅 회사 공동 소유자 2명을 체포함
• FIOD는 5월 18일 암스테르담의 57세 남성과 헤이그의 39세 남성을 체포하고, 사업장·데이터센터 수색에서 서버 800대 이상과 기기를 압수함
• 수사는 러시아 침공 직전 등장한 Stark Industries에 집중되며, 이 인프라는 유럽 대상 DDoS 공격과 러시아 지원 해킹 그룹 관련 프록시·익명화 서비스에 반복 등장함
• EU 제재 직전 Stark 자산은 PQHosting에서 the[.]hosting으로 이전됐고, 이 법인은 WorkTitans BV 아래에서 MIRhosting만 통해 인터넷 연결을 받은 것으로 나타남
• MIRhosting과 Andrey Nesterenko는 제재 회피와 불법 활동 지원을 부인했지만, WorkTitans 서비스를 일시 중단하고 덴마크 선거 관련 내부 조사를 시작함

네덜란드의 체포와 서버 압수

• 네덜란드 금융범죄수사기관 FIOD는 5월 18일 암스테르담의 57세 남성과 헤이그의 39세 남성을 체포했다고 네덜란드 일간지 de Volkskrant가 보도함
• 두 사람은 EU 제재 대상에 직접 또는 간접적으로 경제적 자원을 제공해 제재법을 위반한 혐의를 받음
• 수사관들은 Enschede와 Almere의 사업장 3곳, Dronten과 Schiphol-Rijk의 데이터센터 2곳을 수색했고, 노트북·전화기·서버 800대 이상을 압수했다고 네덜란드 당국이 발표함
• the[.]hosting 고객에게 전달된 메시지는 압수 직후 서버에 저장된 데이터가 손실됐고 복구할 수 없다고 안내함

Stark Industries와 제재 회피 의혹

• 네덜란드 수사는 러시아의 우크라이나 침공 2주 전 등장한 대형 호스팅 제공업체 Stark Industries에 초점을 둠
• Stark는 유럽 표적을 겨냥한 대규모 DDoS 공격의 출처가 됐고, 러시아 지원 해킹 그룹과 연결된 공격에서 반복적으로 나타난 프록시·익명화 서비스의 주요 공급자로 부상했다고 2024년 5월 심층 분석에서 다뤄짐
• 해당 분석은 Moldovan 형제 Ivan Neculiti와 Yuri Neculiti, 그리고 이들의 회사 PQHosting이 Stark의 두 주요 인터넷 연결 통로 중 하나를 제공했다고 식별함
• EU는 2025년 5월 러시아의 하이브리드전 수행을 도운 혐의로 PQHosting과 Neculiti 형제를 제재함
• 그러나 2025년 9월 보도 기준으로 제재는 Stark의 남은 인터넷 연결 통로인 네덜란드 기반 ISP MIRhosting을 겨냥하지 못함
• PQHosting과 Neculiti 형제에 대한 EU 제재 발표 약 2주 전 관련 소식이 언론에 유출됐고, 그 사이 Stark의 네트워크 자산은 PQHosting에서 새 법인 the[.]hosting으로 이전됨
• the[.]hosting은 네덜란드 법인 WorkTitans BV의 통제 아래 있었고, WorkTitans는 Andrey Nesterenko와 Youssef Zinad가 통제한 것으로 2025년 9월 보도에서 나타남
• WorkTitans는 더 큰 인터넷으로의 연결을 오직 MIRhosting을 통해서만 받았고, Zinad는 이전에 MIRhosting에서 일한 바 있음

덴마크 선거 기간 공격과 MIRhosting의 반박

• de Volkskrant는 2025년 11월 13일부터 19일까지 덴마크 지방선거 주간에 덴마크 정부 기관을 겨냥한 친러시아 공격에서 WorkTitans와 MIRhosting이 가장 많이 사용된 네트워크였음을 보여주는 데이터를 검토함
• Nesterenko는 체포 전 자신의 서버가 친러시아 사이버범죄자들에게 오용됐다는 사실을 몰랐다고 부인함
• Nesterenko는 2025년 5월 EU 제재가 발효됐을 때 Neculiti 형제와의 모든 서비스를 종료했고, “해롭고 부정확한 보도”에 대해 모든 권리를 행사할 수 있다고 밝힘
• MIRhosting은 덴마크 선거와 관련된 혐의에 대해 내부 조사를 시작했고, 추가 검토 중 예방 조치로 WorkTitans에 대한 서비스를 일시 중단했다고 성명을 냄
• MIRhosting은 예비 조사에서 자사가 통제하는 서비스가 덴마크 선거에 영향을 주는 데 실제로 사용됐다는 징후가 없었다고 밝힘
• 해당 기간 네트워크 트래픽에서 이상이나 급증이 관찰되지 않았으며, 대규모 DDoS 공격이 있었다면 그런 활동이 드러났을 것이라고 MIRhosting은 주장함
• MIRhosting은 언론 보도 전까지 의심 활동이나 네트워크 오용과 관련한 민원, abuse report, 공식 요청을 받은 적이 없고, 다른 고객에 대한 서비스는 계속 정상 운영 중이라고 밝힘

Andrey Nesterenko와 MIRhosting의 이력

• Andrey Nesterenko는 2004년 MIRhosting의 모회사 Innovation IT Solutions Corp. 를 설립함
• Innovation IT Solutions Corp.는 2008년 러시아군이 조지아를 침공한 시점에 등장한 해커 행동주의 웹사이트 stopgeorgia[.]ru를 호스팅한 회사로 언급됨
• stopgeorgia[.]ru는 조지아 대상 사이버공격을 조직하는 웹사이트였고, 해당 충돌은 눈에 띄는 사이버공격과 실제 군사 교전이 동시에 벌어진 최초의 전쟁으로 여겨졌다고 소개됨
• Nesterenko는 이메일 답변에서 MIRhosting이 사이버범죄, 제재 회피, 불법 활동을 지원하지 않으며, 네덜란드 당국의 혐의와 체포가 자신과 회사에 극도로 해롭다고 밝힘
• Nesterenko는 the[.]hosting으로의 전환이 제재 회피 목적이 아니었고, 하드웨어와 고객 포트폴리오는 제재가 등장하기 전에 이미 WorkTitans로 이전됐다고 주장함
• Nesterenko는 합법적인 네덜란드 인프라 회사를 폐쇄하거나 훼손해도 사이버범죄를 멈추지 못하고, 아무 잘못이 없는 많은 사람에게 피해를 줄 것이라고 밝힘

Youssef Zinad의 역할

• Youssef Zinad에 대해서는 공개된 정보가 훨씬 적고, 2025년 보도 이후 낮은 프로필을 유지해 온 것으로 전해짐
• Nesterenko는 Zinad가 MIRhosting 직원이 아니며, 회사 간 일반적인 B2B 계약 아래 특정 비즈니스 업무에서 자신과 MIRhosting을 도왔다고 주장함
• 그러나 이전에 KrebsOnSecurity에 보낸 이메일에서 Nesterenko는 @mirhosting.com 이메일을 가진 Zinad를 참조에 넣고, 그가 회사 법무팀의 일부라고 설명한 바 있음
• 네덜란드 웹사이트 stagemarkt[.]nl은 Youssef Zinad를 MIRhosting의 Almere 사무소 공식 연락처로 기재함
• de Volkskrant는 Zinad가 LinkedIn 계정 접근을 차단했고 이메일·WhatsApp·전화에 몇 달 동안 응답하지 않았으며, 이후 암스테르담의 한 주거지에서 체포됐다고 보도함