네덜란드 FIOD가 2026년 5월 Stark Industries 연계 서버 800대를 압수하고 2명을 체포했다. EU 제재를 9일 만에 우회한 방탄 호스팅 사업자의 수법과 법리적 선례를 분석한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 5월 18일 오전, 네덜란드 재정정보조사국(FIOD) 요원들이 드론튼과 스히폴레이크의 데이터센터 두 곳에 동시 진입했다. 랙 위에 가득 찬 서버 800대가 압류 딱지를 달았고, 엔스헤데와 알메러의 사무소 세 곳이 동시에 수색됐다. 헤이그에 거주하는 러시아 출신 안드레이 네스테렌코(39세)와 암스테르담의 유세프 지나드(57세)가 체포됐다. 검찰이 제시한 핵심 혐의는 사이버 범죄가 아니었다. EU 제재 위반이었다. 공격을 직접 실행하지 않은 호스팅 사업자를 형사 처벌하는 논리가 처음으로 사법 절차에 오른 순간이었다.
Stark Industries Solutions은 2022년 2월 10일 법인 등록됐다. 러시아가 우크라이나를 침공하기 정확히 2주 전이었다. 운영자는 몰도바 출신 형제 이반 네쿨리티와 이우리에 네쿨리티로, 이들은 이 회사를 유럽 전역의 친러시아 사이버 작전을 위한 중추 인프라로 키웠다. 4년 동안 Stark Industries는 DDoS 공격, 피싱 캠페인, 악성코드 명령·통제(C2) 서버, 허위정보 유포를 위한 실질적인 플랫폼 역할을 했다.
방탄 호스팅(Bulletproof Hosting) 사업자가 수사 압박에 대응하는 방식은 단계적이다. 먼저 남용 신고와 법 집행 요청을 무시하며 버틴다. 그것이 한계에 다다르면 새 법인을 등록해 동일한 서버와 IP 블록을 다른 이름으로 넘긴다. 이 두 단계가 번갈아 반복되는 동안 수사 기관은 새 법인의 실체를 다시 추적해야 한다. Stark는 이 전략을 반복 실행했고, EU가 2025년 5월 20일 공식 제재를 발효하자 9일 만에 다음 단계를 밟았다.
제재 발효 직후 회사는 간판을 바꿨다. PQ.Hosting이 THE.Hosting이 됐고, 네덜란드 엔스헤데에 등록된 WorkTitans B.V.라는 새 법인이 동일한 서버와 IP 자원을 인수했다. Krebs on Security의 2025년 9월 조사는 WorkTitans를 실질적으로 통제한 인물이 네스테렌코와 지나드임을 확인했다. 제재 정보가 몰도바 언론에 유출된 시점에 이미 자산 이전이 준비되고 있었다는 정황도 확인됐다.
네스테렌코는 이 역할에 경험이 있었다. 그가 2004년 설립한 Innovation IT Solutions Corp는 2008년 러시아-조지아 전쟁 당시 친러시아 프로파간다 사이트 stopgeorgia.ru를 호스팅했다. 같은 방식으로 20년 가까이 이어온 셈이다. 그가 운영하는 MIRhosting은 2025년 11월 13일부터 19일까지 이어진 덴마크 정부 기관 DDoS 캠페인에서 "가장 빈번하게 활용된 네트워크"였다고 덴마크 당국이 확인했다. MIRhosting과 Stark Industries는 서로 다른 법인명이지만 동일한 운영자 네스테렌코 아래 같은 인프라 생태계로 기능했다.
Stark Industries 인프라를 가장 적극적으로 활용한 그룹은 친러시아 해킹티비스트 NoName057(16)이다. 이 그룹은 Stark 서버를 기반으로 우크라이나와 EU 회원국을 겨냥한 DDoS 공격을 반복해 왔다. 러시아 연계 금융 사이버범죄 그룹 FIN7도 같은 인프라에서 피싱과 악성코드 배포 캠페인을 재개했다. 피해는 정부 기관부터 민간 기업, 언론사까지 광범위했다.
러시아는 2022년 침공 이후 유럽을 상대로 최소 151건의 하이브리드 전쟁 작전을 수행했다고 네덜란드 싱크탱크가 밝혔다. 이 중 공개적으로 추적된 것만 3건이 Stark 서버를 경유했다. 우크라이나 통신사 키이우스타르 공격, 우크라이나 국영 뉴스통신사 우크린폼 사이버 공격, 그리고 덴마크 정부를 겨냥한 일주일간의 DDoS 캠페인이다.
2026년 5월 18일 FIOD 작전으로 서버 800대, 노트북, 휴대폰, 행정 기록이 압수됐다. 네스테렌코와 지나드는 구속됐다. 압수된 서버 규모만으로도 이번 작전이 단순 수색을 넘어 인프라 자체를 무력화하려는 목적이었음을 보여준다.
법리의 전환. 검찰이 사이버 범죄법이 아닌 EU 제재법을 적용했다는 점은 주목할 선례다. 기존 수사는 대부분 해커 개인이나 악성코드 운영자를 표적으로 삼았다. 이번에는 공격을 직접 실행하지 않고 서버만 임대해 준 중간 사업자가 "제재 대상 단체에 간접적으로 경제적 자원을 제공했다"는 혐의로 형사 처벌을 받았다. 네스테렌코와 지나드가 그 선례의 당사자다. EU 제재를 위반한 호스팅 사업자를 형사 처벌할 수 있는 논리적 근거가 처음으로 사법 절차에 올랐다.
구조적 한계도 드러났다. Stark Industries는 EU 제재 이후 9일 만에 법인을 교체하고 약 1년을 더 운영했다. 법인 재편과 자산 이전 속도가 수사 속도보다 빨랐다는 의미다. 방탄 호스팅 사업자가 국경을 넘어 자산을 이동할 수 있는 한, 단일 국가의 집행 행위만으로는 이 구조를 끊기 어렵다.
국내에서도 러시아 발 DDoS와 허위정보 캠페인이 관측된 바 있으며, 같은 구조의 방탄 호스팅 인프라가 아시아 타깃을 노리는 패턴은 이미 관측된다. 이번 사건에서 EU가 정립한 제재 위반 논리와 인프라 단위 집행 방식은 앞으로 국제 사이버 수사에서 참고 모델로 활용될 가능성이 높다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.