경찰, 랜섬웨어·데이터 절도에 사용된 ‘First VPN’ 서비스 압수
랜섬웨어와 데이터 절도 공격에 사용된 First VPN이라는 가상 사설망 서비스가 국제 공조 수사 작전으로 차단되었습니다. 27개국에 걸쳐 수십 대의 First VPN 서버가 압수되었으며, 관리자는 체포되고 우크라이나에서 주거 수색이 진행되었습니다.
이 서비스는 사이버 범죄 포럼에서 “사용자 데이터를 기록하지 않고 법 집행 요청을 무시하는 프라이버시 중심 VPN”이라고 광고되었습니다.
VPN 도구는 트래픽을 암호화하고 실제 IP 주소를 숨깁니다. 공공 Wi‑Fi에서 프라이버시를 보호하고, 검열을 우회하며, 추적을 감소시키고, 원격 근무를 안전하게 하는 등 정당한 용도로 사용될 수 있지만, 위협 행위자들도 자신의 위치와 인프라를 은폐하기 위해 VPN을 활용합니다. 관할 구역에 따라 VPN 제공자는 법 집행 요청에 응하고 보유하고 있는 데이터를 넘겨야 할 법적 의무가 있을 수 있습니다.
Europol에 따르면, 이 서비스 이름은 해당 기관이 지원한 거의 모든 주요 사이버 범죄 수사에 등장했다고 합니다. Europol은 First VPN이 폐쇄되었다고 밝혔습니다.
First VPN 웹사이트에 게시된 압수 통지
출처: BleepingComputer
배경
- 서비스 주장: “사용자 데이터를 기록하지 않고 법 집행 요청을 무시하는 프라이버시 중심 VPN.”
- 정당한 사용: 공공 Wi‑Fi에서 프라이버시 보호, 검열 우회, 추적 감소, 안전한 원격 근무.
- 오용: 위협 행위자들이 랜섬웨어, 데이터 절도 및 기타 사이버 범죄를 위해 위치와 인프라를 숨기기 위해 사용.
조사
조사는 2021년 12월에 시작되었으며, 프랑스와 네덜란드 당국이 주도하고 2023년 11월에 공동 조사팀을 구성했습니다. 수사관들은 VPN 인프라에 침투해 서비스가 차단되기 전에 사용자 데이터베이스를 수집하고, 공격에 사용된 VPN 연결을 식별했습니다.
만화 스타일의 공식 영상에서 Europol은 위협 행위자들이 데이터를 삭제한다고 주장하더라도 흔적이 서버에 남는 경우가 많다고 강조했습니다.
“Europol에 운영 태스크포스가 설치되어 16개국의 수사관들이 모여 압수된 데이터를 분석하고 국제 파트너와 정보 공유를 조정했다.” – Eurojust
압수 작전 (2026년 5월 19‑20일)
- 압수된 서버: First VPN과 연관된 33대 서버.
- 폐쇄된 도메인:
1vpns.com,1vpns.net,1vpns.org및 관련 온ion 도메인. - 인프라: 서비스 지원에 핵심적인 구성 요소가 차단됨.
- 용의자: 우크라이나인 한 명을 확인하고 신문함.
- 사용자 통지: First VPN 모든 사용자를 식별해 직접 통지했으며(정확한 수치는 공개되지 않음).
네덜란드 경찰의 보도 자료는 통지를 확인했지만, 사용자에 대한 추가 법적 조치 여부는 명시하지 않았습니다.
영향 및 후속 조치
- 공유된 사용자 데이터: 506명의 사용자 정보가 국제적으로 공유됨.
- 정보 패키지: 진행 중이거나 예정된 수사를 지원하기 위해 83개의 “정보 패키지”가 배포됨.
- 작전 리드: 수집된 정보는 사이버 범죄 생태계와 연결된 수천 명의 사용자를 밝혀냈으며, 전 세계적인 랜섬웨어 공격, 사기 스킴 및 기타 중대한 범죄와 관련된 리드를 생성함.
원문 기사에는 자동화된 펜테스팅 도구에 관한 무관한 홍보 내용이 포함되어 있었으나, 관련성을 위해 삭제되었습니다.