합동 법집행 작전을 통해 2014년부터 운영되어 온 범죄용 익명화 서비스인 First VPN(1VPN이라고도 함)이 적발되었습니다. 이 서비스는 수사기관의 추적을 피하기 위한 도구로서 러시아어권 사이버범죄 포럼에서만 홍보되어 왔습니다. 2026년 5월 19~20일에 ‘작전 사프론’이라는 코드명 하에 프랑스와 네덜란드 당국이 주도하고 유로폴, 유로저스트 및 18개 참여국이 함께 진행한 이 작전에서는 27개국에 분산된 33대의 서버가 압수되었으며, 1vpns.com, 1vpns.net, 1vpns.org 등 주요 도메인과 관련 토르(Tor) 온ion 주소들도 차단되었습니다. 또한 우크라이나에서 실시된 가택수색을 통해 해당 서비스의 관리자도 체포되었습니다. 무엇보다 중요한 점은 수사관들이 전체 사용자 데이터베이스와 범죄 활동 기록을 확보함으로써 5,000개 이상의 계정을 밝혀냈으며, 506명의 개별 사용자에 관한 정보가 담긴 83개의 정보 패키지를 파트너 국가들과 공유해 추가 기소를 준비하고 있다는 것입니다.
유로폴은 최근 몇 년간 자체적으로 지원한 거의 모든 주요 사이버범죄 수사에서 First VPN이 연루된 사실을 확인했습니다. FBI 역시 Avaddon과 Phobos를 포함한 최소 25개의 랜섬웨어 조직이 정찰, 침입 및 명령제어 트래픽을 숨기기 위해 이 서비스를 활용했다고 밝혔습니다. 이번 수사는 2021년 12월 프랑스 내 피해자들을 대상으로 한 여러 공격에서 First VPN이 반복적으로 사용되면서 시작되었으며, 2023년 11월 유로저스트 체계 하에 합동수사팀이 구성되었습니다. 유로폴 유럽사이버범죄센터의 에드바르다스 실레리스 소장은 범죄자들이 “이 서비스를 이용하면 법집행기관의 손아귀를 벗어날 수 있을 것이라고 믿었으나, 이번 작전이 그들의 오판임을 증명했다”고 말했습니다. 비트디펜더의 드라코 팀도 수사 전반에 걸쳐 정보를 제공했으며, 이는 해당 팀이 VPN 서비스 적발 작전에 처음으로 참여한 사례입니다.