2026년 5월 Operation Saffron이 공개됩니다.
법집행 기관은 사이버범죄 전용 first VPN 서비스를 폐쇄했습니다.
First VPN Service — Website Seized by Law Enforcement
OPERATION SAFFRON
operation-saffron.eu
다음은 AI로 요약한 내용입니다.
Operation Saffron: First VPN 서비스 테이크다운
- 공격 대상 (피해 조직)
- First VPN (도메인: 1vpns.com, 1vpns.net, 1vpns.org 및 관련 .onion 도메인)
- 2014년부터 운영된 사이버범죄 전용 VPN 서비스, 5,000개 이상 계정 보유
- 러시아어권 사이버범죄 포럼에서 독점 광고 및 판매
- 피해 (법집행 관점)
- 서버 33대 압수·폐쇄 (2026년 5월 19~20일)
- 운영자 우크라이나에서 조사 및 가택수색 실시
- 수사기관이 서비스 접근 권한 확보 후 사용자 DB 획득 → 5,000개 이상 계정 신원 노출
- 506명 사용자 관련 83건의 인텔리전스 패키지를 파트너 국가들과 공유
- Phobos RaaS 관련 랜섬웨어 수사 연계 정보 확보
- 피해 (범죄 피해자 관점)
- 랜섬웨어 공격, 대규모 사기, 데이터 탈취 피해 다수 기록
- Europol이 지원한 "거의 모든 주요 사이버범죄 수사"에서 First VPN 사용 정황 확인됨
- 공격 주체 (범죄자 측)
- First VPN 서비스 운영자 (우크라이나 소재, 신원 미공개)
- 서비스 이용 사이버범죄 그룹 다수 (랜섬웨어 액터 포함)
- 서비스 특성 및 운영 방식
- Single / Double / MultiDouble / Quad VPN 등 다중 릴레이 계층 구조 제공 (복잡도에 따라 요금 차등)
- 지원 프로토콜: PPTP, L2TP, OpenVPN (TCP/UDP)
- 사용자 데이터 미보관 주장, 사법기관 협조 거부 선언, 무관할권 표방
- 익명 결제 지원, 은닉 인프라 제공
- 수사 및 국제 공조
- 수사 개시: 2021년 12월 (프랑스 피해 사건 반복 확인이 발단)
- 주도국: 프랑스(BL2C 파리 사법경찰, 파리 검사청, OFAC), 네덜란드(NHTCU, 검찰청)
- 지원: Europol, Eurojust
- 참여국: 우크라이나(보안국), 영국(NCA), 룩셈부르크, 루마니아(DCCO), 스위스(취리히 주경찰·검찰), 스페인, 스웨덴 — 총 27개국
- 사용된 기법 (서비스 측)
- 다중 VPN 홉(최대 4단계) 체이닝으로 추적 난이도 상승
- 사이버범죄 포럼 내 독점 홍보로 일반 탐지 회피
- 무관할권 선언 및 노로그 정책 표방으로 이용자 신뢰 확보
- 의의
- 사이버범죄 전용 VPN 서비스 대상 최초 대규모 국제 공조 테이크다운 사례
- 수사 과정에서 서비스 인프라에 선제 접근하여 실시간 트래픽 및 사용자 DB 확보 성공
- 테이크다운 후 전체 이용자에게 신원 확인 사실 통보 → 억제 효과(deterrence) 의도
관련 기사
Authorities dismantle First VPN, used by ransomware actors
https://www.helpnetsecurity.com/2026/05/21/operation-saffron-first-vpn-takedown/
https://operation-saffron.eu/
First VPN Service — Website Seized by Law Enforcement
OPERATION SAFFRON
operation-saffron.eu
Europe dismantles VPN service used by cybercriminals to hide ransomware attacks (2026.05.21)
https://therecord.media/europe-dismantles-first-vpn
Europe dismantles VPN service used by cybercriminals to hide ransomware attacks
The international operation targeted a service known as First VPN, which had been marketed for years on Russian-speaking cybercrime forums as a secure way for criminals to evade law enforcement.
therecord.media
‘First VPN’ Cybercrime Service Disrupted, Administrator Arrested
https://www.securityweek.com/first-vpn-cybercrime-service-disrupted-administrator-arrested
'보안위협 (악성코드, 취약점) > 보안위협 뉴스' 카테고리의 다른 글
| GitHub 해킹 - 내부 저장소 악성코드 감염 (0) | 2026.05.25 |
|---|---|
| 버셀 (Vercel) 해킹 - 인포스틸러 감염을 통한 서드파티 AI 툴의 침해까지 (0) | 2026.05.11 |
| 애플 Apple Support App에 Claude.md 포함 사고 (6) | 2026.05.04 |
| Fast16 - 국가 주도 사이버무기 시점이 2005년으로 앞 당겨짐 (0) | 2026.04.27 |
| 미토스 (Mythos) 쇼크 - 치명적 보안 문제를 찾을 수 있어 일반 공개 보류 (1) | 2026.04.20 |